Sky株式会社のPPAP廃止への取り組み

以前から有識者の間でセキュリティ対策として意味がないといわれていたPPAP(Password付きZIPファイルを送ります、Passwordを送ります、Aん号化〔暗号化〕、Protocol〔プロトコル〕)。
2020年11月、日本政府は「セキュリティ対策としても、受け取り側の利便性の観点からも適切ではない」としてPPAPを廃止し、今後は主に内閣府が利用する民間のストレージサービスでファイルを共有していくことを明らかにしました。このコーナーでは、Sky株式会社のPPAP廃止に向けた取り組みをご紹介します。

PPAP導入の背景とテレワークによる変化

PPAPは、添付ファイル付きのメールを取引先等の外部へ送信する際のセキュリティ対策として、広く利用されてきました。普及の背景は、内部統制報告制度(J-SOX法)や情報セキュリティに関する国際基準のISMSが関係しているという説が有力ですが、真偽は不明です。弊社でもお取引先からのご要望を受け、2008年からPPAPを採用していました。

ファイルサイズの大きなデータは以前から、ファイル共有のURLとパスワードを別経路で送信できるオンラインストレージを利用しています。ソフトウェアの開発データやSKYSEA Client Viewのログデータなど、現場で受け渡しを行えるものは、外付けストレージを利用することもありました。しかし、2020年に緊急事態宣言が発出されテレワークが増えると、これまで対面で行っていたデータの授受にもオンラインストレージを利用する必要が出てきたため、利用者数や件数が大幅に増加しました。

それまで200名程度のまま横ばいで推移していたオンラインストレージの利用者は、緊急事態宣言の発出後には300名弱にまで拡大しました。1か月あたりの利用件数も、2020年3月の約1,000件から、12月には1.5倍の約1,500件に増えています。当時利用していたオンラインストレージは、送信するデータが一定のファイルサイズを超える場合、オプション料金が発生する従量課金制だったため、コスト削減が新たな課題として発生しました。

中央省庁の影響でPPAP廃止の流れが加速

PPAPは、添付ファイルとパスワードの送信を同一経路で行う問題以外にも、添付ファイルがマルウェアに感染していても、ファイルが暗号化されているためウイルス対策ソフトウェアで検知されないことが多いという弱点もあり、むしろ危険性が高まります。また、国内で感染が拡大していたEmotetの攻撃メールの中には、マルウェアを含んだWord形式のファイルをZIPファイルで送信するものも含まれていたため、政府が2020年11月に中央省庁でのPPAP廃止を発表すると、大手企業も次々とそれに続きました。弊社でもテレワーク導入によりPPAPの利用が増えていたこともあり、リスク回避のため、ほぼ同時期にPPAPの廃止に向けてファイル送信の代替手段の検討を開始。ちょうどコスト面を理由にオンラインストレージの見直しを進めていたこともあり、PPAPの代替手段と併せて検討することにしました。

エンタープライズ向けのオンラインストレージは、外部ツールとの連携ができたり、ストレージ容量が無制限など、サービスによって機能面やセキュリティ面に違いがあります。弊社では、お客様と機密情報の受け渡しを頻繁に行うため、パスワードやアクセス権限の設定、アクセスログの取得といったセキュリティ対策が予算内でカバーできることを重視して、数社のサービスを比較検討した結果、セキュリティの必須要件を満たしていたDropboxに決定しました。国内でのユーザー数の多さや操作性も決め手です。

データの国内保管がサービス選択の条件

検討を重ねた結果、データセンターの設置国を指定できる法人向けのDropbox Businessを導入し、ストレージにアップロードされたデータはすべて日本国内のデータセンターに保管される条件で契約しています。オンラインストレージは海外のサービスが多く、日本国内にデータセンターが設置されていないこともあります。データに対してはデータセンター設置国の法律が適用されるため、日本国内では問題がない場合でも法令違反となる可能性があり、オンラインストレージを選ぶ際、国内にデータセンターが設置されていることが重要なポイントです。2021年3月にモバイルメッセンジャーアプリケーションのベンダーが、一部のデータを海外のデータセンターに保管していたことが明らかになった件では、データの保存地域や運用体制に関する告知が不十分だったことが問題視されました。また、オンラインストレージのような外部のサービスを介すことで、設定の不備などがあった場合に情報漏洩が発生する可能性もあります。

弊社のお客様の中には、そのようなリスクを考慮して、外部とのファイルのやりとりにオンラインストレージの利用を禁止している場合もあるため、当面はDropboxとPPAPを使い分けて運用していく予定です。第一弾として、もともとオンラインストレージを利用していた社員に限定して、2021年3月からDropboxの運用をスタートし、以前利用していたオンラインストレージのアカウントが不要になった社員に対しては、アカウントの削除を行いました。以前のオンラインストレージは、ピーク時にアカウント数が約300に達しましたが、現在は約100アカウントまで減少しています。しかし、お客様側でオンラインストレージへアクセスを禁止しているケースのように、完全な移行には課題が残っているため、解決策を検討中です。

同時に、管理面の強化も進めています。Dropbox Businessで用意されているAPIを利用してログ管理ツールを連携させ、詳細なログの収集・解析ができるようになりましたが、管理者の負担軽減を目的に処理の自動化を検討中です。細かな課題としては、社外秘のデータがアップロードされた際に、アラートで通知するシステムの準備が必要だと考えています。今後予定している全社展開に向けて、運用方法やルールを整備していきます。

導入から数か月たち、実際にDropboxを利用している社員からはファイルサーバーとしても利用したいという要望が多くなってきました。Dropboxの利用範囲の拡大と、別ソリューションの導入との比較を進めていく予定です。近年は、暗号化ZIPファイル付きメールの受信をすべて遮断する例もあり、オンラインストレージの検討が多くの組織で必要になっています。弊社も状況に応じて適切な方針転換ができるよう、準備を進めていきます。

※本記事に掲載の内容は、2021年7月時点のものです

ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら