PPAPの廃止が進んだ2021年

PPAPはペンパイナッポーアッポーペンのことではなく
ここではセキュリティとして使われてきたPPAPです。

PPAPとはPassword付きZIPを送ります、Passwordを送ります、Aん号化、Protocolの略号であり
添付ファイルを送信する時に、ZIPとパスワードを一緒に送信せず
2通に分けてメール送信する方法です。

日本国内では官民問わず利用されてきていて
PPAPで送信する為のソフトウェアすらあるほどです。

PPAPの問題点

PPAPはセキュリティ的にほとんど意味がありません。
誤送信した時の為に分けてあるとしても
ソフトウェアなどで自動送信していると、その利点すら無くなります。
仮にそうしたメリットがあったとしても
全体的に見て意味がないと判断したため廃止の動きが強まりました。

問題点1
スマホやタブレット等でパスワード付きZIPが扱いにくい。
テレワークが進んだ昨今、スマホやタブレットなど
PC以外の端末で仕事をする事も増えた人も多いと思います。
そうした端末ではZIPの閲覧がしにくい問題が
このテレワーク渦で更に顕在化されました。

問題点2
PPAPはみんなでセキュリティ対策をやっているつもりになる。
これは劇場型セキュリティと言われます。
例えやっているつもりになれても
本質的には大したことはやっていません。
仮に悪意ある者が意図的にZIP添付メールを入手できるのであれば
同じ経路から送られてくるパスワードの入手も可能となります。

問題点3
ZIPパスワード解析は1秒間に45億回施行可能という報告があり
悪意のある者の手に渡ればパスワードを解析される可能性も高い。

問題点4
手間が掛かる
送信する側もパスワード付きZIPの用意と
パスワードを分けて送信する手間がありますが
受信する側は2通のメールを受け取り
パスワードを入力して解凍しウイルススキャンと手間です。
業務の効率化という点では最悪でしょう。

問題点5
添付ファイルをZIP化することで、添付ファイルがウイルスに感染していたとしても
ZIPはアンチウイルス対策ソフトなどが感知できず
脅威を見過ごす可能性が高まる。

過去マルウェアのEmotetは、パスワード付きZIPに入っていた
Wordのマクロを実行させることにより感染を拡大させたことがあります。
パスワードが掛かっているファイルだから安全という先入観を持ち
暗号化されたZIPを開く習慣を持つ国内企業が狙われたと言えるでしょう。

他にも色々とあると言えばありますが
大まかなところはこんな問題点でしょうか。

ZIPにパスワードをかけて、パスワードを別途送信する
これは手間は掛かるが金が掛からない手軽な方法。
みんなでセキュリティ対策やってますよ劇場により
本来やるべき費用の掛かる対策をやらないという原因
免罪符になっていた可能性もあります。

続々と廃止する企業たち

平井デジタル改革担当は2020年11月に中央省庁で
PPAPを廃止する方針を発表しました。
その影響を受けてか2021年は民間においても
PPAPの廃止が続きます。

NTTデータが2021年7月にPPAP廃止に社内規定を改定済み。
日立製作所は2021年12月からPPAP廃止予定
富士通は廃止する方針だが、代替手段の検討中とのこと

他にも色々な企業が廃止を表明しています。

これはセキュリティだけに言えることではないですが
実際には大した効果はないのに
手間だけかけて仕事をしているつもりは世の中に多いはずです。

そして費用を掛けるべき所の費用を削る。
結局やっていることが手間の掛かる上に何の効果もなく
それどころか逆に悪影響を及ぼす可能性がある

そんな習慣ってどこの企業でもありそうですよね。

PPAPを習慣として使っている所は
国のデジタル改革に合わせて見直してみるのも
いいかもしれません。