PPAPは、「Password付きZIPファイルを送ります、
パスワードを送ります、Angoka(暗号化)Protocol(プロトコル)」の略称に由来し、特に日本で流行した
コンピュータセキュリティの手法の一つです。この名称は、元々
日本情報経済社会推進協会に所属していた大泰司章が提唱し、ピコ太郎の楽曲『
PPAP』(
ペンパイナッポーアッポーペン)からインスピレーションを得て名付けられました。近年では、海外では「Password Protected Attachment Protocol」として理解されることもありますが、これは公式な略語ではありません。
PPAPのファイル送信プロセスは、おおよそ以下の手順で行われます。
1. 送信者は、対象のファイルを
パスワード付きのZIPファイルで圧縮し、これをメールに添付して送信します。
2. その後、ファイルの
パスワードを別のメールにて送信者が受信者へ送り届けます。
3. 受信者は、送信者からのZIPファイルとその
パスワードを用いて、ファイル内容を復号し、利用します。
この手法における重要な点は、
パスワードの送信が同じ経路で行われることで、狭義の
PPAPとして扱われることがあります。
日本国内では
PPAPが広く利用され続けている一方で、この手法は誤ったセキュリティ対策であるとの批判も存在し、実際に多くの企業や官公庁で使用されています。本来のファイル送信では、
パスワードを「送信先企業名の略称」など特定の符号で送っていた時代から、2010年代には
パスワードも同じ経路で送信する方法が定着してきました。
この変化は、プライバシーマークや
ISO/IEC 27000 シリーズ|ISO_IEC 27000 シリーズの
監査対応としての基準を満たすために広まったとも言われます。
批判の声
PPAPの安全性や効果に対し、様々な批判が寄せられています。主な批判内容には次のようなものがあります:
- - PPAPは「セキュリティシアター」とも言え、見せかけの対策に過ぎず、本当に重要なセキュリティ対策を取ることに繋がっていない。結果的に必要なコストが無駄に消費され、真の防衛策が後回しにされてしまう。
- - 攻撃者がZIPファイルにアクセスできる場合、パスワードも簡単に手に入る可能性があるため、同じ経路でパスワードを送信するのは危険です。
- - 自動化された送信システムでは、手動であればパスワード送信前の誤送信に気づいたかもしれないが、その効果が無くなる。
- - ZIPファイル内に悪意あるコードが含まれていた場合、アンチウィルスが検知できないリスクが高まる。
- - パスワード付きZIPファイルは解析が容易で、セキュリティ対策としての有効性に疑問が持たれています。
代替手段の提案
このような問題を受けて、
PPAPの廃止が進められています。官公庁では中央省庁の職員が
PPAPを廃止する方針を示し、
日立製作所などの企業が
PPAPの使用を停止する旨を発表しています。今後、民間部門でも
PPAPに代わる手法が求められるでしょう。
提案されている代替手段としては、
オンラインストレージやビジネスチャット、メールの暗号化など、より安全で使いやすいコミュニケーション手段が挙げられます。
結論
PPAPは、日本で広まったファイル送信の手法ですが、そのセキュリティに対する懸念や批判から、新たなコミュニケーション手段への移行が急務です。多くの企業や機関が
PPAPからの脱却を進めている中、デジタル時代に適した対策を確立する必要があります。