デジタル化が急速に加速する現代において、効率的なファイルの共有はビジネスにおいて欠かせないプロセスです。長らく多くの企業で採用されてきたPPAP（パスワード付きZipファイルを用いたファイル共有方法）ですが、現在では、セキュリティリスクの高さが問題視され、使用を廃止する企業が増えてきました。

本記事では、PPAPの基礎知識から、そのセキュリティ上の問題点、そしてPPAPに代わる安全かつ効率的な代替手段としてのクラウドストレージの利用について、詳細に解説していきます。本記事を通じて、より安全で効率的なファイル共有方法への移行を検討する際の参考にしてください。

PPAPの基礎知識

PPAP（パスワード付きZipファイルを活用したファイル共有方法）は、ビジネスシーンで長年にわたり利用されてきました。しかし、この方法がセキュリティ上のリスクを多く含んでいることが明らかになり、政府機関をはじめとする多くの企業が利用の廃止を宣言することとなりました。まずは、PPAPについての基礎知識を、詳しく解説していきます。

PPAPはZipファイルによるファイル共有方法

PPAPは、パスワードで保護されたZipファイルをメールで送信し、その解凍用のパスワードを別途送ることでファイルを共有する方法です。

• Password付きzipファイルを送る
• Passwordを送る
• Aん号化（暗号化）
• Protocol（プロトコル）

当て字のように思われるかもわかりませんが、実際にこの呼び方を命名したITコンサルタントの大泰司章（おおたいし あきら）さんは、芸人のピコ太郎さんのネタであるPPAPからヒントを得たとおっしゃっています。

PPAPは、ファイルを安全に送るための一つの手段として長らく用いられてきました。しかし、この方法はセキュリティの観点から見ると、現代の技術水準では十分な保護機能を有していないことが判明したのです。特に、パスワード解析ツールの発展により、比較的容易にパスワードが解読されてしまう可能性があることが大きな問題となっています。

政府がPPAPによるファイル共有の廃止を宣言

2020年11月、日本政府はセキュリティリスクの高さを理由に、内閣府および内閣官房でPPAPの利用廃止を宣言しました。この動きは、日立製作所やNTTデータなどの大手IT企業にも波及し、業界全体でPPAPからの脱却が進められることとなりました。

政府や企業がPPAPの利用を見直す背景には、セキュリティリスクの高さだけでなく、業務効率化や情報管理の観点からもより優れた代替手段が求められているという現実もあります。

PPAP最新利用状況と大手企業含む被害状況

PPAP最新利用状況

一般財団法人日本情報経済社会推進協会（JIPDEC）と株式会社アイ・ティ・アールが国内企業982社のIT／情報セキュリティ責任者を対象に、2022年1月に共同で実施した『企業IT利活用動向調査2022』の結果によると、PPAPによるファイル共有を利用していない、もしくは利用を禁止している企業は、送信側で17.9％、受信側は14.4％となっており、さらに今後は32.6％の企業が受信を禁止予定とする回答が得られたと発表されています。

PPAPでファイル添付したなりすましメールを経由して「Emotet（エモテット）」と呼ばれるコンピュータウイルスが企業組織のシステムに感染する被害が爆発的に流行している中、PPAPではそういったセキュリティリスクへの対策にはならず、多くの民間企業や自治体、官公庁も含めてPPAPによるファイル授受の危機感を強めています。

なりすましメールによる企業および自治体の被害例

独立行政法人情報処理推進機構（IPA）によると、「2022年2月から3月にかけて、日本国内組織でのEmotetへの感染被害が大幅に拡大しています。情報セキュリティ安心相談窓口では、2022年3月1日～8日に、323件もの相談を受けています。これは、先月同時期（2月1日～8日）の、およそ7倍です。」（＜引用元＞独立行政法人情報処理推進機構「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて）として、注意と対策の徹底を呼び掛けています。

実際の被害事例として、国内住宅大手の積水ハウスでは、グループ会社の従業員を装う「不審なメール（なりすましメール）」の送信が相次いだとし、自社のサイトにて謝罪と注意喚起を掲載しています。

【弊社グループ従業員を装った不審メールに関するお詫びとお知らせ】（2022年1月28日｜積水ハウス株式会社）
この度、弊社グループの一部のパソコンがコンピュータウイルス「Emotet（エモテット）」に感染し、弊社グループ従業員を装った不審なメール（なりすましメール）が弊社グループ従業員とメール連絡をされた複数の方に送信されていることが確認されました。お客様並びに関係者の皆様に多大なご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

＜引用元＞

なお、なりすましメール被害は民間企業だけではなく自治体にもおよび、直近の2022年３月20日付で青森県が公式ページで注意を呼びかけており、今後はより自治体による対策強化やファイル添付に関しては、セキュリティ強固な代替ソリューション等の導入が加速することでしょう。

【青森県自治体情報セキュリティクラウドからの不正メール転送にご注意ください】（2022年3月20日｜青森県）
青森県自治体情報セキュリティクラウドのメールシステムについて、次期システムへの移行作業に伴う一時的な設定不備により、外部に不正メールが送信された痕跡があることが判明したので、お知らせします。不正送信が行われたメールの概要は下記のとおりです。このメールアドレスから送信されたメールにおいて、不審な点がある場合には破棄してください。また、本文にリンク等が記載されている場合は絶対にクリックしないようにしてください。なお、メールシステムにおいては既に対策済であり、現在は、不正転送は行われていないことを確認しております。

＜引用元＞

クラウドストレージFileforceWEBサイトで詳細をチェック！

PPAP廃止の方向に。大手IT企業も脱PPAPを公式にアナウンス

上記で紹介したような被害流行前に、策を講じた企業もあります。大手IT企業も正式にアナウンスをしたパスワード付きZipファイルの運用廃止の動きをご存じの方も多いでしょう。

【日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ】（2021年10月8日｜株式会社日立製作所）
日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。 パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず、受信者/送信者の日立グループ従業員に対して、配送を抑止した旨がメールで通知されることとなります。

＜引用元＞

こういった脱PPAPの背景やPPAPの問題点を具体的に以降でご紹介しています。

PPAPが問題視された背景

企業各社が上記のような動きに本格的に乗り出したのは、初代デジタル大臣の平井氏の2020年11月17日の定例会見での発言がきっかけだと言っても過言ではないでしょう。

政府の「脱PPAP」方針とJIPDECの見解

PPAPはセキュリティ対策の観点や受け取り側の利便性を考慮すると適切ではないとことを指摘した上で、中央省庁でPPAPを廃止する方針（脱PPAP）を打ち出し、さらにそれを受けてJIPDEC（プライバシーマーク制度や電子署名・認証制度を運営する財団法人）も公式見解として「個人情報等を含むファイルの送信ではPPAPを推奨していない」旨をホームページに掲載し、地方自治体および民間企業でもPPAPのリスクについて認知と対策が始まりました。

＜引用元＞

PPAPに対する民間企業の動向

PPAPに対する政府や協会の上記動きにより、民間企業各社でもパスワード付きZipファイルを受け取らないポリシーを正式に打ち出した企業も目立ち始め、社内外のファイル共有・ファイル授受は代替策が必要となっている状況といえます。

記事冒頭の日立製作所に続き、電気通信事業大手のインターネットイニシアティブ（IIJ）やソフトバンク株式会社も以下内容で公式アナウンスをしています。

【パスワード付きzipファイルが添付されたメールおよび別送のパスワード記載メール（PPAP）に対する当社運用の変更について（2021年11月15日｜IIJ）】メールにファイルを添付して送信する際、「パスワード付きのzipファイルと、そのパスワードを別送する」という手順で行われている情報セキュリティ対策手法、いわゆる「PPAP」につきまして、当社は2022年1月26日より、社外の方からのIIJアドレスへのメール送信における対応を、原則として以下のように変更いたします。

2022年1月25日以前 従来通り、パスワード付きzipファイルが添付されたメールを受信する
2022年1月26日以降 パスワード付きzipファイルをフィルタにより削除し、メール本文のみ受信する

＜引用元＞

【当社におけるパスワード付き圧縮ファイルの利用廃止に関するお知らせ】（2022年2月15日｜ソフトバンク株式会社）

ソフトバンク株式会社は、当社従業員が業務で使用するメールアカウントにおけるパスワード付き圧縮ファイルの利用を廃止しますのでお知らせします。 お客さまならびにお取引先企業、関係機関の皆さまには、ご理解とご協力をお願いいたします。

＜引用元＞

PPAPによるセキュリティの問題点・リスク

PPAPは、その便利さから多くのビジネスシーンで採用されてきました。しかし、この方法には重大なセキュリティリスクが潜んでおり、企業や組織の情報管理において大きな脅威となっています。以下では、PPAPが抱える主なセキュリティ問題点について、詳細に解説していきます。

ネットワーク盗聴による情報漏洩の可能性

PPAPにおけるファイルおよびパスワードの共有は、基本的に同一ネットワークで行われていましたが、これはネットワーク傍受（盗聴）があった際に暗号化されたZipファイルと復号パスワードを盗聴者が一度に傍受することを意味します。暗号化もパスワードの別送も、この点においてセキュリティ対策になり得ないことが理解できます。

対策ソフトでマルウェアを検知できない可能性

パスワード付きZipファイルが仮にマルウェアに感染していた場合、ウイルス対策ソフトによっては検知できずに見過ごしてしまう可能性があります。現にPPAPにより、メール送受信における通信経路でのセキュリティ製品の検知・検疫をすり抜け、受信者の手元に攻撃メールが届くといったケースも報告されています。こういった例もあり、PPAPによるファイル受信を行わないという企業が出てきているのです。

＜参考＞

パスワードの流出

PPAPの最大の弱点の一つは、パスワードの流出リスクです。ファイルを保護するために設定されたパスワードは、通常、メールで別送されます。しかし、このプロセス自体がセキュリティ上のリスクを高める要因となるのです。パスワードを含むメールが第三者によって傍受される可能性があり、一度パスワードが漏れてしまえば、保護されているはずのファイルも容易にアクセス可能となってしまいます。さらに、パスワードの複雑性が低い場合、総当たり攻撃によって解読されるリスクも無視できません。

メールの誤送信

メールの誤送信は、PPAPを利用する際のもう一つの大きなセキュリティリスクです。ファイルとパスワードを別々のメールで送信する過程で、送信先の誤入力が発生する可能性があります。このようなヒューマンエラーは誰にでも起こり得るもので、誤って送信された情報が機密性の高い内容であった場合、その影響は計り知れません。一度情報が漏れてしまえば、その後の被害を完全に食い止めることは極めて困難です。

添付ファイルからのマルウェア感染

PPAPを介して共有されるファイルは、添付ファイルとしてメールに添付できます。この添付ファイルがマルウェアに感染している場合、受信者の端末にウイルスが侵入するリスクがあります。特に、パスワードで保護されたZipファイルは、一部のウイルス対策ソフトウェアではスキャンが困難で、感染が見逃されることがあります。

近年、Emotetというウイルスが広がってしまったという例もあります。このように、PPAPを利用することで、意図せずにマルウェアを拡散させるリスクを高めてしまう可能性があるのです。

以上のように、PPAPには複数のセキュリティリスクが存在します。これらのリスクは、企業や組織にとって重大な情報漏洩やデータ損失の原因となり得るため、より安全なファイル共有方法への移行が求められているのです。

PPAPによるリスクはクラウドストレージで対応可能！

PPAPが抱えるセキュリティリスクは、現代のビジネス環境において大きな問題となっています。しかし、これらのリスクはクラウドストレージを利用することで軽減することが可能です。クラウドストレージは、ファイルの保管、共有、管理をインターネット上で行うことができるサービスであり、PPAPの問題点を解決するための理想的な代替手段になると言われています。

クラウドストレージはインターネット上でファイルを管理

クラウドストレージを利用することで、ファイルはインターネット上のサーバーに保管されます。これにより、どこからでもアクセス可能となり、物理的なストレージデバイスを持ち運ぶ必要がなくなります。また、ファイルのバックアップや復元も容易になり、データの損失リスクを大幅に減少させることができます。さらに、クラウドストレージサービスは多くの場合、高度なセキュリティ対策が施されており、ファイルの暗号化やアクセス制御機能を提供しています。これにより、PPAPが抱えるパスワード流出やメール誤送信、マルウェア感染といったリスクからファイルを守ることが可能となるのです。

ファイルをメールに添付する必要がない

多くのクラウドストレージサービスでは、クラウド上の対象のファイルにアクセスするための”共有リンク”と呼ばれるURLを発行し相手方に通知することで、ファイル共有を実現しています。

URLアクセス時のパスワードはもちろん、アクセスするIPアドレスの制限、ダウンロードを禁止しプレビューのみを許可する、アクセス回数や期間を限定する等の設定を選択または組み合わせることで、不要な拡散を防ぎ、送信先やファイルに誤りがあった場合には、URL自体を無効にすることで情報漏洩のリスクを極小化できます。またメールにファイルを添付する運用では課題であった、大容量ファイルの共有も可能となります。

ファイル送受信前にウィルスチェックができるサービスも

サービスによってはファイルの事前ウィルスチェックの機能が実装されているものもあります。ファイルのアップロード時にウイルススキャンが実施され、ウイルスと判定されたファイルを自動的に削除し、その旨がユーザーに通知されます。意図しないウイルスの拡散も防ぎ、企業活動のコンプライアンス徹底に貢献します。

ファイル共有の停止操作や不要な情報拡散にも対応

万が一、誤った相手に共有リンクを送信してしまったという場合にも、共有の停止やパスワードの再発行等を迅速に行う事が可能です。また、ファイル共有期限を設定することで相手方が無期限でファイルを閲覧したりダウンロードしたりすることも防ぎ、これにより情報漏洩のリスクを最小限に抑えることが可能といえます。

スムーズで快適な操作性でセキュリティを担保しながら業務効率化が図れる クラウドストレージサービスは様々な企業から提供されていますが、これまでのファイル管理の運用を変えずに利用開始ができるユーザビリティに富んだファイル共有サービスを選定することで、利用方法に戸惑う事なく高セキュアな環境でファイルが扱え、業務効率化をも狙う事が可能です。

PPAPをクラウドストレージに変えるメリット

PPAPからクラウドストレージへの移行は、セキュリティーの強化だけでなく、多くのメリットをもたらします。セキュリティの強化に加えて、操作性の向上、業務効率の大幅な改善がその主な利点です。以下では、クラウドストレージを採用することで得られる主要なメリットについて、詳しく解説していきます。

ファイルアクセスに制限を設定できて安全

クラウドストレージを利用するメリットの一つは、ファイルアクセスに対する細かな制限設定が可能であることです。PPAPでは、パスワードを入手すれば、誰でもファイルにアクセスできるというリスクがありました。しかし、クラウドストレージでは、ユーザーごとに閲覧、編集、ダウンロードの権限を設定できるため、不要な情報漏洩のリスクを大幅に低減できます。また、特定のIPアドレスからのアクセスのみを許可するなど、さらに高度なセキュリティ設定も可能です。これにより、企業は機密情報をより安全に管理することができるようになります。

暗号化機能によってファイル保存が可能

クラウドストレージサービスでは、ファイルをサーバーにアップロードする際に自動的に暗号化されます。この暗号化機能により、データが第三者によって傍受されたとしても、内容を解読されるリスクは大幅に軽減されます。さらに、多くのクラウドストレージプロバイダーは、データセンターの物理的なセキュリティも非常に高いレベルで保持しています。このように、クラウドストレージを利用することで、ファイルをより安全に保存できる環境を確保できます。　　

ファイルのメール送信不要で安心

PPAPのようにファイルをメールで送信する必要がなくなるため、メールの誤送信による情報漏洩のリスクがなくなります。クラウドストレージでは、ファイルの共有にURLを使用します。このURLを必要な人だけに共有することで、ファイルへのアクセスを厳密に管理できます。また、ファイルをダウンロードせずにオンラインで直接閲覧できるため、受信者のデバイス上にファイルが残ることもありません。これにより、情報のセキュリティをさらに強化することが可能です。

クラウドストレージを導入したPPAP対策の流れ

PPAPのセキュリティリスクを回避し、より安全かつ効率的なファイル共有環境を構築するためには、クラウドストレージの導入が有効であると解説してきました。以下では、クラウドストレージを導入したPPAP対策の具体的な流れについて詳しく解説していきます。

共有するデータをクラウドストレージに保管

まず最初に行うべきことは、共有したいデータをクラウドストレージにアップロードして保管することです。クラウドストレージにデータを保管することで、物理的なメディアを介さずにファイルを安全に共有することができます。また、クラウドストレージは通常、データの暗号化やバックアップ機能を提供しており、データの損失や漏洩のリスクを最小限に抑えることができます。

特に、社外の人とファイルを共有する際は、誤って設定を間違えた場合に他の重要なデータが見られてしまうリスクを避けるため、共有用の専用フォルダを作成するようにしましょう。

また、既存の全データを一度にクラウドに移行するのは現実的ではありません。情報の種類や重要度に応じて、従来の管理方法（例えば、社内ファイルサーバーなど）とクラウドストレージを効果的に使い分けるほうが良いでしょう。

アクセス・操作権限を設定

データをクラウドストレージに保管した後は、アクセス権限と操作権限を適切に設定します。一般的にクラウドストレージは、ファイルやフォルダごとに誰がアクセスできるか、どのような操作が可能か（例えば、閲覧のみ、編集可能、ダウンロード禁止など）を細かく設定できる機能を備えています。これにより、不必要なアクセスを防ぎ、情報のセキュリティを確保することができます。また、アクセスログを確認することで、誰がいつどのファイルにアクセスしたかを監視することも可能です。

保管場所のURLを相手に共有

最後に、ファイルが保管されている場所のURLを共有することで、ファイル共有が完了します。クラウドストレージでは、ファイルを直接送信するのではなく、ファイルが保管されている場所へのリンクを共有することで、受信者がファイルにアクセスできるようになります。この方法ならば、ファイルの誤送信リスクを避けることができ、受信者は必要なファイルにいつでも安全にアクセスできます。また、必要に応じてリンクの有効期限を設定することも可能で、一時的な共有にも柔軟に対応できます。

PPAP対策の注意点

PPAPからクラウドストレージへ移行することによるメリットや移行の流れについて解説してきましたが、注意すべき点も存在します。以下では、クラウドストレージを導入する際に気をつけるべき注意点について、詳しく解説していきます。

安全性が担保されているかを確認

クラウドストレージを選択する際には、そのサービスが提供するセキュリティ機能が自社の要件を満たしているかを慎重に確認することが重要です。データの暗号化、アクセス制御、監査ログの提供など、必要なセキュリティ機能が備わっているかをチェックしましょう。また、サービスプロバイダーが定期的にセキュリティ対策を更新し、最新の脅威から保護してくれるかも重要な判断基準です。安全性が十分に担保されているクラウドストレージサービスを選択することで、企業は情報漏洩のリスクを大幅に低減できます。

社内ルールの策定

クラウドストレージの導入にあたっては、社内での使用ルールを明確に策定し、従業員に周知徹底することが不可欠です。

• どのようなデータをクラウドストレージに保存して良いのか
• 誰がアクセス権を持つのか
• どのような場合に外部と共有しても良いのか

など、具体的なガイドラインを設けることが重要です。これにより、クラウドストレージの利用に関する社内の一貫性を保ち、セキュリティリスクをさらに低減することができます。

業務効率化に繋がるのか検討

クラウドストレージの導入は、セキュリティの強化だけでなく、業務効率化を目的としている場合も多いです。そのため、導入するクラウドストレージが実際に業務プロセスを改善し、効率化に貢献するかを事前に検討することが重要です。ファイル共有の容易さ、アクセスの速度、コラボレーション機能の有無など、業務に必要な機能を提供しているかを確認しましょう。また、従業員のトレーニングやサポート体制も、スムーズな導入と効率的な利用には欠かせない要素です。

クラウドストレージへの移行は、適切な準備と管理が行われれば、企業にとって大きな価値をもたらします。安全性の確認、社内ルールの策定、業務効率化への貢献度の検討を丁寧に行うことで、クラウドストレージの導入はPPAP対策としてだけでなく、企業全体の生産性向上にも繋がります。

PPAPの代替案ならfileforceがおすすめ

PPAPに代わるファイル共有手段として、特におすすめしたいのが「fileforce」などのクラウドストレージサービスです。Fileforceは、企業向けに特化したクラウドストレージサービスであり、純国産である安心感に加え、ファイルのセキュリティ管理機能が充実していることで注目を集めています。利用者はファイルのアクセス権を細かく管理でき、不正アクセスや情報漏洩のリスクを極めて低く抑えることができます。

Fileforceの魅力は、直感的な操作性にあり、チーム間でのファイル共有やコラボレーションを容易にします。また、共有リンクを通じたファイルの一時的な共有だけでなく、社内外のメンバーとクラウド上でフォルダを安全に共有することができます。

複雑なメールのやり取りなしに、常に最新のファイルにアクセスできる点は大きな利点です。

Fileforceの高度な暗号化技術により、企業はPPAPを超えた、生産性が格段に向上した新しい働き方を実現できるでしょう。このような特徴から、業務効率化を目指す企業にとって、Fileforceは理想的な選択と言えます。

まとめ

本記事では、PPAPの基礎知識から、そのセキュリティ上の問題点、そしてPPAPに代わる安全かつ効率的なファイル共有手段としてのクラウドストレージの利用について詳しく解説してきました。また、クラウドストレージ導入の際の注意点や、その導入によって得られるメリットについても触れてきました。

本記事を通じて、PPAPのリスクを理解し、クラウドストレージを活用することの重要性を再認識していただければ幸いです。安全かつ効率的なファイル共有環境の構築は、情報漏洩のリスクを減らし、企業の競争力を高めるために、今後も引き続き注目されるテーマであることは間違いありません。