PPAPの代替手段、どう選ぶべき?
一部報道にて、中央官庁における「パスワード付きファイルとパスワードを同じ経路で送信する運用(通称PPAP)」廃止を決定したと発表されました。
この発表以降、一早くPPAP運用の廃止を表明した民間企業も現れるなど、今後一層PPAP運用に替わるセキュアなファイル送信手段の重要性が高まると考えられます。
これから「脱!パスワード付きZIP送信」の運用を検討される企業様に、PPAPの代替手段として最適なオンラインストレージの活用方法をご紹介します。
パスワード付きZIPファイル送信運用(PPAP運用)とは
取引先など社外の宛先に添付ファイルをメール送信する際、パスワード付きZIPで暗号化されたファイルを用いる運用は、「PPAP(Password付きZIPファイルを送信、Passwordを送信、An号化(暗号化)Protocol(プロトコル))」と呼ばれています。
このPPAP運用方法は次のステップで行われます。
- 送信者は、添付ファイルをパスワード付きZIPファイルで暗号化し、メールに添付して送信する
- 送信者は、1.で送信した添付ファイルのパスワードを、別途メールにて送信する
- 受信者は、送信者から受け取った添付ファイルとパスワードによってファイルを復号化し、中身を得る
さまざまな場面で一般的に運用されているこの方法ですが、どこに問題があるのでしょうか?
PPAP運用の問題点
PPAP運用の問題は、添付ファイル復号用のパスワードを、添付ファイルと同一経路・同一の宛先に送信するということが、セキュリティ的に意味をなさないという点にあります。
仮に攻撃者がzipファイルを添付したメールを入手できるのであれば、同じ経路・宛先に送信される復号用パスワードも入手できる、と考えられることから、セキュリティ面において本質的な対策になっていないということが言えるのです。
また、添付ファイルのZIP化により、もし添付ファイルがマルウェアであったり、コンピュータウイルス等に感染しているファイルであったとしても、アンチウイルスソフトウェアでの検知が行えず、気付かないうちに端末に取り込んでしまうリスクも存在しています。
企業向けオンラインストレージで対策を
この対策のひとつとして、企業向けに提供されているオンラインストレージを活用することが挙げられます。
日本ワムネットが提供する企業向けオンラインストレージ GigaCCでは、クラウド上の対象ファイルにアクセスするためのURLを発行し、相手先にURLを伝えることでファイルを送信することができます。相手先の受取時(ダウンロード時)にパスワードを必要とする設定も可能です。万が一、共有するファイルを間違ってしまった場合でも、即座にそのURLを無効化できます。
さらに「独自ドメイン機能」オプションを利用することで、URLをお客様のドメインで発行することも可能です。
またGigaCCはさまざまなセキュリティ機能を実装しています。
- 通信経路はSSL/TLS方式、サーバ内はAES方式で暗号化
- アップロードされる全てのファイルに対してウイルスチェックを実行
- ファイルのアップロード時に、承認者による事前のダブルチェックが可能
- 証跡管理に役立つ、詳細な履歴ログ管理機能と全件バックアップ機能
- DRサイトを含め国内データセンターでのサービス運用
- サービスに対する定期的な第三者による脆弱性診断実施 など
GigaCCは日本企業における運用フローに最適な各種機能で、企業間ビジネスのセキュリティ向上と業務効率化を実現します。
CONTACT USお問合せ
見積ご依頼・資料ご請求もこちらからお気軽に!