PPAPは何のため？その本質と有効なソリューション

「PPAP」とは、eメールでファイルを送受信する際のセキュリティ対策方法を表す略語です。実際には、ファイルをZip形式で圧縮し、暗号化してパスワードをかけたうえでメールに添付、送信し、通常それに追いかけて別のメールでパスワードを送信するというものです。悪意のある第三者による閲覧を防止する考え方に基づいていますAP」とは、eメールでファイルを送受信する際のセキュリティ対策方法を表す略語です。実際には、ファイルをZip形式で圧縮し、暗号化してパスワードをかけたうえでメールに添付、送信し、通常それに追いかけて別のメールでパスワードを送信するというものです。悪意のある第三者による閲覧を防止する考え方に基づいています。

しかし実は、PPAPと揶揄されるとおり、期待されるセキュリティ対策としての効果は得られず、逆にセキュリティリスクになってしまっている、特に受け取った側の業務効率が悪くなるなど、問題が指摘されています。では、PPAPに代わる方法はあるのでしょうか？今回のブログでは、PPAPの概要、そしてその解決策をセキュリティと効率の観点より解説します。

PPAPは何のため？

PPAPは一見「セキュリティの有効性」に焦点が当たっているように見えますが、PPAP自体はファイル共有の１つの手段であることを忘れるべきではありません。その本質は、企業の内外を含めた情報共有や広義でのコミュニケーションです。テレワークや在宅といった多様な働き方が当たり前となるニューノーマル社会では、社内の情報共有もインターネット経由で行われることが多くなるため、「社外」との共有と同様、よりセキュリティが意識されるようになりました。

PPAPはセキュリティ強化策にならない？

詳細はこちらのブログ「PPAPとは？パスワード付きZipファイル添付を政府が辞める理由」で解説していますが、主に以下の問題が残ります。

• Zipファイルが添付されたメールとパスワード通知のメールが同じ経路で送信され、かつ必ずしも全経路で暗号化されているとは限らないため、盗聴のリスクが残る
• Zipに付けるパスワードも強度が高くなく、解読されるリスクがある
• Zipファイルはウイルスチェックができないことが多く、ウイルスやマルウェア感染のリスクが出る

こういったリスクや懸念が残るため、社外やニューノーマルにおける情報共有には、別の手段の検討が必要となるのは必然と言えます。

効率面での真の課題は「コミュニケーション」

前段でセキュリティ面での課題について触れましたが、次に効率面での課題の整理をしたいと思います。直接的にPPAPの効率の問題は、主に受信側の以下の点です。

• 添付ファイルとセットとなるパスワードの管理が煩雑
• モバイルデバイスでZipファイルを解凍できないものが多く、モバイルでの業務に支障が出る

一方で、前述のとおりPPAPは共有の一手段とすると、効率に関してはもう少し踏み込んで考える必要があります。

東京商工会議所が11月4日に発表した2020年の9月末から10月にかけて行った「テレワーク実施状況に関するアンケート」調査によると、テレワーク実施の最大課題は「コミュニケーション」であるという結果が出ています。こちらのブログ「ニューノーマルのコミュニケーションを支えるフロー情報とストック情報とは」でも触れたとおり、広義でのコミュニケーションにはコラボレーションが含まれ、結局コミュニケーションとは「相互理解」のためと言えます。そのためには、単なる会話（フロー情報）のやり取りだけではなく、ファイルやコンテンツ（ストック情報）を共有する必要があるのです。ストック情報だからこそ、セットとなったパスワードがどれか分からなくなるといった効率の問題もよりシリアスになるのです。

ポイントソリューションではなく全体を俯瞰すべき

そこで、この機会により効率化するべく、そのストック情報となるコンテンツやファイルの管理や活用について踏み込みたいと思います。図1のように、コンテンツには「作成」から「破棄」までのライフサイクルがあります。PPAPはこのライフサイクルの1プロセスである「共有」の際の1手段でしかないのです。本当の意味で効率を上げるには、このコンテンツのライフサイクル全体を俯瞰して対策をする必要があります。

なぜなら、1つのコンテンツがこのサイクルを回るからです。作成のところだけや共有のところだけを点で最適化しても全体の効率は上がらないのです。前述のPPAPの非効率性は解決する必要がありますが、PPAPの代替ソリューションを考える際には、全体を見る必要があるのはそのためです。

ソリューションとしてのBox

PPAPはセキュリティと効率という大きな問題を考えるきっかけを企業に与えましたが、PPAPだけに対応したポイントソリューションでは根本解決はしないことがご理解いただけたと思います。ここからはBoxを活用し、どう解決できるかについて触れていきます。

添付ではなく共有リンク、ただし、共有リンクにもセキュリティ強度がある

PPAPのソリューションとして、クラウドストレージが候補にあがっています。メールに添付をするのではなく、共有したいファイルをクラウドストレージにアップロードし、そのリンクをメールで知らせるという方法です。

ただし、どんなリンクでも良いわけではありません。いわゆるオープンリンクと言われる、知ってさえいれば誰でもアクセスできるリンクだと誤送信への対応やメールを転送されてしまった際のセキュリティは保てません。Boxも共有リンク設定にはいくつか種類があり、オープンリンクの機能もあります。機密度の低いコンテンツであればオープンリンクでも問題ないでしょうし、複雑な手順も不要なので、非常に便利に共有ができます。

しかし、機密度の高いコンテンツであれば、やはり共有すべき人をコラボレータとしてそのファイルやフォルダに招待した上で、適切な権限設定で共有をするべきです。そうすれば、例えそのリンクを悪意、過失問わず誤送信しようが、転送されようが、コラボレーター以外の人はアクセス権が無いため、情報漏えいすることはありません。

[SMART_CONTENT]

コンテンツのライフサイクル全般を支えるBox

Boxはクラウドコンテンツ管理プラットフォームとして、図2のとおりコンテンツの作成から破棄までの全ライフサイクルをサポートします。さらに、これらは他のアプリケーションやSaaSと連携して利用することもできます。つまり、ファイルやコンテンツを効率良く作成し、共有、活用、再活用し、保存や破棄していくことができるのです。

例えば、Box上でOffice OnlineやGoogle Workspaceを使って関係者と同時編集をしながらコンテンツを作成することができます。各々の場所やデバイスは問いません。同時作成や編集ではなく、編集中のコンテンツにはロックをかけ、関係者がバラバラに編集しても重複保存されないようにすることもできます。もちろん保存されたコンテンツは自動でバージョニングがされ、いつでも最新のバージョンにアクセスできます。ファイル名に「v1」等を付けて判別できるようにする必要はありません。

また、似たようなドキュメントは社内に必ずあるものですが、全文検索やメタデータ検索によってコンテンツを検索、再利用し、効率的に業務を進めることも簡単です。画像や自分のデバイスに編集用のアプリケーションが入っていないコンテンツを編集するには、図3のようにBox上のプレビューにアノテーションを付け共有相手とコラボレーションすることもできます。さらに、コンテンツの中には、法定保存が義務付けられているものもあるでしょう。保存期間をリテンション期間という形で破棄できないようにする機能もあります。また、逆に保存期間が過ぎたものは戦略的に破棄することもできます。

さらに、これらの機能をBoxからだけではなく、様々なアプリケーションと連携させ、そのアプリケーション越しに利用することもできるようになっています。例えば、Salesforceを使っている企業が、Salesforceで扱うコンテンツ（例：見積もり書や個人情報リスト）をSalesforceにではなく、Boxに保管することができます。これらのコンテンツは、必ずしもSalesforceだけではなく、Teamsでコミュニケーションされて編集されるかも知れないですし、Slackで開かれ、共有されるかも知れません。

もし各々のサービスにそのコンテンツが保管されたら、コピーや亜種がいくつもできて、どれが最新で正しいものか分からなくなります。当然、セキュリティの管理ポイントも増えるため、リスクも増えることになります。Boxと連携させることによって、例えあるコンテンツがアプリケーションをまたいで利用されても、Boxに一元管理され、共有リンクで共有されるため、あちこちにコピーやバージョンによる亜種が増えることや、どれが最新で真性なものか分からなくなるということもありません。当然セキュリティの管理ポイントも一点で済み、シンプルでBoxならではのコンテンツセキュリティも使えるため、高度に保てます。

まとめ

PPAPの議論は実は非常に広範囲かつ深いことに関わるのです。単にセキュリティが．．．やパスワードとメール本体が泣き別れで効率が．．．と言っただけのことではありません。コンテンツは、ニューノーマルの業務を支えるコミュニケーションの非常に重要な1要素を担っているのです。

PPAPは、あらためて普段意識しないファイルやコンテンツの存在に気づかせくれ、企業がその活用やセキュリティを含んだ管理を考える良いきっかけとなっているのです。コンテンツに注目することで、守るべきものが何かをあらためて考えることにより、効果的なセキュリティ対策が打て、企業の働き方が変わり、効率はもちろんのこと、競争力向上にも役立ちます。これを機会に、ぜひ自社の共有やコミュニケーションを含めた、コンテンツの管理、活用について包括的にレビューおよび対策をしてみてはいかがでしょうか。