PPAPとは

パスワード付きZipファイルをメール送信し、その後パスワードを別送する方法です。
セキュリティー面から問題視されており、中央省庁においても利用廃止の方針が発表されています。

PPAPには様々なリスクや課題があります。

・メールを盗聴された場合、パスワードが筒抜けで情報漏洩に繋がる
・zipのパスワード解析は比較的簡単で突破されやすい
　（参考）英小文字のみ（26文字種）の8桁のパスワード解析にかかる一般的な時間：52秒
　　　　　英大小文字+数字（62文字種）の8桁のパスワード解析にかかる一般的な時間：15時間
・Anti-Virusをすり抜けてマルウェアに感染してしまう可能性がある
・間違った宛先に誤送信した際に防げない
・送信者・受信者双方の利便性が低い

PPAP対策ソリューションの種類

現在、PPAP対策ソリューションは様々なものがありますが、大別すると4種類に分けることができます。

1. 添付ファイル（またはメール本体）をシステムが自動で暗号化し、パスワードを別経路で自動送信
（デジタルアーツ社 m-FILTERなど）
　　メリット：インターフェースはメールのまま
　　デメリット：受信者側の手間は変わらない

2. 自社で利用しているクラウドストレージにファイルをアップロードし、
　そこだけを社外に公開してアクセスしてもらう（Microsoft社 OneDriveなど）
　　メリット：ファイル容量を気にしなくて良い
　　デメリット：メールと操作が分離してしまう & 権限設定が製品によっては手間

3. ファイル交換サービスを利用して、一時的にファイルをダウンロードできるURLを共有する
（NRIセキュア社 クリプト便など）
　　メリット：ファイル容量を気にしなくて良い
　　デメリット：メールと操作が分離してしまう & ダウンロード時の認証設定が製品によっては手間

4. 添付ファイルを自動で内部（または外部）ストレージに格納し、ダウンロードリンクを自動送信
（mxHero社 mxHero Mail2CloudPlatformなど）
　　メリット：インターフェースはメールのまま
　　デメリット：ダウンロード時の認証設定が製品によっては手間

現在、4の方法が主流で対策ソリューションも多いです。これは送信者・受信者のインターフェースが
メールのままのため操作感があまり変わらず、利便性・安全性ともに高いことが理由と考えられます。

また、2の方法はMS 365やGoogle Workspaceを利用しているお客様の場合、契約しているライセンス形態
によっては、無料でクラウドストレージが利用できるため、追加コストをかけることなく対策ができる
場合があります。

mxHero概要

今回ご紹介するmxHero社のmxHero Mail2CloudPlatformは、上記の4の方法でPPAP対策を可能にする
ソリューションです。製品内部にストレージは持っていないため、外部のクラウドストレージと連携
する必要がありますが、添付ファイルを自動で格納しURLに自動変換して送信してくれるため、
送信者・受信者双方の利便性・安全性が向上します。

連携可能なクラウドストレージ：Box / drive / Egnyte / OneDrive / DropBox

Boxと連携可能なPPAP対策ソリューションは複数ありますが、DropBoxとも連携可能なPPAP対策
ソリューションは、2022年3月現在、国内で販売されているのはmxHeroのみとなります。

主な機能

・マイナンバーやクレジットカード番号などを自動認識し、その場合にのみ自動でパスワード設定
・受信者側のパスワード入力の有無選択
・メールアーカイブ機能
・メールサーバーとのシンク機能　※乗換時のメールデータ移行を支援
・Agentインストール不要　※Outlookアドイン利用も可

持っていない機能

・送信ディレイや上長承認機能などの一部の誤送信対策機能
　※誤送信時はクラウドストレージからファイルを手動で削除することで、アクセス不可にできる
・LDAP連携やSAML連携などの認証サーバーとの連携機能
　※ローカルDB認証のみ対応だが、ADやGoogle Apps Directory、LDAPサーバーと
　　ユーザー同期（シンク）は可能

特筆すべき特長

・管理画面のUIが直感的でわかりやすく、何を設定するべきかがわかりやすい
・項目に沿ってプルダウンから選択すれば良いので、ノーコードで構築可能
・設定項目が少なく、また、ヘルプ押下でチュートリアルが見れるため、
　マニュアルをほぼ読まずに設定可能（下図参照）

mxHero設定方法

1. ルールを分けるためのグループ、それに紐づくユーザーを登録する

トップ画面のメニューバーの"Group"からグループを作成する。
続いて、"Accounts"からグループに紐づけるためのユーザーを登録する。

※ユーザー登録はCSVインポートやLDAPサーバーとのシンクで大量登録が可能。

2. どの条件でどのストレージにどう格納するか、ルールを作成する

トップ画面の"Fusion"の"ADD NEW"からルールを作成する。

ルールを適用する対象を設定する

① between / from から選択
　・送受信いずれもファイル分離："between"を選択
　・送信/受信のみファイル分離："from"を選択

② Your domain / Anyone / Anyone else /（グループ名）から選択（フリー入力も可）
　※外部ドメインを登録も可能（受信時にファイル分離したい場合）

③ Your domain / Anyone / Anyone else から選択（フリー入力も可）

挙動を設定する

④ copy / block / move から選択

格納先を設定する

⑤ Box / drive / Egnyte / OneDrive / DropBox から選択
　※クラウドストレージのチーム管理権限がないとAPI連携不可のエラーとなり登録できない
　※②でメールアドレスを直接指定している場合は、⑤も個人のメールアドレスを登録しないと連携されない
⑥ クラウドストレージの格納先パスを指定
　・標準設定では、\root\Email Attachment\（メアド）\（件名）　※カスタマイズ可

開封確認を設定する

⑦ メール開封確認 / ファイルアクセス確認を設定する

基本設定は以上です。これだけの設定のみでPPAP対策が可能になります。

必要に応じて詳細設定を行う

⑧ 例外設定やファイルサイズ指定などを設定可能
⑨ 別途設定したセキュリティ設定を指定可能
　（例）マイナンバーを含むファイルは必ずパスワードロックをかけるなど

3. 送信者・受信者側の見え方を確認する

ここでは、Dropboxとの連携を設定した際の見え方について説明します。

送信者のメール画面

受信者のメール画面

受信者のDropbox画面（メール本文中のURL押下後の画面）