2021年1月下旬に大手総合電機メーカーの日立製作所が、PPAPを禁止する方針を固めたと報じられてから、PPAPについての報道や記事を多くみかけるようになりましたよね。
この記事では、「そもそもPPAPとはなにか」や「PPAPがNGとされる理由」について解説していきます。
そもそもPPAPとは?
PPAPとは、「Password付きzipファイルを送ります」「Passwordを送ります」「Aん号化(暗号化)」「Protocol(プロトコル)」のそれぞれの頭文字を取った言葉です。
つまり、パスワードつきのZIPファイルを添付してメールで送り、そのあとにパスワードだけ別途メールで送ることを指しています。
セキュリティ対策の手法のひとつで、メールでのファイルのやり取りが発生したころから、日本で多く使われてきました。
具体的には以下の手順で進められますよ。
PPAPの具体的な手順
- 送信者がファイルをパスワード付きZIPファイルを暗号化し、メールに添付し送信する
- 送信者は1で添付したZIPファイルのパスワードを別途メールで送信する
- 受信者は送信者から受けとった1のZIPファイルを2のパスワードで復号する
なぜPPAPと呼ばれるかというと、実はピコ太郎さんのPPAPが由来になります。
これを「PPAP」と呼ぼうと提唱したのは、ITコンサルタントで、現在はPPAP総研代表の大泰司章(おおたいし あきら)さん。ピコ太郎が2016年に発表したPPAP(ペン・パイナップル・アップル・ペン)が由来です。
大泰司さんは16年、ピコ太郎のPPAPの響きが「プロトコルっぽい」と言う人がいたことからヒントを得て、パスワード付きZIPメールの“セキュリティしぐさ”に、PPAPと命名したそうです(情報処理2020年7月号別刷「《小特集》さようなら,意味のない暗号化ZIP添付メール」より)。
PPAPはなぜダメ?PPAPがNGとされる理由2つ
では、なぜPPAPが企業で禁止されたり、使用がNGとされるのでしょうか?
その理由を大きく2つにまとめましたので、ご紹介しますね。
PPAPがNGとされる2つの理由
- セキュリティ上の効果がうすい
- 無駄が多く手間である
理由1:セキュリティ上の効果がうすい
まずひとつ目の理由として、PPAPはセキュリティ対策の手法として用いられているにもかかわらず、セキュリティ上の効果が薄いことです。
具体的には以下のような理由があげられます。
PPAPのセキュリティ効果がうすい理由
- パスワードつきZIPファイルのパスワードを解析するツールが存在する
- 添付ファイルをZIP化することで、ファイルがウイルスに感染しているかのチェックをすり抜けやすくなる
- Emotet(エモテット)など、パスワードつきZIPファイルなどを通じて、感染を広げるマルウェアの温床となる場合がある
理由2:無駄が多く手間である
次に、PPAPは無駄が多く、手間であることが2つ目の理由です。
かかる手間のわりに、先述したようにセキュリティ上の効果が薄いですし、以下のような手間やリスクがありますよ。
無駄が多く手間やリスクがある
- わざわざ別メールでパスワードを送るのが手間で、無駄が多い
- スマートフォンなどモバイル端末では、パスワードつきZIPファイルを閲覧するために、専用アプリが必要になることがある
- メールには誤送信のリスクがある
PPAPはなぜNG? まとめ
PPAPがなぜ大手企業で禁止されたり、使用を批判されるようになったのか、わかっていただけたのではないでしょうか。
PPAPは、これまでそのセキュリティの効果についてあまり公で議論されておらず、長年の慣習として、社内ルール化していた企業も多いと思います。
今回、大きく話題にのぼったことがきっかけで、適切な情報の受け渡しやセキュリティ対策についての議論を進めていければいいですね。
Japanese 
English 
Vietnamese 
Thai