「PPAP」vs「Google ドライブ」─ 安全に共有できるのはどっち?

皆様の会社では、社外の相手に資料を共有するときに、どのような方法で送っていますか?
メールにパスワード付き ZIP ファイルを添付し、パスワードを後からメールで送る「PPAP」という共有方法を使っている方をよく見かけますが、実はそれ・・・とても危険なんです。
本ブログの担当者も、以前勤めていた会社で「PPAP」による共有を利用していたところ、ある日突然「PPAP はウイルス感染の危険性があるから使用禁止!Google ドライブに格納し、URL でアイテム共有をするように!」と、情報システム部門より全社的に指導が入りました。
本日は、
「パスワードをつけているのに何故 PPAP =危険 と言われるようになったのか」
「Google ドライブに格納し URL で共有することは本当に安全なの?」
という点をしっかり見ていきましょう!
★ 本ブログの内容は、動画版でもご用意しております!
↓↓↓
【 Googleドライブお悩み解決 ♯2】メールにパスワード付きアイテムを添付する「PPAP」・Googleドライブからの共有、どちらが安全なの?情報漏洩を防ぐ方法を徹底解説!
目次
PPAP の危険性
ではまず、「PPAP」とはどういった共有方法なのかを見ていきましょう。
< PPAP とは>
ファイルを「パスワード付き ZIP ファイル」に圧縮し、メールに直接添付しメールを送り、後ほど別メールでパスワードを送信するファイル共有方法。
「PPAP」は、セキュリティ対策として日本で広く使われてきましたが、問題点が指摘されるようになり、現在は政府も廃止を推奨しているファイル共有方法です。
「パスワードをつけて送るのになぜ安全ではないのか」と少し不思議ですよね。
では早速、指摘されている「問題点」を見ていきましょう。
大きく分けて 2 つの問題が指摘されています。
① マルウェア感染
メールに添付された「パスワード付きZIPファイル」を経由して、マルウェアに感染するというリスクがあります。
「うちの会社はセキュリティソフトを入れているから大丈夫!」と思われるかもしれませんが、 「圧縮ファイルの中身までチェックできるセキュリティソフト」でなければ、メール受信時のウイルスチェックで圧縮ファイル内のマルウェアを検知できません。
気づかないうちに相手からウイルスを貰うことも、逆に相手に感染させてしまうこともあります。
自社が被害に遭うことも勿論困りますが、「大切なお客様先にウイルスを感染させてしまう」という状況は信頼関係にも影響を及ぼすため、 1 番避けたい状況ですよね。
② メール誤送信
「パスワード付き ZIP ファイル添付メール」「パスワード記載メール」を分けて送信したとしても、宛先のメールアドレスを「手打ち」している方はいないのではないでしょうか。
メールアドレスを「手打ち」する対応は、タイプミスも発生する恐れがあるため、「アドレス帳に登録しているメールアドレスを呼び出す」対応や「メールアドレス情報が記載された資料などからコピーして貼り付ける」対応をすると思いますが、こちらの対応である場合、高確率で「パスワード付き ZIP ファイル添付メール」「パスワード記載メール」は同じ宛先に送信されています。
そもそも「メールアドレスの登録自体を誤っている」「コピー元の情報が誤っている」場合、メールを 2 通に分けて送信しても、2 通とも同じ宛先に届くため、「誤送信先の相手は、結局ファイルも、パスワードも確認ができてしまう」状況になります。
また、同じ通信経路でファイルとパスワードが送られるため、盗聴されるリスクも残っています。
「自社にとっても、取引先にとってもマルウェア感染(ウイルス感染)のリスクがある」
「誤送信を防ぐ体制になっておらず、情報漏洩のリスクがある」
この 2 点が問題視されており、政府が廃止を推奨しています。
▼(例) 文部科学省における添付ファイル付きメールの運用に関するお知らせ
https://www.mext.go.jp/a_menu/other/mext_01727.html
PPAP と比較し Google ドライブ はどう安全なの?メリットの確認
では、政府が「PPAP」の代替案として採用しているのはどのような共有方法なのか見ていきましょう。
政府は「クラウドストレージにファイルをアップロードして、その共有リンク URL をメール等で共有する方法」を採用しており、多くの企業も利用ツールは様々ですが、同様に「クラウドストレージサービス」を導入し、共有方法を切り替えています。
本日は、「PPAP」の代替案として多くの企業が採用している「Google ドライブ」の安全性について確認していきましょう。
① 「マルウェア感染」の可能性は?
Google ドキュメントヘルプには『Google ドライブにアップロードされたファイルや、Google ドキュメントで作成されたファイルはすべて、
転送中も保管時も AES256 ビット暗号化で暗号化されます』と記載されています。

▼ Googleドライブヘルプ:ドライブ、ドキュメント、スプレッドシート、スライドで暗号化されたファイルを使ってみる
https://support.google.com/drive/answer/10519333?hl=ja&co=GENIE.Platform%3DDesktop
<AES256 ビット暗号化とは>
Advanced Encryption Standard (AES) の256ビット鍵長を用いた暗号化方式。
AESは、米国政府が採用している対称鍵暗号方式で、データをブロックごとに分割して暗号化。
AES256は、最も長い256ビットの鍵長を使用するため、セキュリティ強度が高い。
また、URL を確認すると『https通信』であるため、暗号通信されていることがわかります。
送る前にすでに暗号化されており、ウイルスが送信中に入り込むことを防いでいるので、通信は「安心」が担保された状態といえます。
② メール誤送信の対策
他のサービス同様、Google ドライブも「誤送信自体を完全に0にする」機能はありませんが、「誤送信に気づいた時に、対処できる」という点が PPAP と大きくことなります。
PPAP
メールに「直接ファイルを添付する」対応のため、送信後に「宛先間違い」や「添付物間違い」が発生しても、「やっぱり送信を取りやめます!」ということはできません。
「送信する=手元から離れる」対応となるため、「誤送信したため、メールを削除してほしい」と要望を送ること以外、できることはありません。
Google ドライブ
Google ドライブに格納し、「格納場所の URL」を送信する対応であり、「入り口を共有するけれど、アイテム自体は自分の手元にある」状態が維持されています。
送信後に「共有設定を解除する」「ファイルを削除する」「ファイルを差し替える」という対応を行うことができます。
※ URL を変更せず「ファイルの差し替え」をすることができます。(版管理)
※ 共有設定を変更すると、すでに送信したURLを受信者がクリックしても「開けない」状況にできます。

PPAP の問題点として挙げられていた 2 点を、Google ドライブによる共有は解消することができますよ。
PPAP よりは安全な Google ドライブは「完璧」といえるの?
デメリットをご紹介
いい点ばかりを説明しても、少し不安になると思いますので、「Google ドライブによる共有の欠点(デメリット)」についても触れていきましょう。
Google ドライブからの共有は、「ウイルス感染」などの外部からの攻撃には強いのですが、
「内部からの情報漏洩」に対して、実は完璧とはいえません。
前の章で「誤送信を行っても、誤りに気付いたら共有を解除したりファイルを削除できる」と記載しましたが、「そもそも誤送信に気づかなかったら」結局はずっと「情報漏洩」が起こっている状況が続きます。
どうしても、「共有の操作をするのは人間」なので、ヒューマンエラー、ミスを完全に 0 にするのは難しい、というのが課題です。
Google ドライブからの情報漏洩事故は度々ニュースになりますが、「共有設定を誤っていて、気づかなかった」「共有すべき期間を終えたのに、共有の解除を忘れていて、ずっと何年も共有が続いている」というヒューマンエラーが原因のものばかりです。
PPAP よりも、「気づいたときに対処ができる」という点ではマシですが、そもそも気付けなかったら、というリスクが残ってしまう、というのが Google ドライブ の課題でしょう。
もちろん、「Google ドライブだから」ではなく、全ストレージサービス同じ課題を抱えています。
Google ドライブを「より安全に・簡単に」利用できる方法は?
「気づいていないミスには対処できない」これは当然ですよね。
「誤送信に気づけなかった、ということに対処できるシステム」
そんな便利なシステムがあるわけ・・・
実はあるんです!!!
「DriveChecker」の「自動解除」を利用すること で、「気づいていないミスによってできたセキュリティの穴」を塞ぐことができます!
DriveChecker の自動解除機能とは・・・
- 共有開始した日から●日経過後に共有権限を自動的に解除するシステム
- マイドライブ・共有ドライブ共に機能対象
- 「アドレスを指定した共有」のみではなく「リンクを知っている全員」も対象
- 「アドレスを指定した共有」と「リンクを知っている全員」は別の日数を設定可能
各社員ごとに、 1 回の共有ごとに、共有期限を手動で設定させるのではなく、全社ルールとして「共有から●日経過後に共有を解除する」仕組みを作ることができるため、”ヒューマンエラーを無くす”事ができるんです。
自動解除機能については紹介動画もご用意しておりますので、ご興味のある方は是非ご覧ください!
また、それ以外にもこんなお悩みをDriveCheckerであれば全て解消することができます!
- リンクを知っている人全員への共有を禁止したい
- ユーザー単位で外部共有の可否を簡単に設定したい
- 社外にアイテムを共有する時に上司に承認を得るワークフローが欲しい
- 上司が部下のマイドライブであっても迅速に共有状況の変更がしたい
DriveChecker には 14 日間無料トライアルもございます。
ご興味がございましたら、ぜひ「資料ダウンロード」のページからパンフレットをご覧ください。
まとめ
いかがでしたでしょうか。
Google ドライブは、安全に・簡単に外部にアイテムを共有することができるツールなので、ぜひ活用してみてくださいね。
Google ドライブの活用方法や管理方法についてお悩みがあり、DriveChecker にご興味がある場合は、お気軽に フォーム よりお問い合わせください。
今後も Google ドライブの活用方法について発信してまいりますので、ぜひまた次回のブログでお会いしましょう!