「Pマーク取得に必要だから」は都市伝説? “PPAP”をめぐる謎を、名付け親に聞いた:パスワード付ZIPメール(1/3 ページ)
霞が関で廃止の方針が固まった「PPAP」。多くの企業で「プライバシーマークの取得やISMS認証に必要だから」といった理由から横行してきた、といわれていますが、なぜPPAPは筋がよくないのか。名付け親に聞きました。
11月、平井卓也デジタル改革担当相が、中央省庁でのパスワード付きZIPファイルの使用を廃止する方針を打ち出しました。これを機に、パスワード付きZIPファイルをメールに添付して送り、その直後にやはりメールで解凍のためのパスワードを送る「PPAP」──すなわち「Password付きZIPファイルを送ります、Passwordを送ります、An号化(暗号化)、Protocol」と呼ばれる方式に反発する声があちこちで沸き起こっています。
PPAPとは「Password付きZIPファイルを送ります、Passwordを送ります、An号化(暗号化)、Protocol」の頭文字=JIPDECの資料「くたばれPPAP!〜メールにファイルを添付する習慣を変えるところから始める働き方改革〜」より
PPAPは多くの企業で「プライバシーマークの取得やISMS認証に必要だから」といった理由から横行してきた、といわれています。しかし後述する通り、この理由には明確な根拠が見つかりません。その上、セキュリティの効果はあまりないにもかかわらず、メールの受け手の手間が増えることから、辟易(へきえき)していた人が多かったはずです。ネット上の反応からもそんな状況がうかがえます。
そもそもなぜ、PPAPは筋がよくないのか、なぜこの習慣が生まれたのか──PPAPの名付け親であり、Facebookで「くたばれPPAP!」グループを主催している大泰司章氏に尋ねました。
大泰司章 合同会社PPAP総研 代表社員
SIerの営業現場で数多くの会社と商取引をする中で、紙にハンコの山と格闘。また、PPAP(Passwordつきzip暗号化ファイルを送ります/Passwordを送ります/An号化/Protocol)、PHS(Printしてから/Hanko押して/Scanして送ってくださいプロトコル)、ネ申エクセルといった形式的な電子化に痛めつけられる。これらの不合理な商習慣を変えるべく、日本経済社会推進協会(JIPDEC)で電子契約や電子署名、メールのなりすまし対策をはじめとするインターネット上のトラストサービスの普及に従事。2020年、さらに“戦線”を拡大すべくPPAP総研を設立し、ユーザー向けとベンダー向け双方へのコンサルティング業務を開始。
PPAPは本当に、セキュリティ対策なのか
ここ10年あまり、メールで取引先や顧客などと機密情報をやりとりするときの手軽なセキュリティ対策として採用されてきたのがPPAPです。
ファイルをZIP形式で圧縮する際にパスワードを付けて送り、そのパスワードが分からない限り解凍できないのだから、機密性が確保できるはず──というわけですが、本来、暗号化されたファイルとそのパスワードは別経路で送るべきもの。それが間を置かずにメールという同じ経路で送られてくるのですから、盗聴や誤送信対策にはなりません。
確かに、かつて一部で使われた、自己展開形式の.exe形式のファイルの拡張子を「_exe」に変更して添付する方式よりは、まだマシな手法だと大泰司氏は言います。しかし、得られるセキュリティ効果と手間、作業負荷のバランスを考えると、あまり効率のいい方法とはいえません。
むしろパスワードをかけてしまうと、ゲートウェイ型のマルウェア検査ツールでは添付ファイルの内容を確認できなくなります。このため対策ソフトの検知をすり抜ける手段として使われ、最近では「Emotet」マルウェアに悪用されるなど、セキュリティの観点だと、かえってマイナスだと指摘されていることはご存じの通りです。
にもかかわらず、PPAPは「会社のセキュリティポリシーで決まっているので」といった理由とともに、特にセキュリティ企業や大企業、官公庁で使われてきました。この状況に異を唱えるために何かいい表現はないか──と、大泰司氏は苦心惨憺(くしんさんたん)。2016年ごろ、頭を悩ませて生まれたのが、当時流行っていたピコ太郎さんの歌に引っかけたPPAP、というわけです。
受信者に一方的な負担を押しつける方法に疑問
「PPAPは大きく分けて、『セキュリティ対策として意味がない』というのと、『取引先に手間を押しつけてしまう』という2つの観点で議論されています。世の中ではどちらかというと前者の議論が盛んなようですが、私がPPAPと言い始めたのは、自動化するソリューションもあって送る側にはほとんど手間がかからない一方で、受け取る側は大変という非対称性を取引先に強制してもいいのか、という意識からです」(大泰司氏)
PPAPはグローバルを見てもあまり例を見ない、日本独自のガラパゴス的なお作法です。世の中にさまざまな“ビジネスマナー”が横行し、Web会議に関しても早速、新たな謎ルールが生まれるほど、マナーにうるさいはずの日本企業。にもかかわらず、「なぜメールのときだけ、こういう取引先にとって失礼なことをするのか、メールのときだけ手を抜くのかなと思っていました」と大泰司氏は振り返りました。
しかもPPAPは往々にして、サプライチェーンでいうと受注側の企業が発注側から押しつけられがちです。それがたくさんの人から送られてくると、それぞれ受け取った添付ファイルに該当するパスワードを入力して開かなければならず、非常に効率が悪いといいます。
「特に今、テレワークでオフィスにいないこともあります。自宅や、営業で外出先にいるときに、その場でさっと開いて見て反応したくても開けない、ということがあります。こんな風に受信側ばかりに負担をかけるのはおかしいのではないかと思っています」
「S/MIME」方式もあり得る
PPAPというキャッチーな名前を提唱したもう一つの理由は、公開鍵暗号方式をベースに、エンドツーエンドの暗号化と署名を可能にするS/MIME方式の普及を図りたかったからだそうです。この方式はPPAPのようななんちゃって暗号ではなく、暗号化や内容が改ざんされていないことを示す電子署名を行えます。
「当時から、PPAPをやめてS/MIMEにしましょうと呼びかけていました。相手方も証明書を持っていないと実現できないS/MIMEの暗号化は難しいといわれていましたが、ある程度閉じた業界やコミュニティーでは有効だと思います。自分に対してはPPAPで送らないでほしいと要求する受信者が、自ら証明書のコストを負担するというところも合理的です」
今でこそMicrosoft 365やGmailでS/MIMEがサポートされ、S/MIMEの利用手順はずいぶん簡素化されています。しかし、十数年前のWindows OSの設定で、また証明書の料金も高かったので、導入のハードルが高かったのは事実です。
「今の環境では簡単にS/MIMEを利用できますし、使い始めるとめちゃくちゃ便利なんですけど、なかなか概念がピンとこないし、情報システム部門にとってはサポートの手間が発生するのでなかなかやりたがりません。特に、十何年か前にS/MIMEにトライしてみたけれど難しかった……という経験をした人が、今、一番の障壁になっているように思います」
「プライバシーマーク取得に必要だから」は都市伝説?
関連記事
- オフィス解約、総務も全員“フルリモート”に急転換 「持たない」決断した企業が絞った知恵
コロナ禍で、テレワークの拡充など働き方やオフィスの在り方を見直す企業は多い。しかし、オフィスそのものを廃止し、全社員をフルリモート勤務に移行する企業は珍しいのではないか。「オフィスを持たない企業」としてwithコロナの時代を生き抜く決断をしたWebメディア企業CINRAに取材した。 - 「私、何もできていない」──在宅勤務で新入社員の不安が大爆発、解決したのは“全国をつなぐバーチャルオフィス”
コロナ禍をきっかけに在宅勤務が広がる一方で、多くの企業が課題に感じるのがコミュニケーション不足だ。エン・ジャパンでも特に営業担当の若手社員を中心に、慣れない在宅勤務で不安を感じるケースが多かったという。それを解決したのが“バーチャルオフィス”だ。活用することで情報交換が活発になり営業成績もアップしたというバーチャルオフィスの導入秘話を聞いた。 - 「オフィス縮小」即断、電話や掃除もオンライン化──“用意周到”だった企業が直面した盲点
人材系ベンチャーのLAPRASが、11月にオフィスを縮小移転した。これからはリモートワークをメインとし、「オフィスはおまけ」の位置付けだ。また、経費精算から電話まで業務に関わるあらゆるものをオンライン化している。その方向性は緊急事態宣言下の5月には決まっていたという。決断のスピードを支えたのは社員の役割が明確化されている組織体制や、ITツールに強い社員たち。しかし、課題がなかったわけではない。コミュニケーション量の低下による一体感が損なわれる事態も経験した。それらを乗り越えて、LAPRASが確立した新しいオフィスや総務の在り方とは。 - 突然すぎて「反対意見が半数」→「ゼロ」に 3日間で“フルリモート化”した企業が、社員を説得できた理由
緊急事態宣言が発出される前の3月末、たった3日間で原則フルリモートワーク勤務への移行作業を行い、11月現在も継続している企業がある。ゲームやVR・AR技術を開発するモノアイテクノロジー(神戸市)だ。フルリモートワークへの移行は初めからスムーズだったかというと、そうではない。モノアイテクノロジーではコロナ以前は全くテレワークを実施しておらず、3日間でフルリモートワークに移行することも、社長の鶴の一声で決まった。当時、管理部に寄せられた意見は「反対が約半数」だったという。その状況を乗り越えて、全社合意で今後もリモートワークを中心にするよう決まるまで、どのようなことがあったのだろうか。 - 異才を掘り当てた“Twitter採用”は、なぜ成功したのか タニタ人事部に聞く
タニタがTwitter採用を実施した。採用した新人はさっそく、ヒット商品を生み出したという。「とても良い人」を採用できた、成功の要因は何だったのか。
Copyright © ITmedia, Inc. All Rights Reserved.