PPAPが捨てられない理由とは何か？

　PPAPは、ファイルのやり取りの安全性を高めるために多くの企業や組織で使われてきた。しかし、近年、PPAPに対する世間の認識は大きく変わった。2020年11月に実施された政府の取り組み「デジタル変革アイデアボックス」に集められた意見を見ても、「脱PPAP」の人気が1位となっているのだ。PPAPの代替の方法としては、Boxなどのクラウドストレージを活用する方法がある。クラウドストレージのセキュリティ設定をしっかりと行えば、アクセスコントロールをした上で誰がいつアクセスしたかのログも残せるだろう。この方法は確かに添付ファイルで送るより、安全性は高そうだ。

　しかし、外部ストレージのURLをメールで送る方法が必ずしも脱PPAPの「ベストな解決策」ではないと斉藤氏は言う。メールではURLだけが送られてくるので、実際にクラウドストレージにアクセスしないとどのようなファイルかは分からない。アクセスコントロールが甘ければ、URLさえ分かれば誰でもファイルを入手できかねない。また受け取り側もクラウドストレージのアカウント設定が必要になるケースもあり、アクセス制限を厳しくするとクラウドストレージに上手くアクセスできないなどのトラブルもあり得る。

　また「高いレベルのセキュリティを求める企業では、メールをアーカイブしています。PPAPであれば添付ファイルがアーカイブに残りますが、URLではファイルはアーカイブに残りません。後からURLをクリックしても、既に有効期限切れで共有ファイルにアクセスできないこともあるでしょう」と斉藤氏は指摘する。

　一方PPAPは、慣れたファイル添付の作業だけで共有できるのでユーザーには便利だ。このようにPPAPにもメリットはあり、そのメリットを残しつつ安全なファイル共有の方法を提供したいとHENNGEでは考える。その結果として提供したのが脱PPAP機能の「HENNGE Secure Download」だ。「ある意味PPAPを世の中に広めてきたHENNGEだからこそ提供できる脱PPAPの機能です」と斉藤氏は言う。

PPAPを世に広めたHENNGEならではの「脱PPAP」

　HENNGE Secure Downloadでは、ユーザーは今まで通り共有したいファイルをメールに添付する。そうすると添付ファイルは自動的にダウンロードURLに変更される。メール受信者はHENNGEのURLにアクセスし、送信者が添付したファイルを安全にダウンロードできる。「この機能を実現する上で最も頭を悩ませたのが、相手側の受け取り方です。これには今も悩んでいます」と斉藤氏。

　HENNGE Secure Downloadは、一見するとPPAPのzipファイルがURLになるだけだ。zipファイルの問題は、圧縮された状態では上手くウイルススキャンができないことだ。URLであれば、圧縮していないファイルで受け渡して、ダウンロード時にウイルスチェックをすることができる。URLによるダウンロードでもパスワード付きのzipファイルならば、結局後からメールでパスワードを送ることとなる。そうであればURLとパスワードの両方のメールを盗聴される可能性があり、PPAPの問題点は解決できない。

　そこでHENNGEでは、そもそも日本でなぜzipしてファイルを受け渡しているかを改めて考えた。これは、渡したい人だけにファイルが届くようにする1つの方法だ。そこでHENNGE Secure Downloadでは、メールの宛先に含まれる人だけがダウンロードできる仕組みを開発した。

　メールを受け取るとまずはURLが届き、それをクリックすると認証の仕組みが動き、メールアドレスに認証コードが送られる。このコードを使い、HENNGEのサイトからファイルをダウンロードするのだ。コードは宛先にあったメールアドレスにしか届かないので、第三者がメールを盗み見てURLを奪取しても、肝心のコードを受け取れない。後はダウンロード時にウイルススキャンをすれば、安全にファイルを受け取れるのだ。HENNGE Secure Downloadでは、送信サイドでメールをアーカイブして添付ファイルを残すことができる。もちろん、誰がいつファイルをダウンロードしたかのログも取得できる。

　メールアドレスの認証は、一度実施すれば以降は都度認証しなくてもダウンロードできるようになっている。最初は認証の手間が入るが、既にさまざまなWebサービスで二段階認証などが利用されており、メールアドレス認証が追加されていてもユーザーは受け入れるだろうとは判断した。今回実現した方法がベストではないかもしれないが、現時点ではPPAPの良さとURLダウンロードの良さを併せ持ったHENNGE Secure Downloadが最適解であろうと斉藤氏は言う。