セキュリティ的に意味なし “旧ノーマル”な職場にはびこる習慣、その名も「PPAP」を知っていますか：半径300メートルのIT（2/2 ページ）

[宮田健，ITmedia]

この際捨てるべし！　〜2つ目〜　みんな知ってる「PPAP」を何とかしよう

　次は「PPAP」です。ここでいうPPAPとは、ピコ太郎さんがミームとして全世界に広げた“ペンパイナッポーアッポーペン”ではありません。PPAPとは、日本情報経済社会推進協会（JIPDEC）の大泰司章氏が取り上げたプロトコルで、皆さんが職場で身近に感じていて、「アレ、本当に効果あるの？」と思っているITしぐさです。

PPAPとは？　（出典：JIPDEC　「くたばれPPAP！」）

　職場から今すぐなくしたい「PPAP」とはすなわち、

• P：パスワード付きZIP暗号化ファイルを送ります
• P：パスワードを送ります
• A：暗号化
• P：プロトコル

　というもの。さて皆さん、心当たりはありましたか。普段職場でメールをやりとりしていると、「PPAP」方式で添付ファイルが送られてくるケースがいまだにあると思います。

　一見、このやり方は非常に手軽に実現できる“セキュリティしぐさ”のようでしょう。しかし、実はセキュリティ面でリスクをはらむだけでなく、非効率な部分もあるのです。

　例えば、添付ファイルにパスワードがかかっていると、職場で運用されているマルウェアフィルターをすり抜けてしまいます。また、攻撃者がターゲットにした企業のメールを盗聴していた場合、添付ファイルの付いた1通目、パスワードを記した2通目の両方が見られている可能性が高く、そもそも秘匿効果は薄いとされています。また、このメールを「iOS」などで動くiPhoneやiPadで受信すると、ZIPファイルを開くのに一苦労しますよね。その点でもこの仕組みはちょっと何とかできないかなあ、と思うわけです。

　ではなぜ、「PPAP」はなくならないのでしょうか。恐らく、多くの組織では運用ポリシーで推奨されているからではないでしょうか。また、企業のセキュリティを評価する指標に採用されている場合もあるようです。誰が始めたかは分かりませんが「それをやれと言われたから、皆が疑問を差し挟まずに従ってしまう」――PPAPがはびこるのは理由はその程度のはずです。中には、添付ファイルをメールに付けて送信すると自動で暗号化し、パスワードを別送する“PPAP自動化”の仕組みを採用している企業もあるはずです。

　PPAPだけではありません。職場にいつの間にか浸透し、誰も疑問に思わないけれど、実は無意味に近い施策――。これこそ、今のタイミングでしか捨てられないものなのではないでしょうか。

どうすれば、職場から“PPAP”をなくせるのか？

　では、PPAPを本気でなくしたい場合はどうすべきでしょうか。今のタイミングでメールやファイル保護のシステムを新たに内製する方法は、さすがに現実的ではありません。最も効率的なやり方は、クラウドサービスを使う方法でしょう。電子決裁システムとしてグループウェアを利用できるでしょうし、PPAPに関してはオンラインストレージをフル活用することが解決策になり得るはずです。

　そもそも、職場にPPAPが導入された理由の一つは、メールの誤送信対策のはずです。つまり、パスワード付きのファイルを本来送ってはいけない相手に誤って送ってしまっても、2通目のパスワードを誤送信しなければ情報漏えいとはならない……はずです（弱いパスワードであればそうはならないでしょうが）。

　クラウドストレージを使った誤送信対策は簡単です。まず、これまでメールに添付していたファイルをクラウドストレージにアップロードします。その上で共有権限を設定し、リンクをメールで適切な相手に送信するのです。万が一間違った送信先にメールを送ったとしても、共有権限をオフにすることで閲覧できなくなります。もっと手軽に送信したい、クラウドストレージ契約するにも時間がかかるというならば、以前の連載記事で紹介した「Firefox Send」を活用するのもいいでしょう。少なくとも、PPAPよりは細かいコントロールが可能になると思います。

　セキュリティに精通した読者には「まだこんなことをやっているの？」と言われそうですが、実はPPAPは情報処理学会の「情報処理 7月号」でも特集が組まれるほどの話題になっています。みなさんもこの際、現場から「ハンコやPPAP、何とかしませんか？」という声を上げてみてはいかがでしょうか。時間はかかるかもしれませんが、いまこそ“検討の”“準備の”第一歩を踏み出すときです。