会計事務所が実践するPPAPを全廃したセキュアなデータ受け渡し
あおぞら会計社の西村(公認会計士・公認情報システム監査人)です。
あおぞら会計社はクラウドを活用し、フルリモートで業務提供が可能な会計事務所です。会計事務所で取り扱う情報はときに機密性が高く、デジタル活用の基盤として高度なデータセキュリティは欠かすことができません。
今回はあおぞら会計社で実践しているファイル共有方法について解説します。
既存のPPAPの問題点
PPAPとは、メール添付の暗号化ZIPファイルを送信し、その復号化パスワードを追って送信するというセキュリティ手法です。
JIPTEC大泰司章氏はPPAPの語源を下記のように説明します。
PPAPとは
Passwordつきzip暗号化ファイルを送ります
Passwordを送ります
Aん号化
Protocol
このPPAPはファイルをメール送付した際の情報漏洩リスクを下げることを目的として広く用いられていますが、問題点が指摘されます。
PPAPの問題点
メール盗聴、情報漏洩リスクを低減できない
メールの経路すべてが暗号化されているとは限らず、盗聴された場合に情報漏洩が発生する。誤った送付先にファイルを送付した際に、復号化パスワードについても同様に誤送信される可能性が高く、意味がない。誤送信されたファイルの共有を撤回することができない。暗号化ZIPファイルの脅威を判別できない
暗号化ZIP内のファイルがウイルスを含んでいた場合、ウイルススキャンが有効に機能しないためブロックすることができないか、メール自体がブロックされてしまう。送信者・受信者双方にとって業務効率が悪い
ZIPファイルの対になる復号化パスワードが、ファイル毎に別メールで送信されるため業務効率が悪い。
1にあるようにPPAPは誤送信に対して本質的に無意味であることから、メールとは異なる経路で相手にパスワード通知する(ビジネスチャットなど)ほうが、セキュリティ上優れているといえます。ただし、それでもなお暗号化ZIPファイルでやりとりすることはセキュリティ上の懸念があります。
PPAPの克服 クラウドストレージの活用
クライアントとセキュアなファイル受け渡しができるよう、あおぞら会計社ではPPAPを全廃し、クラウドストレージサービスBoxを活用しています。
ファイルの受け渡しにクラウドサービスを活用することは以下のような利点があります。
認証機能を用いて有効なコラボレーターのみに共有できる
クラウドストレージサービスに登録したユーザーのみに共有可能であるため、セキュリティが確保されます。もし、誤ったファイルを共有した場合もメールでは送信を撤回することはできませんが、クラウドストレージでは気づいた時点で共有を撤回することができます。暗号化ZIPを使う必要がない
クラウドストレージサービスの認証はZIPの暗号化と同様の役割を果たしますが、ZIPよりも扱いやすく、ウィルススキャンも機能します。セキュリティと業務効率を増進します。アップロード専用のURLの活用
クライアントからファイルの提供を受けたい場合、あおぞら会計社ではクラウドストレージへの送信専用のURLを共有し、リンク先からファイルを送信して頂いています。
相互の共有が必要ない場合、このような一方通行のみ有効のリンクを提供することで、会計事務所から外部にファイルが誤って共有されるリスクを無くすことができます。ファイルの共同編集、バージョン管理が容易
メールのやりとりが多くなると最新のファイルを特定することは困難になります。クラウドストレージサービス上でファイルの共同編集や、バージョン差し替えを行うことで常に一定の場所に最新のファイルが提供されるようになり、業務効率が上がります。
クラウドストレージサービスの懸念点としては、SaaS事業者のセキュリティに依存することが挙げられます。あおぞら会計社では公認情報システム監査人である私が、サービス実績と各種認証、その他のセキュリティの取り組みを評価し、Boxを活用することにしています。
あおぞら会計社はデジタル×会計を推し進める会計事務所です。
データドリブンの経営改善、バックオフィスのDX推進などご検討の際にはぜひ弊社にお問い合わせください。
https://aozoracpa.com/