「PPAP」というと、元々は2016年にピコ太郎さんが公開して大ヒットした動画作品ですが、情報セキュリティ関係ではこの言葉になぞらえたメール送受信の問題点が2019年・2020年ごろから議論されるようになりました。
メール送受信に関して議論される「PPAP」は、「P:Passwordつきzip暗号化ファイルを送ります」「P:Passwordを送ります」「A:Aん号化(暗号化)」「P:Protocol(プロトコル)」の略語です。
2019年、プライバシーマーク制度(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)に所属していた大泰司章氏(現PPAP総研代表)が命名し、問題提起されました。ピコ太郎さんの「PPAP」が「プロトコル(通信上の規約)っぽい」と話題となり、比喩に用いられたのが由来といわれています。
多くの団体で一般化してきた、メール送受信の際の「PPAP」ですが、主に以下の理由などでリスクがあるとされてきました。
・圧縮形式で採用されるZipの暗号強度が脆弱である。
・Zipで圧縮されたファイルの中身はチェックできないため、ウィルス感染のリスクがある。
・スマホやタブレット利用でZipファイルの中身を確認できない可能性がある。
・同じ通信経路を介してメールでパスワードを送る場合、この通信経路の攻撃により盗聴されてしまう可能性がある。
・送受信側とも手間がかかる。
・Zipで圧縮されたファイルの中身はチェックできないため、ウィルス感染のリスクがある。
・スマホやタブレット利用でZipファイルの中身を確認できない可能性がある。
・同じ通信経路を介してメールでパスワードを送る場合、この通信経路の攻撃により盗聴されてしまう可能性がある。
・送受信側とも手間がかかる。
こうしたこともあって、2020年11月には、内閣府と内閣官房でPPAPの廃止が発表されました。
セキュリティ対策における信頼や、受け取る側の利便性の観点が適切でないと判断したことが、廃止の理由になったようです。他省庁についても同様に廃止を実施していくと発表したため、この取り組みは民間企業にも影響を与えました。
PPAPに代わる様々な代替え案が検討されていますが、以下はその例です。
・クラウドストレージを利用し、ファイル共有する。
・チャットツールを利用する。
・ファイル転送サービスを利用する。
・クラウドストレージを利用し、ファイル共有する。
・チャットツールを利用する。
・ファイル転送サービスを利用する。
様々なツールを活用する際にはコスト、使い勝手なども踏まえ、団体内で検討し、必要に応じて専門家の意見もうかがってみることをお勧めします。
この記事は、以下の記事を参考にさせていただきました。