皆さんPPAPという言葉をご存知ですか？

 

数年前に流行った歌のことではありませんよ(笑)

 

情報セキュリティ・個人情報保護の領域でもPPAPという言葉が存在しています。

下記の内容の頭文字を取った言葉になります。

• P：パスワード付きZIP暗号化ファイルを送ります
• P：パスワードを送ります
• A：暗号化
• P：プロトコル

これを具体的なメールのやり取りに落とし込むと下記のような流れです。

1. A(メール送信者)は、添付ファイルをパスワード付きzipファイルで暗号化し、メールに添付してB(受信者)に送信する。
2. A(メール送信者)は、1.で送信した添付ファイルのパスワードを、別途メールにてB(受信者)に送信する。
3. B(受信者)には、送信者から受け取った添付ファイルとパスワードによってファイルを解凍し、添付ファイルの中身を確認する。

 

これまではこの形式が情報セキュリティ・個人情報保護の観点から正しいルールであると信じられてきました。

 

いまはこれがリスクがある行為として見直しされて来ています。

具体的にどういったことなのかを少しご紹介していきます。

 

【PPAP方式のリスク】

では、実際にPPAP方式を使い続けるリスクとはどんなものがあるのでしょうか。

想定されるリスクとしては下記のようなことが挙げられます。

メールを盗聴している人がzipファイルを添付したメールを入手したら、同じ手段で送られるパスワードも入手できる可能性が高い。

●別のメールで指定されたパスワードを入力するという手間は、無駄が多い。

●最近はファイルのzip化とパスワードの送信を自動で行っているツールが多い。手動であればパスワード送信前に誤送信に気付く可能性もあるが、児童の場合はそうも行かない。

●添付ファイルのzip化によって、もし添付ファイルがコンピュータウイルス等に感染していたとしても、脅威に気付くことが出来ない可能性が高まる。

●パスワード付きzipファイルのパスワード解析は、2012年時点で1秒間に45億回の試行が可能であるという報告がされている。暗号化zipファイル単体のみが攻撃者の手に渡ったとしても、中身を盗み見られる可能性は高い。暗号化の為にパスワード付きzipファイルを使う事がそもそもセキュリティ対策として有用ではない。と以前から指摘されている。

●スマートフォン端末等では、パスワード付きzipファイルを閲覧するために専用のアプリケーションが必要となり、利便性を損なう。

ざっと例を挙げるだけでもこれだけのリスクが想定出来てしまいます。

 

【なぜ、利用され続けたのか】

2012年にはIPAでもPPAP方式は有用な情報セキュリティ・個人情報保護の施策として挙がっていました。

ですが、大きな理由としてはプライバシーマーク制度などの認証制度がPPAP形式を推奨し、認証上の基準として盛り込んでいたことが要因の1つだと考えられます。

認証を取得する企業は自ずとPPAP形式を利用することになってしまい、グループ会社や取引先にも広がっていった。という流れです。

 

【今後どうすべきか】

別の記事にも詳細を記載しているので、内容はそちらにゆずります。

 

ですが、今後は会社ごとに取り組むべき方式が変わってくることは事実です。

自社の規模、文化や業務上のリスクに応じた取り組みが必要になってくるため、専門家に相談・支援を受けることが効果的な取り組みだと考えます。