• ファイル共有
  • オンラインストレージ
  • マルウェア対策
  • インタビュー

脱PPAP! 代替策に何を選ぶべきか?
純国産オンラインストレージの安心と使いやすさに注目!


                                                                        gigacc_article.jpg

皆さん、こんにちは。ITPNAVI編集部の吉田です。多くの人が抱えるITに関するお悩みの解決策を、その道の専門家に教えて貰う「吉田が訊く!」。
第4回目は、「脱PPAP」の必要性と、それを実現するオンラインストレージの選定ポイントをご紹介します。

企業間でのファイルの送受信に関して近年話題になっているのが、「脱PPAP」です。マルウェアである「Emotet」の感染拡大などでPPAPを見直す機運が高まる中、オンラインストレージが注目されています。今回は、純国産オンラインストレージ「GigaCC」を開発した日本ワムネット株式会社に、PPAPの課題から脱PPAPを実現するオンラインストレージを選ぶ際のポイントまで伺いました。

 日本ワムネット株式会社 マーケティング部 部長 古谷 太郎 氏
日本ワムネット株式会社
マーケティング部
部長
古谷 太郎 氏
日本ワムネット株式会社 マーケティング部 マーケティングチーム 主任 中野 健太郎 氏
日本ワムネット株式会社
マーケティング部
マーケティングチーム
主任
中野 健太郎 氏
SCSK株式会社 プラットフォーム事業グループ プラットフォーム事業グループ統括本部 営業推進部 第一課 吉田 由佳梨
SCSK株式会社
プラットフォーム事業グループ
プラットフォーム事業グループ
統括本部
営業推進部 第一課
吉田 由佳梨

Emotet感染拡大や中央省庁の「PPAP廃止宣言」によって脱PPAPが加速

吉田:添付ファイルを暗号化した上で送信し、その後にパスワードを別メールで送付する方法がいわゆる「PPAP」です。日本では広く普及し、今や一般的ですが、最近「脱PPAP」というキーワードが話題となっています。なぜ、これまで行われてきたPPAPが問題視されるようになったのでしょうか。

古谷氏:2020年11月に、当時の平井卓也デジタル改革担当相が、PPAPを中央省庁において廃止する方針を打ち出したことが発端です。大きな話題となり、それを機に、日本の大手企業や有名ベンチャー企業を中心にPPAPを全面禁止にする動きが広がりました。

吉田:国が率先してPPAPの廃止を宣言したのですね。PPAPの何が問題だったのでしょうか。

古谷氏:PPAPには大きな懸念が3つありました。
1つ目は、PPAPがマルウェアのEmotetを拡散する原因となってしまったことです。ZIPファイルはマルウェアフィルターをすり抜けるセキュリティ上の弱点があります。ZIPファイル内に悪意のマクロを仕組んだOffice文書ファイルがある場合、受信者が気づかずZIPファイルを解凍し、文書ファイルのマクロを実行することでマルウェアに感染してしまいます。ZIPファイル付きメールなら安心という受信側の心理を逆手に取るとともに、メールの文面も本物と見間違えるほど精巧に進化させることで、騙されるケースが急増したのです。

図1 Emotetの被害にあった企業が受信したメール(※1)※1:IPA 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて(2020年9月)より

図1 Emotetの被害にあった企業が受信したメール(※1)
※1:IPA 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて(2020年9月)より
https://www.ipa.go.jp/security/announce/20191202.html

2つ目は、PPAPはそもそも受信側の作業負担が大きかったことです。PPAPでファイルを受け取る側は、別途メールのパスワードを待たねばならず、入力の手間も発生します。毎日大量のメールを受け取る場合は業務効率を大きく阻害します。

3つ目は、セキュリティ強度が弱い点です。同じ経路でパスワードを送るのであれば盗聴されるリスクの対処にはならず、セキュリティ対策としてあまり意味を持ちません。

図2 ファイル送信・共有における課題

図2 ファイル送信・共有における課題

PPAP対策にはオンラインストレージの導入が有効

吉田:PPAPでファイルを共有することでセキュリティ対策は充分だと思い込んでいました。多くの課題があったのですね。では、脱PPAPを実現するにはどのような方法があるのでしょうか。

古谷氏:さまざまな手段があります。まずシンプルな方法として、添付したいファイルのアプリケーション側でパスワードをかけてファイルをZIP化せずに送信する方法があります。この方法だとコストをかけずにすぐ実行できますが、パスワードを手動で送らないといけない不便さが残ります。次に、最近ではビジネスチャットツールの利用が進んでいるので、それらを使って社内外の関係者とファイルをシェアする方法が一般的になっています。ただし、相手も同じツールを使っていることが前提です。特定の取引先のみ情報共有を行うのなら代替手段になりますが、不特定の企業とのやりとりを考えると現実的ではありません。しかし、パスワードを後送する手間は変わりませんし、パスワードが盗まれた時にはリスクが高まります。
加えて、オンラインストレージを利用し、送りたいファイルをクラウドにアップロードし、それをダウンロードするためのURLを相手に送る方法もあります。サービスによってはパスワードについても異なる経路で送ることができるので、PPAP対策にはオンラインストレージの活用がお勧めです。

吉田:オンラインストレージを勧める理由をもう少し詳しく教えてください。

古谷氏:大半のビジネス用オンラインストレージはファイルがアップロードされた時点でウイルスチェックが実行されるので、安全な状態のファイルをダウンロードできるという安心感もあります。
脱PPAPというと、皆さんファイルを送る際のセキュリティ対策に意識が向きがちですが、送る場合のみの対策では不十分です。なぜなら、受信したファイルにEmotetの脅威が潜んでいるかもしれないからです。繰り返しになりますが、ZIPファイルが添付されたメールはマルウェアフィルターやサンドボックスをすり抜ける可能性が高く、そのファイルを開くことでマルウェアに感染してしまうリスクがあります。そのため、脱PPAPを実現するためには、受け取る場合の対策も欠かせません。

オンラインストレージ選びに重要な2つの選択軸とは

吉田:私も送ることばかりに気を取られていましたが、送られてくる際のリスクは残ったままでした。オンラインストレージであればEmotet対策にも有効ということですが、さまざまなサービスがあり、どれを選べばいいのかわかりません。

古谷氏:そうですね。私は2つの軸で選ぶことをお勧めしています。
1つ目の軸は、“海外製サービス”か“純国産サービス”かです。例えば、海外製サービスは容量無制限で利用できるものが多いです。また、純国産サービスは承認機能など日本企業の業務内容にマッチした運用を実現していたり、国内のデータセンター活用による海外への情報流出リスクが低いことをメリットにしていたりします。

吉田:海外製と純国産、それぞれにメリットがありますね。ですが、海外製の容量無制限は非常に魅力的ですね。

古谷氏:確かに魅力的ですが、過去にオンラインストレージで容量無制限を提供していたベンダーの中には容量に制限が加わったものや、そのサービス自体を終了したものも少なくありません。

吉田:なるほど。容量無制限のサービスを検討する場合は、将来的なリスクも考慮しておく必要がありそうですね。ちなみに、無料のオンラインストレージも魅力的に感じるのですが、どのようにお考えですか。

古谷氏:以前は、ビジネスにおいても無料のオンラインストレージが多く使われていた時代がありました。しかし、今では大企業を中心に無料のオンラインストレージの使用を禁止しています。取引先に無料のオンラインストレージを使ってファイルを送ろうとしても、取引先のセキュリティに引っかかってしまい、ファイルを受け取ってもらえないこともあります。そのため、ビジネスでの利用は避けたほうがいいでしょう。

古谷氏:2つ目の選択軸は、ファイル共有型とファイル転送型の違いです。ファイル共有型は、社内外の関係者間で「共有フォルダ」を運用し、安全にかつ手軽にファイルのやりとりができることが特徴です。海外製はファイル共有型のオンラインストレージが多いと思いますが、アクセス権を柔軟に設定できる半面、利用を始めるにはIDの登録も必要となり契約ユーザーとゲストユーザーの管理をするなど 比較的複雑な運用が求められます。ファイルを送る機会が少ない相手の場合は、わざわざIDを作って管理するのは面倒と感じるかもしれません。一方、ファイル転送型は、メールを送る感覚で大容量ファイルや機密性の高いファイルも安全に送信できるのが特徴です。メールに近い感覚で気軽に相手にファイルを送りたい、受け取りたいというビジネスシーンに適したオンラインストレージといえるでしょう。業務内容や取引先などを勘案して、自社に最も適したオンラインストレージを検討いただければと思います。

ファイル共有とファイル転送が可能な純国産オンラインストレージ

吉田:ファイル共有とファイル転送を使い分けて利用できると便利ですね。使い分けが可能なオンラインストレージもあるのでしょうか。

中野氏:はい。お客様からのそうしたご要望を解決するために開発したのが企業向け、大容量ファイル送受信・ファイル共有ソリューション「GigaCC」です。「GigaCC」であれば、部署や業務に応じて、ファイル共有やファイル転送を使い分けることができます。「GigaCC」は純国産サービスなので、データセンターの場所も国内に限定しています。DR(災害復旧)対策も国内の複数箇所で実施しており、海外製のオンラインストレージのようにアップロードしたファイルが世界のどこで保管されているのか不明確という状況にはなりません。また2002年のリリース以降、様々なお客様からのご要望に耳を傾け、改善を続けた結果、日本企業に必要な細かな機能を数多く搭載してきました。例えば、「ファイル送信時の承認プロセスを柔軟に設定したい」というお声から、代理承認機能や上位者承認機能(下位階層の承認者の承認を待たずに、上位階層の承認者の承認のみで承認可能)などを追加しました。

図3 「GigaCC」は、企業間/拠点間/海外とで安全なファイルの送受信・共有が可能。2002年よりサービス提供を開始し、20万人以上のビジネスパーソンが利用。

図3 「GigaCC」は、企業間/拠点間/海外とで安全なファイルの送受信・共有が可能。2002年よりサービス提供を開始し、20万人以上のビジネスパーソンが利用。

吉田:SCSKは脱PPAPを目指すお客様に「GigaCC」を提供し、非常に多くの高評価をいただいています。今後も多くの企業を支援していきたいですが、最後にSCSKへの期待を教えて頂けますでしょうか。

中野氏:業務はファイルを移動させて完了というわけではなく、受け取った後にも業務フローが必ず存在します。SCSKは、オンラインストレージだけではカバーすることができない、さまざまな業務に関するソリューションを揃えています。、そのため、柔軟かつ適切な提案が可能です。特定の取引先から注文書が来たらRPAを使って自動的にファイルをダウンロードして次のフローに渡し転記するまで、包括的に業務改善を提案できるのがSCSKの強みだと思っています。これからもSCSKと協力することで、脱PPAP、ひいては日本企業の業務効率化を高めていけると考えています。

吉田:古谷さん、中野さん、ご説明ありがとうございました。今回はPPAP対策としてオンラインストレージをご紹介しましたが、もし疑問や具体的な課題をお持ちのお客様がいらっしゃいましたらぜひSCSKの営業担当者にお気軽にお問い合わせください。SCSKはこれからも脱PPAPに対応するお客様への支援をしてまいります。

最新情報などをメールでお届けします。
メールマガジン登録

×