福岡県でデザインパンフレットのことならお任せ!地域密着型サポートに自信あり!日広株式会社
電話番号092-573-7011、営業時間は8:30〜19:30までとなっております(土・日・祝休み)
Design & Production  of the Menu
カテゴリー

2021.09.03

(金)

mochida

ニュース, ビジネス


PPAP禁止に無料で対応できる?

 

パスワード付きzipファイルはセキュリティ面で逆効果

 

2020年11月、政府は平井デジタル改革担当大臣の記者会見において、
内閣府と内閣官房でPPAPを全面廃止すると発表しました。

 


PPAPとはビジネスメールでよく使われるファイル送信方法で、
「パスワードで保護したZIPファイル」をメールで送信し、
その後に「パスワード」を再度メールで送ることです。

 


ファイルには「パスワード」がかけられ、
その「パスワード」は別のメールで送信する。
…という2段構えの漏洩対策です。

 

「メールにファイルを添付するだけ」よりも
遥かに安全性が高いと考えられ、プライバシーマークの流行も一助となり
セキュリティを意識した組織ほど多用されていた手法です。

 

上記の手順には近年まで名前が無かったのですが、
ヒット曲のタイトルからPPAPと呼ばれるようになりました。

 

P・パスワード付きZIP暗号化ファイルを送ります
P・パスワードを送ります
A・暗号化
P・プロトコル(手順)

 

ただ、この手順、ちょっと手間がかかります。
ですがセキュリティを考えると多少の手間には
目をつぶるしかありませんでした。

 


ところが、みんなが我慢して使っていたこのPPAPが
セキュリティ面で効果が無く、
手間が掛かるだけだということが公になったのです。

 

 

理由はいくつかありますが、
主な理由は「暗号化ファイル」と「パスワード」を
メールという同じ経路で送るため、メールが傍受されている環境なら、
別々に送ってもメールは全てのぞき見されているということです。

 


これだけなら通常の添付メールと同じ状態なので、
手間がかかる以上の害はないのですが、
セキュリティに対しても重大なマイナス面が
存在することが広く知られるようになりました。

 

それは「パスワードで暗号化されたZIPファイル」が
サーバーやウイルス対策ソフトをはじめとする
セキュリティ障壁をスルーしてしまうことです。

 


ZIPの中身をウイルスチェックできるソフトもありますが、
「パスワードで暗号化されたZIPファイル」までは
ウイルスチェックを行う事が難しいのが現状です。

 

これにつけこんで、暗号化ZIPに特化したウイルス等の
マルウェアが多数確認されているとの事。

 


このようにPPAPの危険性が高まり、腰の重い政府ですら
全面廃止という流れになりました。

 

ちなみにPPAPと命名した方も、セキュリティ問題に警鐘を鳴らす為、
あえてこのような呼び方をし始めたそうです。

 

先に出てきましたプライバシーマークの認証機関も、
PPAP推進の元凶という誹謗に対して
「従来より推奨していない」と反論の声明を出しています。

 

PPAPの代替策

 

PPAP問題からセキュリティへの機運が高まり、
有料の代替ソリューションが群雄割拠している状況ですが、
無料の代替策としては「ファイル転送サービス」か、
「オンラインストレージ」の使用が候補になってくると思います。

 

代替その1.ファイル転送サービス

 

「ファイル転送サービス」はメールに添付するには
ファイルデータが大きすぎる場合に良く利用されますが、
セキュリティ面でも進化しています。

 

特に有料の「ファイル転送サービス」には高度なセキュリティが提供されているものが多々あります。

 

今回は“無料”の「ファイル転送サービス」に目を向けて、いくつか試してみました。

 

その中で、up300.net・データ便・firestorageの3つが趣の違う方向性なので紹介します。

 

up300.net
最大転送サイズ 1GB
パスワード × 
保存期間 30分~14日
ダウンロード回数制限 1回~50回
アクセス履歴 〇
ダウンロード履歴 〇
ダウンロード通知 ×
ウイルスチェック 〇
ファイル削除 〇

 

データ便(フリープラン)
最大転送サイズ 2GB
パスワード 〇 
保存期間 1時間~3日
ダウンロード回数制限 ×
アクセス履歴 ×
ダウンロード履歴 ×
ダウンロード通知 〇
ウイルスチェック ×
ファイル削除 〇

 

firestorage(無料会員)
最大転送サイズ 2GB
パスワード 〇 
保存期間 1時間~7日
ダウンロード回数制限 ×
アクセス履歴 ×
ダウンロード履歴 ×
ダウンロード通知 〇
ウイルスチェック 〇
ファイル削除 ×

 

up300.net」は設定項目は少ないですが、
そのぶん細かい指定が出来る転送サービスです。

 

「option」からダウンロード回数を1回に制限することができ、
デジタル情報特有の「盗まれたのか、盗まれていないのかが分からない」の
判別が可能なので、最悪でも漏洩の痕跡を見つけることが出来ます。

 

また、アクセス履歴とダウンロード履歴のIPアドレス表示も可能です。
ダウンロードの保存期間も最短30分からと非常に細かく指定できるため、リアルタイムでやり取りするときなど、長期公開する必要が無い場合にも手間がありません。
ファイルの削除も可能なので誤送信の際も対応できます。
個人製作のサイトの為か、広告が比較的少なめで簡素な作りなので、
初めてダウンロードする人にもサイトが見やすく使いやすいです。

 

 

データ便」はダウンロード期間を細かく設定し、
パスワード登録も可能な転送サービスです。

 

ファイルの削除もできるので、ダウンロード通知が来た時点で公開を終了させることもできます。

 

また、無料オプションで「セキュリティ便」が用意されており、
ダウンロード前に送信者へダウンロード申請を行う仕組みがあります。
やり取りはかなり煩雑になりますが、送り間違い防止などのセキュリティは向上します。

 

これらは無料にもかかわらず破格のサービスとなっていますが、
「データ便」から直接メールを相手へ送るのはオススメしません。
メール内に広告が多すぎて、本文がわかりづらくなっています。
ダウンロードURLをコピーして、自分でメールを書いて案内しましょう。
※「セキュリティ便」は仕様上「データ便」から相手先へ直接メールが送られてしまいます。
 (有料プランであれば、広告は消えます。)

 

ほとんど同じ姉妹サービスに「ネット便」があります。
こちらは「セキュリティ便」のオプション設定は有りませんが、
「データ便」無料プランの難点となる邪魔な広告表示が整理されているので
全体的にサイトが使いやすくなっています。

 

 

firestorage」もダウンロード期間を細かく設定し、
パスワード登録が可能な転送サービスです。

 

「ダウンロードスペース」という共有可能なオンラインストレージの新機能が追加されています。
頻繁にデータをやり取りをする場合に有効活用できそうです。
管理機能もあるのでダウンロードの履歴を確認できます。
データは最長14日で削除されるので長期保存は不可ですが、
転送サービスとして使うには丁度良いと思います。

 

難を言えば広告が多く、アップロードやダウンロードがしにくいです。
(もちろん有料プランにすれば、広告はカットされます。)

 

 

特長的な3つのファイル転送サービスを紹介しましたが、
無料プランにもかかわらず非常に効果的なサービスだと感じます。
ただ、無料ゆえに万全なセキュリティの担保には少し届かない印象です。

 

転送したファイルは長期保存されない為、内部セキュリティの観点からは
トレーサビリティが取れないという欠点も出てきます。

 

代替その2.オンライントレージ

 

データの保管サービスで有名なオンラインストレージにも、ファイルの共有や転送サービスが組み込まれています。

 

有名どころで…、GoogleドライブOneDriveDropboxなどなど。

 

これらはサーバーにも強力なマルウェア対策が行われており、
無料でも十分な信頼性を備えています。

 

ファイルをアップロードして、そのファイルに共有設定で
リンクURLを生成すればファイル転送サービスと同じように
簡単にメールやチャットでリンクURLを案内できます。
邪魔な広告も表示されない為、ダウンロードする方にとっても
使いやすいかもしれません。

 

ファイル共有まで必要ない場合は、ファイル転送サービスが使えます。
例えばDropboxでは「Dropbox transfer」という転送サービスが
共有とは別に用意されています。
リンクURLは期限を過ぎると無効となるので、
手作業で無効にする手間もありません。
ただ、ダウンロードパスワードの設定が必要な場合は
有料プランのサービスとなっているので、
無料プランではDropbox上でファイル自体に
パスワードを設定をする必要があります。

 

オンラインサービスはファイルの共有が簡単に出来るように設計されており
大変便利ですが、しっかりとした管理を行う必要があります。

 

たとえば、今年福岡県で下記の様な事件がありました。

 

福岡県のコロナ感染者情報流出 名前など9500人分 外部からデータ閲覧可能に

 

これはGoogleドライブの有料プランでファイル共有の権限を設定していれば、リンクURLを組織外に誤送信してしまっても流出する事はなかった案件でした。

 

 

まとめ

 

ファイル転送サービスにしてもオンラインストレージにしても、
パスワードを付加する場合は、送信経路を別にしなければ意味が無い為、
メール・チャット・ショートメールなど複数の経路を送信相手と確立しておくことが必要になるかもしれません。

 

PPAPに関してはその煩わしさも問題となっていましたが、
簡単なセキュリティ代替案は無料では難しそうです。

 

セキュリティを徹底している組織であれば、
これまで以上にコストをかける事が必要になってくるでしょう。

 

※ファイルの重要度とコストの兼ね合いで、
ある程度のセキュリティ担保であれば、
誤送信にさえ気を付ければメールに
ファイル添付でも支障はないと思います。

 

追記
情報の漏洩はメールの傍受といった攻撃よりも、「誤送信」によるものがほとんどと言われています。

 

そして、誤送信に気づくのは本人の場合が多いため、メールソフトの設定で「送信後に数分保留してからメールが送信される」というような対策も予防の観点からオススメします。

 

 

※システムの情報は2021年8月時点のものです。

お見積もり大歓迎!お問い合わせはこちら
オンラインご相談・お問い合わせ
コロナウイルス対策POP
フクオカマンガドットコム
福岡キャラクタードットコム
外国語反訳パンフ制作
新卒採用戦略
コンペ参加します
特集メニュー
専門用語まるわかり

複雑な広告用語や印刷用語などをスタッフが楽しく分かりやすく紹介しています。

ついつい始めちゃいました福岡パンフレットブログ
広告・販促情報満載!!NikkoMagazine!メルマガ始めました
メールマガジンのバックナンバーはこちら
パワーポイントテンプレート無料配布中!
よくあるご質問