Cmosy(クモシィ)Googleドライブ まるわかりコラム

脱PPAPとは?Google Workspace で脱PPAPを実現する方法とGmailでPPAPを禁止する方法

「パスワードは別メールで送るようにしてください」

私が社会人1年目の時に、顧客に暗号化したzipファイルを送信する時に会社の先輩から言われた言葉です。

当時は「そういうものだ」という認識しかなく、特に気にしていなかったのですが、今になって思うと意味のないことをしていたと思います。ただ、「なぜですか?」と逆に先輩に質問したしても、「そういうものだ」という回答しか得られたなかったように思います。

本記事では Google Workspace を利用している方向けに、脱PPAPする方法や、GmailでPPAPを禁止する方法を解説しています。PPAP対策やPPAPの代替案検討の参考にしてください。


脱PPAPとは、ファイルの送受信にPPAPという方法を使わないようにする取り組みのことです。

PPAPとは以下の頭文字を取ったもので、メールでファイルを送信する際に、パスワード付きzipファイルを送信し、別のメールでそのzipのパスワードを送るセキュリティ対策です。

  • Password付zip暗号化ファイルを送ります
  • Passwordを送ります
  • Aん号化(暗号化)
  • Protocol

脱PPAPの他、「PPAP対策」や「PPAP問題(を解決する)」といった言葉で表現されることもあります。

PPAPはなぜ意味がないのか

「PPAPは意味がない」といわれることがあります。

PPAPはセキュリティを高める目的で利用されてきた手法ですが、以下のような矛盾点が存在します。

  • zipファイルもパスワードも同一経路で送信する
  • zipファイルの暗号化の解除は難しくない

なぜ、このような矛盾点があるにも関わらずPPAPが世の中で利用されるようになったのでしょうか。

PPAPが普及した原因は、プライバシーマーク(Pマーク)審査時にPPAPによるファイル送信方式がセキュリティ対策として認められてしまったのが理由といわれています(※1)。

その結果、PPAPを採用する企業が急増することになり、審査を通すためのPPAPの運用が一般化し、「セキュリティを高める」という本来の目的を見失っていきました(※2)。

※1 パスワード付きzipファイルが誤送信された場合でも、パスワードが送信されなければリスクを防ぐことができるとの判断だといわれています。
※2 ただし、プライバシーマーク(Pマーク)付与機関であるJIPDECは「従来から推奨していない」との見解を発表しています。

政府や大手企業が次々に脱PPAPを表明

PPAPが普及する一方で、セキュリティ対策としての脆弱性を指摘する声も大きくなりました。

大きなきっかけとなったのは、2020年11月24日に当時の平井デジタル改革担当大臣が、内閣府・内閣官房における「自動暗号化ZIPファイルの廃止」を表明した記者会見です。

内閣府、内閣官房で採用していたZIPファイル送付と同じ経路でパスワードを自動で送る方式は、セキュリティ対策の観点からも、受け取る側の利便性の観点からも、適切なものではないと考えています。

引用元:平井内閣府特命担当大臣記者会見要旨 令和2年11月24日

日立製作所は2021年10月8日に、2021年12月13日以降、すべてのメールの送受信でパスワード付きzipファイルの利用を辞めることを表明しています。

日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。

引用元:日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ 

この他、以下のような企業がPPAPの廃止、または廃止検討をしています。

  • BIPROGY(旧日本ユニシス)
  • 日本IBM
  • NEC
  • 富士通
  • 野村総合研究所(NRI)
  • 伊藤忠テクノソリューションズ(CTC)
  • TIS
  • SCSK
  • NTTデータ

参考:日立も「脱PPAP」、大手ITベンダー10社で残るは3社 | 日経クロステック(xTECH) 


脱PPAPに取り組まないとどうなるのか

脱PPAPに取り組まないと、セキュリティ対策が進まないだけでなく、取引先企業からの印象も悪くなってしまう可能性があります。

PPAPがセキュリティ対策として意味のない取り組みだということは、ビジネスの現場では広く知られてるといえます。

そのため脱PPAPに取り組んでいないと「セキュリティに対する認識が甘く、取引において信用できない企業」といった印象を抱かれかねません。

セキュリティ対策としてはもちろん、他社からの信用を得るためにも、脱PPAPに取り組むことをおすすめします。


Google Workspace だけではPPAPの代替にはならない

Google Workspace は Google が提供するビジネス向けコラボレーションツールです。

当社は10年以上も Google Workspace の代理店として活動し、数多くの導入実績を持っています。

Google Workspace は企業のセキュリティを向上させるための機能を数多く実装していますが、PPAPに関しては代替する機能を有していません。

Google ドライブのファイル共有はPPAPの代替にはならない

Google Workspace はユーザーに対してセキュリティポリシーを設定する機能を備えています。

Google Workspace の管理者はこの機能を利用して、ユーザーに対して Google ドライブにおけるファイル共有の範囲に制限をかけることができます。一般的に多くの日本企業はファイルの社外共有に対して制限をかけているため、実質ユーザーがファイルを社外共有できないケースがほとんどです(※3)。

ファイルを社外に共有したくても、そもそもできないため、PPAP以前の問題になります。

※3 ホワイトリスト機能を利用すれば、特定の企業に対してのみ社外共有を許可することもできますが、対象企業が Google Workspace を導入している場合に限ります。

Gmail で PPAP を禁止する方法

GoogleWorkspace 単体では PPAP を代替することはできませんが、Gmail に送られてくる PPAP によるファイルの送受信を禁止することは可能です。

GoogleWorkspace の管理者であれば、以下の手順で PPAP の受信拒否設定を行うことが可能です。

  1. 管理コンソールにログインします
  2. 左側のメニューで[アプリ]→[GoogleWorkspace]→[Gmail]をクリックします
  3. [コンプライアンス]を開き[添付ファイルのコンプライアンス]の[設定]をクリックします
  4. 設定項目を追加します

以下のように設定項目を追加します。

  1. 「PPAP送受信拒否」など分かりやすい説明を入れましょう
  2. 「1. 影響を受けるメール」では、禁止したい送受信方法にチェックを入れます
  3. 「2. 各メッセージで検索するコンテンツを表す表現を追加する」では、[暗号化された圧縮ファイルとアーカイブ]と[暗号化されていない圧縮ファイルとアーカイブ]にチェックをつけ[保存]をクリック。 会社の方針に合わせて決めてください。
  4. [件名]にチェックを入れ、メールの先頭に入れる文言を追加します(「注意」など)。 
  5. [添付ファイル]にチェックを入れると、ファイル添付されていた場合に自動的に削除できます。 自動削除時のメッセージもカスタマイズ可能です。

Google Workspaceでの脱PPAPを実現するCmosy

当社が開発・運用を行っているCmosyというサービスがあります。

このサービスは Google Workspace ユーザー向けのファイル共有サービスで、前述した Google Workspace のセキュリティポリシーを保持した状態で社外へのファイル共有を実現します。

セキュアなデータ共有

また、Cmosyは Google Workspace ではサポートされていない以下のようなPPAP代替機能を備えています。

  • 添付ファイルではなく、ダウンロードURLによるファイル送信
  • ユーザーに対するパスワード設定の強制
  • パスワード送信の禁止
  • パスワード入力回数の制限

添付ファイルではなく、ダウンロードURLによるファイル送信

Cmosyでファイル送信を行う場合、ファイルはメールに添付されません。

送信対象のファイルはURLに変換され、受信者はこのURL経由でファイルのダウンロードを行います。

これにより、添付ファイルが直接受信者のパソコン等にダウンロードされ、パスワード解除のプログラムが実行されることを回避することができます。

ユーザーに対するパスワード設定の強制

Cmosyには管理者向けの画面が用意されています。
Cmosyの管理者は、この機能を利用して、ユーザーに対してパスワード設定を強制することができます。

これにより、パスワード設定が強制されたユーザーは、パスワード設定なしに社外にファイルを送信することができなくなります。
パスワードについては「任意設定」もしくは「自動生成」のどちらかを選択することができます。

パスワード送信の禁止

Cmosyには、パスワードを別メールで送信する機能が実装されていますが、送信先はダウンロードURLの送信先と同一になるため、脱PPAP機能とは言えません。

しかし、Cmosyには、ユーザーに対して「パスワードの送信を禁止する機能」も備わっており、この機能を利用するとパスワードが同一経路で送信されることを防ぐことができます。

これにより、Cmosyの管理者はユーザーに対して別手段でパスワードを伝達することを強制することができます。

パスワード入力回数の制限

CmosyのダウンロードURLを受信したユーザーは、受信したURLからパスワード認証画面を開くことになります。

Cmosyの管理者は、受信者がこの画面でパスワード入力を失敗できる回数を指定することができ、指定回数を超過した場合、ダウンロードURLはロックされます。この機能により、外部からのブルートフォース攻撃を防ぐことができます。


Google Workspace でのPPAP代替案はCmosy(クモシィ)

ここまで説明してきた通り、 Google Workspace 自体にはPPAPを代替する機能が備わっていませんが、 Google Workspace の拡張サービスであるCmosyを導入することで、PPAPの代替機能を利用することができるようになります。

ここ最近でPPAPを廃止する動きは、目に見える形で進んでいるように見えますが、実際はまだまだPPAPから脱することができていない企業が多いようです。

「PPAPの代替策を検討している」、且つ「 Google Workspace を利用している」場合はCmosyが非常に親和性の高いサービスになると思いますので、是非ご検討されてみては如何でしょうか。

森田 嶺

著者

森田 嶺
吉積情報株式会社 取締役 副社長。 大学卒業後、サーバーサイドエンジニア等の経験を経て、YOSHIDUMIに入社。Google ドライブ拡張サービス「Cmosy」「共有ドライブマネージャー」等、自社サービスの開発に従事。現在、Google Bard (グーグルバード)に関する記事を定期発信中!

このコラムに興味がある方は是非こちらも御覧ください

Googleドライブをもっと安全に共有・送付・受け取りができるクラウドツール。

増えつづける共有ドライブの管理をもっとスムーズに安全に効率化管理できるマネジメントツール

CONTACT

国内有数のGoogle Cloudプレミアパートナーと
スキルの高い専任スタッフによる
課題解決力やサポート品質をご体感ください。