企業セキュリティの歩き方

機動戦士ガンダムで例える「PPAP」が不要な理由

武田一城

2021-03-12 06:00

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。ここ数回はアニメ「機動戦士ガンダム」に例えて、最近話題の「ゼロトラストセキュリティ」を解説したが、今回は番外編として、最近メディアを騒がした通称「PPAP」(パスワード付きZIPファイルの送付)について述べる。

 一般の人にとってサイバー攻撃は、あまり身近ではないだろう。しばしば報道されることでその被害は認識しているだろうが、自分の身にそれが起きることを前提とするのはなかなか難しいからだ。サイバー攻撃には無差別に狙うものもあり、一般の人でもある程度のセキュリティ対策が必要だが、全ての対策が理にかなったものとは限らない。その代表例がメールに添付したファイルを暗号化し、そのパスワードを別のメールで送るという「PPAP」だ。その効果には、以前から疑問が投げかけられていた。

PPAPとは?

 2021年に入り、インターネットメディアで「PPAP」という言葉が駆け巡った。このニュースを見て、ほとんどの人はYouTubeの再生回数で世界を席巻した古坂大魔王氏プロデュースの「PPAP(Pen Pineapple Apple Pen)」を思い浮かべたようだが、本稿で取り上げるPPAPは、メール添付ファイルの受け渡し方式である。

 ここで言うPPAPは、メールに添付する暗号化ファイルとそのパスワードの別に送付する以下のような手順の頭文字を取って略したものだ。

  • P=Password付きZIPファイルを送ります
  • P=Passwordを送ります
  • A=Aん号化(暗号化)
  • P=Protocol(プロトコル)

 「Aん号化」の強引さで分かるように、このPPAPはPPAP(Pen Pineapple Apple Pen)ありきのパロディーである。命名者は、筆者も10年近い付き合いのある日本情報経済社会推進協会(JIPDEC)の大泰司章さんという方だ。

 大泰さんは、以前から「S/MIME(Secure/Multipurpose Internet Mail Extensions)」という電子署名を用いた「メールの暗号化」と「メールへの電子署名」の仕組みの普及に取り組み、日本以外ではあまり見られないこの、パスワード付きZIPファイル(PPAP)というセキュリティ対策のリスクやデメリットを指摘されていた。

 そして、このことを立命館大学の教授で「デジタル・フォレンジック研究会」の副会長を務める上原哲太郎さんがさらに大きく普及させた。そのことは、研究会のコラム「私たちはなぜパスワード付きzipファイルをメール添付するのか」に、この問題の要点が書かれている。PPAPの課題や問題点は、この内容に非常に端的に述べられている。

 コラムでも触れているように、PPAPは煩雑で労働生産性に少なからぬ悪影響を与えているにも関わらず、結局リスクはほとんど減っていないという現然たる事実がある。そのため、PPAP方式のような意味の無いセキュリティ対策の撲滅運動的なムーブメントが盛り上がったわけだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]