本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。ここ数回はアニメ「機動戦士ガンダム」に例えて、最近話題の「ゼロトラストセキュリティ」を解説したが、今回は番外編として、最近メディアを騒がした通称「PPAP」(パスワード付きZIPファイルの送付)について述べる。
一般の人にとってサイバー攻撃は、あまり身近ではないだろう。しばしば報道されることでその被害は認識しているだろうが、自分の身にそれが起きることを前提とするのはなかなか難しいからだ。サイバー攻撃には無差別に狙うものもあり、一般の人でもある程度のセキュリティ対策が必要だが、全ての対策が理にかなったものとは限らない。その代表例がメールに添付したファイルを暗号化し、そのパスワードを別のメールで送るという「PPAP」だ。その効果には、以前から疑問が投げかけられていた。
PPAPとは?
2021年に入り、インターネットメディアで「PPAP」という言葉が駆け巡った。このニュースを見て、ほとんどの人はYouTubeの再生回数で世界を席巻した古坂大魔王氏プロデュースの「PPAP(Pen Pineapple Apple Pen)」を思い浮かべたようだが、本稿で取り上げるPPAPは、メール添付ファイルの受け渡し方式である。
ここで言うPPAPは、メールに添付する暗号化ファイルとそのパスワードの別に送付する以下のような手順の頭文字を取って略したものだ。
- P=Password付きZIPファイルを送ります
- P=Passwordを送ります
- A=Aん号化(暗号化)
- P=Protocol(プロトコル)
「Aん号化」の強引さで分かるように、このPPAPはPPAP(Pen Pineapple Apple Pen)ありきのパロディーである。命名者は、筆者も10年近い付き合いのある日本情報経済社会推進協会(JIPDEC)の大泰司章さんという方だ。
大泰さんは、以前から「S/MIME(Secure/Multipurpose Internet Mail Extensions)」という電子署名を用いた「メールの暗号化」と「メールへの電子署名」の仕組みの普及に取り組み、日本以外ではあまり見られないこの、パスワード付きZIPファイル(PPAP)というセキュリティ対策のリスクやデメリットを指摘されていた。
そして、このことを立命館大学の教授で「デジタル・フォレンジック研究会」の副会長を務める上原哲太郎さんがさらに大きく普及させた。そのことは、研究会のコラム「私たちはなぜパスワード付きzipファイルをメール添付するのか」に、この問題の要点が書かれている。PPAPの課題や問題点は、この内容に非常に端的に述べられている。
コラムでも触れているように、PPAPは煩雑で労働生産性に少なからぬ悪影響を与えているにも関わらず、結局リスクはほとんど減っていないという現然たる事実がある。そのため、PPAP方式のような意味の無いセキュリティ対策の撲滅運動的なムーブメントが盛り上がったわけだ。
