PPAP (セキュリティ)

PPAPとは


PPAPは、「Password付きZIPファイルを送ります、パスワードを送ります、Angoka(暗号化)Protocol(プロトコル)」の略称に由来し、特に日本で流行したコンピュータセキュリティの手法の一つです。この名称は、元々日本情報経済社会推進協会に所属していた大泰司章が提唱し、ピコ太郎の楽曲『PPAP』(ペンパイナッポーアッポーペン)からインスピレーションを得て名付けられました。近年では、海外では「Password Protected Attachment Protocol」として理解されることもありますが、これは公式な略語ではありません。

PPAPの具体的手法


PPAPのファイル送信プロセスは、おおよそ以下の手順で行われます。
1. 送信者は、対象のファイルをパスワード付きのZIPファイルで圧縮し、これをメールに添付して送信します。
2. その後、ファイルのパスワードを別のメールにて送信者が受信者へ送り届けます。
3. 受信者は、送信者からのZIPファイルとそのパスワードを用いて、ファイル内容を復号し、利用します。
この手法における重要な点は、パスワードの送信が同じ経路で行われることで、狭義のPPAPとして扱われることがあります。

PPAPの特徴


日本国内ではPPAPが広く利用され続けている一方で、この手法は誤ったセキュリティ対策であるとの批判も存在し、実際に多くの企業や官公庁で使用されています。本来のファイル送信では、パスワードを「送信先企業名の略称」など特定の符号で送っていた時代から、2010年代にはパスワードも同じ経路で送信する方法が定着してきました。
この変化は、プライバシーマークやISO/IEC 27000 シリーズ|ISO_IEC 27000 シリーズ監査対応としての基準を満たすために広まったとも言われます。

批判の声


PPAPの安全性や効果に対し、様々な批判が寄せられています。主な批判内容には次のようなものがあります:
  • - PPAPは「セキュリティシアター」とも言え、見せかけの対策に過ぎず、本当に重要なセキュリティ対策を取ることに繋がっていない。結果的に必要なコストが無駄に消費され、真の防衛策が後回しにされてしまう。
  • - 攻撃者がZIPファイルにアクセスできる場合、パスワードも簡単に手に入る可能性があるため、同じ経路でパスワードを送信するのは危険です。
  • - 自動化された送信システムでは、手動であればパスワード送信前の誤送信に気づいたかもしれないが、その効果が無くなる。
  • - ZIPファイル内に悪意あるコードが含まれていた場合、アンチウィルスが検知できないリスクが高まる。
  • - パスワード付きZIPファイルは解析が容易で、セキュリティ対策としての有効性に疑問が持たれています。

代替手段の提案


このような問題を受けて、PPAPの廃止が進められています。官公庁では中央省庁の職員がPPAPを廃止する方針を示し、日立製作所などの企業がPPAPの使用を停止する旨を発表しています。今後、民間部門でもPPAPに代わる手法が求められるでしょう。
提案されている代替手段としては、オンラインストレージやビジネスチャット、メールの暗号化など、より安全で使いやすいコミュニケーション手段が挙げられます。

結論


PPAPは、日本で広まったファイル送信の手法ですが、そのセキュリティに対する懸念や批判から、新たなコミュニケーション手段への移行が急務です。多くの企業や機関がPPAPからの脱却を進めている中、デジタル時代に適した対策を確立する必要があります。

もう一度検索

【記事の利用について】

タイトルと記事文章は、記事のあるページにリンクを張っていただければ、無料で利用できます。
※画像は、利用できませんのでご注意ください。

【リンクついて】

リンクフリーです。