“PPAP”の危険性とは?
仕事などで、メールを利用してデータを受渡する場面があると思いますが、どうやって受渡しているでしょうか?
パスワード付きのZIPファイルにして、後からパスワードを送っていませんか?あるいは自動でパスワードを送るシステムなどを利用していませんか?
その方法(パスワード付きのZIPファイルをメール添付して、別メールでパスワードを送る方法を俗に”PPAP“といいます)では危ないかもしれませんよ。
PPAPの意味と課題について、解説していきます。
PPAPは何の略?
一般的にPPAPといえば、ド派手な衣装でパンチパーマの人がリズムに合わせて歌って踊っている様子を思い浮かべると思いますが、IT関連の用語としては
- (P)Password付ZIPファイルを送る
- (P)Passwordを送る
- (A)暗号化…ここだけ日本語「あんごうか」
- (P)プロトコル
の略で、パスワード付きのZIPファイルとパスワードをメール等で送ることを指しています。
ペンとパイナップルとアップルとペンではないですが、その”PPAP”の語感からヒントを得たみたいですよ。
PPAPの効果と課題
かつてはセキュリティ対策として推奨されていたPPAPですが、どういった効果を期待されていたのか、またどういった課題があるのか、を挙げてみます。
期待される効果
ZIPを添付したメールと、パスワードを記載したメールを分けて送信することになりますので、
ファイルの送信先を間違えたけど、パスワード送る前に気づけてよかった~。
ZIP添付のメールが盗聴の被害にあったらしい。パスワードのメールは別だったから盗まれなかったみたいだけど…。
といった形で情報漏洩を防ぐ効果が期待されていると考えられます。
上記の場面も可能性が0でないならば、全くの無意味というわけではないかもしれません。
…が、問題がないわけではありません。
PPAPの課題
このPPAPによるファイル受渡は今でも見かけることがありますが、セキュリティ対策と考えたときに、次のような課題があります。
- ZIPファイル送信とパスワード送信がシステム化されていることも多く、ほぼ同時に送信されてしまうため、送信先の間違いに気づくタイミングがない。
- ZIPファイルとパスワードを同様の手段で送っているならば、それぞれ同様に盗まれる可能性が高く、パスワード送信を分ける意味がない。
- ZIPファイルのパスワード解析自体、近年のコンピュータであれば総当たりでもそこまでコストがかかる処理ではなく、セキュリティ対策としての効果自体が薄い。
- パスワードのメールを待つ・受け取ったパスワードで解凍作業をする、といった手順になるので、受け取る側の手間が増える。
- パスワード付ZIPファイルを作成するのはOS付属の機能ではできないため、別途専用のシステム(メール送信のシステム化、パスワード付ZIPを作成するアプリケーションなど)を用意する必要があり、効果が薄いものに対するコストが高くなる。
- 上記のようなシステムには無料で有用なものもあるかもしれないが、企業としてのセキュリティ対策をフリーソフトで賄うということは(必ずしもそうとは限らないものの)セキュリティに対する意識の低さを露呈する可能性がある。
- 上記のような状況を受け、ZIPファイルが添付されたメールを受け取らないようにしているメールサーバーも多い。
- ZIPファイルを受け取れるようにファイルチェックを無効したり、チェックは有効でもZIPの中身まではチェックできないことを逆手に取られたりすることで、マルウェアなどの不正ソフトを受け取る可能性も高まってしまう。
以上のような具体的な課題のほかにも、PPAPを行っていることでなんとなくセキュリティ対策している気になってしまい、本来のセキュリティに対する意識が希薄になってしまう危険性もあります。
ZIPファイルとパスワードを(別メールとはいえ)ほぼ同時に同じ宛先に送るシステムって、本末転倒ですよね…。
PPAPの代替手段
上記のような課題が多々あるため、現在ではPPAPは推奨されない手順とされています。
となると、どういった方法でデータの受け渡しを行うのが良いでしょうか。
クラウドストレージ
相手と共有できるクラウドストレージがある場合、そこへアップロードを行い、相手側にはストレージにアクセスしてダウンロードを行ってもらいます。
メール自体にはアップロードに関する情報だけを記載すればいいので、受渡するデータのサイズが大きくても、メールサーバーの容量を圧迫することはありません。
クラウドストレージへのアクセス自体がアカウント管理されていることになるので、十分なセキュリティも期待できます。
ダウンロードリンク
共有できるストレージではない場合でも、送る側でクラウドストレージを利用していれば、ダウンロードリンクの作成機能が付いていることも多いですね。
ダウンロードリンクは”クラウドストレージ上の特定ファイルのダウンロード用のURLを作成する機能“で、クラウドストレージに直接アクセスせずに対象のファイルをダウンロードすることができます。
ダウンロード対象は指定のファイルのみであり、不必要なデータへのアクセスも抑制できます。
ファイル転送サービス
ストレージサービスを利用していなくても、ファイル共有・転送サービスを使うことでファイルを送ることができます。
一時的にファイルをアップロードし、表示されたリンクを共有することでファイルのダウンロードができるので、上記ダウンロードリンクの簡易版と考えてよいでしょう。
ストレージ使用量抑制のため、期限が過ぎたら自動的にアップロードされたファイルが削除される仕様になっていて、いつまでもサーバー上にファイルが残ることもありません。(サービスによりますが)
広告表示により無料で利用できるサービスもあるので、単発で利用したいときなどはこういった選択肢を検討してもいいかもしれません。
ビジネスチャットツール
近年では、電話・メール以外のビジネス通信手段として、ビジネスチャットツールも普及しています。特にコロナ禍におけるリモートワーク促進の動きもあり、ますます一般化してきました。
ビジネスチャットであれば、双方がそのツールを利用していなければならないという制約はあるものの、特定の相手・グループと直接つながることにもなるため、誤送信の防止にもつながり、メールを介さずにデータを受渡する手段としても有効です。
情報の整理という点ではやや難がありそうですが、即時性が高く、現代のビジネススピードに対してはメリットのほうが大きいかもしれません。
PPAPは廃止の流れに
2020年11月に政府からPPAP廃止の方針が発表され、文部科学省では2022年1月4日から正式に廃止となりました。
こういった動きから一般企業でも脱PPAPの動きが促進されてきており、一部では社内規定でPPAPを禁止とする企業も多くなっています。
個人としても安全性への意識を高める意味もあり、どういった形式でのデータ送受信が適しているのか、きちんと検討して判断していくことが必要になるでしょう。