トップ

/

安全なファイル共有とは?PPAPの情報漏洩リスクとその対策

安全なファイル共有とは?
PPAPの情報漏洩リスクとその対策

PPAP問題

PPAPとは、暗号化したパスワード付き zipファイルをメールに添付し、その後解凍用パスワードを別メールで送信するセキュリティ対策の方法です。主に社外の取引先にファイルを共有する際の、企業間のセキュリティ対策手段として浸透してきました。

現在では問題点が指摘され、PPAPを禁止する企業が増えています。

ppap

PPAPとは「パスワード付き zipファイル」を送信する手順をもじった略語です。

P:「Passwordつきzip暗号化ファイルを送ります」
P:「Passwordを送ります」
A:「Aん号化(暗号化)」
P:「Protocol(プロトコル)」

PPAPを利用することで発生するリスク

暗号化されたzipファイルからのマルウェア感染

添付ファイルを利⽤した標的型攻撃が増加していますが、パスワード付きzipファイルで暗号化されていると、 従来のセキュリティチェックサービスでは悪意あるウイルスの実⾏プログラムを検知・除去することができません。 実際に「Emotet」と呼ばれるマルウェアの流⾏では、多くのPPAPを利⽤する企業が被害を受けました。

盗聴対策の効果が低い

添付ファイルをzipで暗号化する⽅法は過去に送信経路上での盗聴を防ぐために始まった⼿法ですが、今では、 ほとんどのメールサーバーが暗号化通信を⾏っており、経路の途中で盗聴されるリスクはほぼありません。 セキュリティインシデントの多くは、メール受信経路ではなく、エンドポイントで発⽣しています。

誤送信(宛先間違い)のリスク

PPAPでは、1通⽬のファイルを添付したメールと2通⽬のパスワードを記載したメールを同じ宛先に送信するため、 誤送信の対策にはなりません。また、ファイル本体をメールに添付して送信するため、後からファイルを削除して 取り消すこともできず、誤送信による情報漏洩が発⽣すると被害が拡⼤する可能性もあります。

政府や企業で加速する「脱PPAP」

問題点が多く利用が疑問視されてきたPPAPを廃止しようと、
現在、政府や企業の間で「脱PPAP」の動きが広がっています。

政府の動き

2020年11月、平井卓也デジタル改革担当大臣(当時)が中央省庁で「自動暗号化ZIPファイルを廃止」する方針を示し、内閣府および内閣官房でPPAP廃止を表明しました。

国民から意見を募るWebサイト「デジタル改革アイデアボックス」で、「脱PPAP」が投票数1位の支持を得た結果を反映したものです。

平井大臣の記者会見は大きな話題となり、2022年1月には文部科学省でもPPAPを廃止すると発表。また、脱PPAPを宣言する民間企業が続くなど大きな影響を与えました。

企業の対応

政府の発表を契機に、民間企業においてもPPAPを禁止する流れが加速しています。

そのほかの企業では、2020年12月にはクラウド会計ソフトのfreee、2021年12月には日立グループ、2022年2月にはソフトバンクなどが廃止を表明しています。

今後も企業におけるPPAP廃止への動きは続いていくとみられます。

どのPPAP対策を選ぶべきなのか?

PPAP対策①
ファイルとパスワードを
別の通信経路で送る
PPAP対策②
ファイル転送サービス
PPAP対策③
クラウドストレージ
安全性 ×
導入時の手間
導入コスト
運⽤時の⼿間
運⽤コスト
×
説明 別の経路を準備することは理論上安全です。しかし利用環境の準備と日々の運用の手間によりヒューマンエラーが起きやすい課題が残ります。 ダウンロード用URLを受信側に伝え、受信側がURLへアクセスしダウンロードする仕組みです。

別途契約の必要があったり、ダウンロードURLの期限が切れてしまうと過去履歴の確認に再送してもらうなどの手作業が必要となります。
Google ドライブ™ 等のクラウドストレージにファイルをアップロードして、その共有リンクURLをメール等で共有する方法です。

送信時のURLもSSLで暗号化される上に、誤送信をした場合も手元のストレージで共有リンクを止めることができるので、安全性の高いクラウドストレージを使用すれば、組織的にセキュリティを管理できます。

安全に共有が可能で文部科学省でもPPAPの代替案として採用されています。

クラウドストレージは
Google ドライブ™ がおすすめ

Google 社は世界最大の
インターネットセキュリティ企業

google.inc

Google 社は世界最大の検索エンジン企業です。そして「google.com」は、最も世界で攻撃を受けているといわれています。

そのため、Google は24時間対応の専門のセキュリティ担当者を多く抱え、常にインターネット上の攻撃から顧客のデータを守るために多くのリソースを投入しています。

つまり、世界で最も最新の攻撃手法を熟知し、研究できているとも言えるのです。

また、Googleドライブのファイルは物理的に、一つのサーバーに置かれているわけではありません。実際は、世界中のサーバーに分散され、ファイルはシュレッダーで裁断されたような状態で保存されています。

悪意のある人物が、仮に Google のサーバーに侵入できたとしても、狙ったファイルを取得することは大変困難なのです。

このように世界最高水準の仕組みで守られた Googleドライブ は、ファイル共有をするための場所としても最適なのです。

Google ドライブ™ の3つの安全性

社内のサーバーに保存していたファイルを新たに Google ドライブ™ に保存するとなると、情報漏洩などセキュリティ面の心配をされる方も多いのではないでしょうか?

クラウドストレージが広がっている背景には Google ドライブ™ におけるセキュリティ対策の担保があります。

暗号化処理

Google に保存されるデータは全て暗号化され、データの移動についても暗号化されているので、ユーザーの情報は保護されます。

暗号化

最先端のデータセンター

Google のデータセンターには、カスタム設計された電子アクセスカード、生体認証などの安全保護対策が施されており、物理的なセキュリティ性が確保されています。また、レーザー光線による侵入検知システムや高解像度の監視カメラを設置し、常に侵入者の検知と追跡に対応します。

立ち入りできる社員はほんの一握りであり、実際にデータセンターに足を踏み入れたことのある Google 社員は1%もいないと言われています。

データセンター

厳格なプライバシー基準とセキュリティ基準に準拠

Google は、ISO/IEC 27001(情報セキュリティ)を始めとする様々な認証や基準に準拠しており、定期的に複数の独立した第三者機関による監査を受けています。また世界各国の法令にも遵守しており、信頼性が客観的に評価されています。

基準に準拠

Google ドライブ™ の
メリット&デメリット

メリット

  • Google アカウントを持っていない方への共有も柔軟に可能なため、使い勝手は非常に良い
  • Google Workspace は二段階認証のためログイン時のセキュリティレベルが高い
  • 大容量ファイルでもデータ授受がスムーズ

デメリット

  • 管理者が⾃社の Google ドライブ内の共有状況をひと⽬で把握しづらい
  • 個々のファイルの共有管理がそのファイルのオーナーまかせになり、 ⻑期間外部共有されたままになっていても、管理者側で容易に把握できない

PPAP対策方法は
「Google ドライブ™ ️+ DriveChecker 」がおすすめ

PPAP対策として、高いセキュリティの Google ドライブ™ に加えて DriveCheckerをご利用いただくと、誤って共有してしまうなどの人為的なリスクに対して、組織的に対策を打つことができます。

「Google ドライブ™ ️+ DriveChecker 」が特に優れている3つの理由

アクセス権で管理

アクセス権で管理

Gmail標準機能でメール送信時の対象ファイルにアクセス権が付与されていなければ、確認画面が表示されるため宛先間違いに気付きやすい。もしもアクセス権が付与漏れしていた場合、送信時にアクセス権を設定出来る便利仕様です。

ヒューマンエラー対策

ヒューマンエラー対策

DriveCheckerのシステム上でブロックリストやホワイトリストを設定しておくことで、万が一にヒューマンエラーを起こしても、システムがブロック情報を取得し外部共有が制限されるため安心です。

自動でブロック

自動でブロック

DriveCheckerのシステム上でユーザー設定により、社内ポリシーで外部共有が許可されていない対象外ユーザーが外部共有しようとした場合、対象ファイルがDriveCheckerに検出され、外部共有が自動でブロックされます。

※ブロック設定にはユーザー属性の「外部共有禁止」や「外部共有申請」に事前設定が必要です。

DriveChecker を無料で
お試しいただけます

Google Workspace をご利⽤中の⽅は、初⽉無料で DriveChecker をお試しいただけます。
以下のフォームに必要事項を記⼊してお申し込みください。

(詳細は 無料トライアル のページをご確認ください)

DriveChecker は、Essentials Starter には対応しておりません。

DriveChecker は Google Workspace のアドオンツールです。Google Workspace をまだご契約されていない方は「なし」とご記入ください。

DriveChecker 利用規約本サービスを利用申し込みした法人または個人(以下、「お客様」)と、株式会社ターン・アンド・フロンティア(以下、「当社」)は、DriveCheckerの利用に関して以下の通り合意します。

第1条(定義) 1. 「本サービス」とは、当社が提供するDriveCheckerのサービスの全部または一部、そのほか関連する資料、文書、印刷物等の有体物、オンライン上または電子的なドキュメントやファイルのことを指します。 2. 「本規約」とは、本利用規約を意味し、お客様がホームページまたはメールなどでのお申込みを行った時点で、本利用規約に関してお客様の合意が得られ、本サービスに関する利用契約が成立したものとします。
第2条(本サービスの使用) 1. お客様は、自己使用の目的でのみ本サービスを使用することができることとし、当社の書面による事前の承諾なしに、本契約上の本サービスに関する使用権を第三者に再許諾もしくは譲渡、または本サービスを第三者に譲渡、転貸もしくは占有の移転を禁じます。 2. お客様は、いかなる目的においても、当社の書面による事前の承諾なしに、本サービスの全部または一部を変更、改変または複製を禁じます。また、第三者にも当該行為をさせることを禁じます。 3. お客様は、いかなる目的においても、本サービスの全部または一部について、他のプログラム等との結合、または逆アセンブルおよび逆コンパイル等の行為を行うことを禁じます。また、お客様は第三者に当該行為をさせることを禁じます。 4. お客様はサービス利用(トライアル利用含む)が存続する間および利用終了後2年以内は、当社の書面による事前の承諾なしに、本サービスと類似する商品の開発、販売を行なわず、第三者にも行なわせないことを承諾したものとします。
第3条(届出内容の変更) 1. お客様は、利用登録の際申請した住所、Eメールアドレスその他当社への届出内容に変更があった場合は、速やかに当社所定の方法により変更事項を届け出るものとします。 2. 前項の届出がないこと、または登録事項の不備により、お客様が不利益を被ったとしても当社は一切責任を負わないものとします。
第4条(使用権およびライセンス料) 1. 当社は、お客様に対し、本契約に基づき譲渡不能な使用権を許諾します。 2. お客様は当社または代理店に対し、前項の使用権の対価として、別途定める条件に同意していただき、ライセンス料をお支払するもとのします。お支払に必要な振込手数料その他の費用は、全てお客様でのご負担とします。 3. ライセンス料は変更となる場合があります。 4. お客様と当社において別途定められた期日までに支払がなかった場合、お客様は期限の利益を失い、当社に対する一切の債務を直ちに履行することとしし、本契約に基づく金銭債務の支払を遅延したときは、当社に対しお客様は、期限の利益を喪失した日から支払済みに至るまで、年14.6%(年365日日割計算)の割合による遅延損害金を支払うものとします。
第5条(保証責任)
当社は、本サービスの提供にあたり、万全の注意を払って開発しておりますが、お客様の本サービス(本サービスによって結果的にお客様が得る情報を含みます)の使用に関して、正確性、完全性、有用性、最新性、その他事項については保証しないこととします。

第6条(機密保持) 1. お客様及び当社は、本サービスに関する情報およびその他本契約に関連して知り得た一切の情報(以下、「機密情報」)を、相手方の書面による事前の承諾なしに、いかなる形においてもその内容を第三者に利用、開示または漏洩を禁じます。なお、本条の機密保持義務は、本契約終了後も効力を有することとします。 2. お客様は、善良なる管理者の注意をもって機密情報を厳重に管理するとともに、機密情報を使用するお客様の従業員に対しても、前項の機密保持義務を遵守させることとします。
第7条(禁止事項)
本サービスの利用にあたり、お客様は次に記載する行為を行わないこととします。
a. 本サービスの提供を妨げる行為 b. 当社又は第三者の著作権その他知的財産権または名誉、信用、プライバシー等の人的利益を侵害する行為 c. 犯罪行為もしくは犯罪行為を助長する行為、又はそれらのおそれがある行為 d. コンピュータウイルス等の他人の業務を妨害、もしくはそのおそれのあるコンピュータプログラムを本サービスに利用して使用したり、第三者に提供したりする行為またはそのおそれのある行為 e. その他、他人の法的利益を侵害し、公序良俗に反する行為、又は法令に違反する行為 f. その他、本サービスの提供において不適当であると判断される行為
第8条(権利の帰属) 1. お客様のコンテンツの知的財産権は、お客様又はお客様が許諾を受けた第三者に帰属します。また、コンテンツ管理はお客様自身の責任において管理されるものであり、当社はその内容等について一切の責を負いません。 2. お客様は、本サービスに関する産業財産権および著作権等の一切の権利が当社または、当社が使用許諾を得ている第三者に帰属していることを認めるとともに、これら権利の侵害を禁じます。 3. お客様に対し、本サービスの使用権および利用規約上の地位のみを許諾しますが、本サービスおよび一切の派生物にかかる著作権、その他の知的財産権並びに所有権その他いかなる権利も付与しません。
第9条(期間および解除) 1. 本契約の有効期間はサービス利用開始日より1年とし、有効期間内のお客様都合によりお客様申し出による解約は、これを認めますが利用料金の返金はありません。 2. 本契約は、期間満了の30日前までに定められた連絡方法による事前通知がない限り、自動的に継続することとします。 3. お客様が次の各号の何れかに該当する場合、当社はお客様に対し通知、催告を要せず直ちに本契約を解除することができることとします。 a. 本契約上の義務を履行せず、その他本契約に違反した場合で、当社が相当の期間を定めて催告したにもかかわらず、これを是正しなかった場合 b. 差押、仮差押、仮処分、公売処分その他公権力の処分を受け、または民事再生手続開始、会社更生手続開始、特定調停、もしくは破産その他倒産手続開始の申し立てがなされた場合 c. 手形交換所の取引停止処分、または公租公課の滞納処分を受けた場合 d. 資産、信用状態が悪化し会社の存続が危ぶまれる場合、またはそのおそれがあると認められる相当の事由がある場合 e. 総会屋、「暴力団員による不当な行為の防止等に関する法律」に定義する暴力団およびその関連団体およびその他反社会的勢力(以下「反社会的勢力等」という)であるとき、または反社会的勢力等であった場合 f. 役職員又は主要な出資者が、反社会的勢力等の構成員であるとき、またはあった場合 g. 自らまたは反社会的勢力等を利用し、相手方に対して詐術、暴力的行為、不当要求または脅迫的言辞を用いた場合 h. 自らまたは反社会的勢力を利用し、相手方の名誉・信用を毀損し、または毀損するおそれのあると認められる場合 i. 自らまたは反社会的勢力を利用し、相手方の業務を妨害し、または妨害するおそれのある行為をし、または妨害するおそれのあると認められる場合 4. 前項により本契約が解除された場合、お客様は期限の利益を失い、当社に対する一切の債務を直ちに履行することとしし、本契約に基づく金銭債務の支払を遅延したときは、当社に対しお客様は、支払期日の翌日から支払済みに至るまで、年14.6%(年365日日割計算)の割合による遅延損害金を支払うものとします。 5. お客様は既に支払った利用料その他一切の料金は、返還を求めることはできないものとします。 6. 契約終了後であっても第3条から第8条は、有効に存続することとします。
第10条(お客様情報の取扱) 1. 当社は、お客様が利用登録の際に申請した情報、本サービスの利用状況などのお客様情報を厳重に管理し、次のいずれかに該当する場合の他は第三者に開示しないものとします。 a. お客様の同意がある場合 b. 法令などにより開示を求められた場合 c. 当社の権利または財産を保護する必要がある場合でお客様の同意を得ることが困難な場合 d. 人の生命、身体または財産の保護のために必要であって、お客様の同意を得ることが困難な場合 2. 当社は前項のお客様情報を、当社通常の営業目的や顧客に有益と思われる情報提供に利用できることとします。また、統計資料などに加工して利用できることとします。 3. 当社は、お客様の本サービス利用状況および問題発生のログなどのデータを、システムを通じて自動的に収集できるものとします。なお、収集データには、お客様が本サービス利用登録の際に申請した情報などのデータは含まれません。 4. 当社は、収集データを以下に記載する目的に必要な範囲において利用するものとします。 a. お客様による本サービスのご利用状況の把握のため b. お客様に対する当社の本サービスに係る保守サービス提供のため c. 本サービスに係る品質の維持、向上、改善を行うため d. 当社が本サービスに関するマーケティング、分析、調査を行うため 5. お客様は、当社が前項のお客様情報をダイレクトメールなどによる当社からの情報提供に利用できることに同意するものとします。但し、お客様から情報提供の受信を拒否する旨の通知があった場合、当社はそれ以降情報提供を行わないものとします。 6. お客様は、当社がお客様情報を当社が業務を委託する会社に提供することに同意するものとします。この場合、当社は当該お客様情報の取り扱いについては、当社における取り扱いと同様、細心かつ善良なる管理者としての注意を持って取り扱うことを義務付けます。
第11条(変更) 1. 当社は、お客様の事前了承を得ることなく、随時本規約を追加、変更または削除することができることとします。 2. 当社は、前項の変更を行う場合には、変更後の本規約の内容を、本サービス上での掲示または電子メールなど当社が適当と判断する方法によって、お客様に告知するものとします。
当該告知に基づき変更後の本規約の内容が本サービス上で掲載または電子メールによる送信がなされた時点をもって変更の効力が生じるものとします。
本規約の変更後は、その変更に基づき本サービスの利用条件等が変更されることを承諾したものとします。

第12条(サービスの停止) 1. 当社は次の場合には、善良なる管理者の注意を以って、本サービスの提供を中止することがあります。お客様はあらかじめこれに合意したものとします。 a. 当社による本サービスのメンテナンス、工事、設備不具合などやむを得ないとき b. 電力、電気通信事業者による電気通信サービス提供の中止、又はその他不可抗力に基づく場合などやむを得ない事由によるとき 2. 当社は、前項により本サービスの提供を中止する場合には、事前にお客様に通知するよう合理的な努力を行います。但し、事前通知について、緊急やむを得ない場合はこの限りではありません。
第13条(責任制限) 1. 当社は、本サービスの提供、中断、中止、障害等に起因してお客様および第三者に発生した損害について、一切の責任を負いません。また、本サービスの利用停止、契約終了に起因してお客様および第三者に発生した損害について、一切の責任を負いません。 2. 前項の定めにもかかわらず、本契約に関し、万一、当社がお客様の損害を賠償する事態が生じた場合、債務不履行、瑕疵担保、不当利得、不法行為その他請求原因の如何によらず、その賠償額は当該損害の発生年にお客様から当社への支払い済みの利用料合計額を上限とするものとします。
第14条(不可抗力)
本契約に定められた当社のお客様に対する履行義務が以下の事由によりその一部又は全部が遅延し、若しくは不可能となった場合には、当社はその責任を負わないこととします。但し、当社は、当該原因が除去されたときは、速やかに本サービスの履行を再開することとします。尚、当該原因により、本サービスの履行が不可能と当社が判断した場合には、当社は、本契約を即時解除できることとします。
a. 天災地変、戦争、暴動、内乱、重大な疫病、法令の改廃、制定、公権力による命令処分等が発生したとき b. その他当社の、吸収、合併、売却、事業の停止、及びサービス提供の停止等の事象、不可抗力により当社の責に帰ることのできない事態が発生したとき
第15条(裁判管轄)
本サービス利用に関し、お客様と当社との間で万一訴訟の必要が生じた場合、訴額にかかわらず、お客様は当社本社の所在地を所轄する簡易裁判所または地方裁判所を合意管轄裁判所とすることに同意するものとします。

第16条(協議事項)
本契約に定めのない事項その他本契約に関して生じた疑義については、お客様と当社両者が誠意をもって協議のうえ解決することとします。

2023年5月8日 改定
株式会社ターン・アンド・フロンティア