PPAP(パスワード付きZIPファイル送信方式)に代わるファイル共有の技術とソリューション

1月 31, 2021 セキュリティとコンプライアンス, MOVEit

ファイル送信の常識が変わる! 政府が廃止を決めた「PPAP」は何が問題なのか?」で説明したように、ファイル共有のために「メールにパスワード付きZIPファイルを添付して送る」方法、すなわち「PPAP」はさまざまな問題を抱えています。日本政府が中央省庁での利用廃止を発表してから、国内企業も続々と廃止を表明しています。

PPAPを廃止するとして、本来の目的である「安全なファイル共有」を実現する代わりの手段を考える必要があります。

PPAP に代わるファイル共有ソリューション

具体的にはどのような技術やソリューションがあるのでしょうか。代表的なものを以下に示します。

PGP や S/MIME(認証・証明書)

どちらも電子署名や暗号化の仕組みです。メールを使ってファイル共有を行う点はPPAPと同じですが、送信元の本人確認ができる点が異なります。また、暗号化のレベルもパスワード付きZIPより強力です。ただし、導入には送信側と受信側の両方で事前に環境を整える必要があるうえ、S/MIMEの利用には費用がかかります。現状、普及しているとはいえず、社外とのやり取りには採用しづらい面もあります。

代替ソリューションとして見た場合、従来と同じ使い慣れたメールであるため、新たにツールの使い方を学ぶ必要がない点はメリットです。変化をなるべく小さくしたい、新たなソリューションの導入は避けたいという要望があり、かつ、やり取りする相手が対応できるのであれば、有望な選択肢となります。

クラウドストレージ(サービス)

ファイルを直接相手に送るのではなく、一旦ウェブサーバー上に置き、それをダウンロードしてもらうことで共有する方法です。個人向けから企業向けまで、さまざまなクラウドストレージサービスが存在します。専用ツールのほか、標準的なウェブブラウザーからアクセスできるため、共有相手が特別な対応をしなくても利用できます。共有するファイルの秘匿性のレベルに応じて、パスワードの有無、ユーザー認証など、アクセス制御を使い分けられるものもあります。同じサービスの利用者どうしであれば、ユーザーアカウント単位での細かいアクセス制御が可能です。パスワード方式でのセキュリティレベルは、PPAPと同程度です(メールにファイルが添付されているのかリンクURLだけ書かれているかの違い)。

一般的なメールでの添付ファイルよりも大きなサイズのファイルを共有できる点もメリットです。端末のデータと同期することで、バックアップにも使えたり、ファイルの変更履歴や復旧機能も備えていたりと、ファイル共有以外の機能も充実しています。

クラウドストレージは、自社ではなくサービス提供企業のサーバーにファイルが置かれるため、企業のセキュリティポリシーによっては利用できないというケースもあります。その場合、自社サーバーを使ってクラウドストレージ的なサービスを提供できるオンプレミス型のソリューションもあります。

チャットツール(サービス)

P2PのコミュニケーションツールやSNSから派生したツールなどが数多く存在します。特にここ数年、ビジネス向けチャットツールの導入が企業で進んでいます。2020年から世界規模で発生したCOVID-19(新型コロナウイルス感染症)によって、多くの企業がテレワークを余儀なくされました。その際に、社内のコミュニケーションツールとしてチャットツールは急速に普及しました。

チャットツールでは、テキストメッセージのほか、ファイルなどもやり取りできるため、同一組織内であれば安全かつ気軽に利用しやすいソリューションです。反面、利用にはアカウント登録が必要となるため、社外とのやり取りでは使いづらい面もあります。またチャットツールの中には、他のクラウドストレージと連携することでファイル共有を実現しているものもあります。

ここで紹介した3つの技術やソリューションは、必ずしも排他的なものではなく、それぞれ組み合わせたソリューションも存在します(例えば「認証・証明書」と「クラウドストレージ」を組み合わせたものなど)。

柔軟性の面でクラウドストレージが有望

結論からいえば、それぞれ長所と短所があり、あらゆるニーズに応えられる決定的なソリューションは存在しません。「ファイルを共有する相手が同一組織なのか」「不特定多数の相手に送る必要があるのか」「どの程度のファイルサイズまで扱うのか」「共有するファイルは頻繁に更新されるのか」「費用はどの程度かけられるのか」「ユーザーの学習コストをできるだけ低くしたい」など、要件によって正解は異なります。やり取りする相手がほぼ決まっていて、お互いに環境をそろえることができるなら、グループウェアやチャットツールを使えばよいでしょう。

一方、社外とのやりとり、不特定多数の相手に対するファイルを共有、社外からモバイル端末によるアクセスといった用途があるなら、クラウドストレージが適しています。PPAPと比較したとき、セキュリティ面と使い勝手の面でバランスがとれています。何よりも、共有するファイルの機密性や相手の立場に応じて、柔軟なセキュリティレベルとアクセス手段を提供できる点がすぐれています。しかし、組織によってはセキュリティ上の理由から外部サービスの使用を禁止している場合もあります。クラウドストレージもその対象になっていることがあります。

絶対的なセキュリティ対策は不可能

PPAPの代替ソリューションには、ファイル共有の使い勝手だけでなく安全性も求められます。しかし、クラウドストレージにせよ、その他のソリューションにせよ、セキュリティについて100%安全といえるものは存在しません。そうはいっても、あなたが代替ソリューションの担当者であれば、各ソリューションを評価して選ぶ必要があります。これは非常に難しいことですが、選定基準の1つとなるのはセキュリティコンプライアンス準拠です。

独立した第三者監査機関や専門機関からの評価や認証を得られているものであれば、そうでないものよりも信頼性は高いといえます。より多くの機関から得られているなら、さらに望ましいです。

マネージド・ファイル・トランスファー・ソリューション MOVEit

プログレスが開発・提供している「MOVEit」シリーズは、まさにそのような世界中の評価・監査機関から多くの認定を受けた、最先端のマネージド・ファイル転送・共有ソリューションです。ファイル転送・共有の目的、組織の規模や各種セキュリティ技術やセキュリティレベルに細かく応じることができる多彩なラインナップをそろえています。

図1:「MOVEit」シリーズは、セキュリティに関する世界中の認定規格に適合しています

「MOVEit」シリーズの各種データシート

データシート名URLPDF
MOVEit Transferhttps://www.progress.com/jp/resources/papers/moveit-transfer-datasheetclick
MOVEit Ad Hoc Transferhttps://www.progress.com/jp/resources/papers/moveit-ad-hoc-transferclick
MOVEit Automationhttps://www.progress.com/jp/resources/papers/moveit-automation-data-sheetclick
MOVEit Cloudhttps://www.progress.com/jp/resources/papers/moveit-cloud-data-sheetclick
MOVEit Gatewayhttps://www.progress.com/jp/resources/papers/ipswitch-gatewayclick
MOVEit Mobilehttps://www.progress.com/jp/resources/papers/moveit-mobile-data-sheetclick
MOVEit Secure Folder Sharinghttps://www.progress.com/jp/resources/papers/moveit-secure-folder-sharingclick
MOVEit REST APIhttps://www.progress.com/jp/resources/papers/moveit-rest-apiclick
MOVEit Clienthttps://www.progress.com/jp/resources/papers/moveit-clientclick

 

特に「MOVEit Transfer」と「MOVEit Ad Hoc Transfer」では、従来のメールとクラウドストレージを組み合わせたファイル共有が可能です。これまでメールベースでファイル共有を行っていたユーザーでもスムーズに移行できるため、PPAPの置き換えとしてふさわしいソリューションだといえます。

図2:「MOVEit Ad Hoc Transfer」を使うとMicrosoft Outlookなどの使い慣れているメールクライアントからも利用できます

図3:「MOVEit Ad Hoc Transfer」ウェブブラウザー経由でも利用できるため、活用の幅は広がります

PPAPの代替ソリューションとしてはもちろん、ファイル転送・共有について強化したいとお考えなら、「MOVEit」シリーズは検討する価値はあるはずです。

Makoto Nakazato

仲里淳(Makoto Nakazato)は、ライター/編集者として長年にわたり、ICTを中心とした先進テクノロジー領域で取材やリサーチ活動を続けてきました。専門メディアや企業のオウンドメディアでの企画や制作支援なども行っています。彼は、コンピューター、インターネット、AI、ブロックチェーンなどのテクノロジー、さらにネットビジネスや情報教育など、幅広いトピックに興味関心を持っています。