PPAP (セキュリティ)

出典: フリー百科事典『ウィキペディア(Wikipedia)』
ナビゲーションに移動 検索に移動

コンピュータセキュリティにおけるPPAPとは、パスワード付きzipファイルと、そのパスワードを別送する、という段階を踏む、日本において多く見られる情報セキュリティ対策手法。日本国内において官民問わず広く使われているが、セキュリティ対策としての意味を為さないものとして有害視されている。

語源は「Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化Protocol(プロトコル)」[1]

PPAPによるファイルの送受信は、次のような段階によって行われる。

  1. 送信者は、添付ファイルをパスワード付きzipファイルで暗号化し、メールに添付して送信する。
  2. 送信者は、1.で送信した添付ファイルのパスワードを、別途メールにて送信する。
  3. 受信者は、送信者から受け取った添付ファイルとパスワードによってファイルを復号化し、中身を得る。

特に2.におけるパスワードの送信を、1.の添付ファイルと同一の経路で(メールやチャットといった手段を変えず、また同一メールアドレス宛に)送信することを、狭義のPPAPとして扱うことがある。

特徴[編集]

PPAPは、日本国内で官民問わず利用されている一方、日本国外ではほとんど見られない慣行である[2]。このPPAP方式によるメール送信を支援するためのソフトウェア製品も市販されている[3]

PPAPが使われ出す前は、パスワード付きzipファイルをメール送信し、パスワードを「送信先社名の略号」など関係者のみに通じる符丁が使われていたが、2010年代よりパスワードも同一経路で送信する手法が採られ始めた[2]

プライバシーマーク、およびISO/IEC 27000 シリーズ監査上、ファイルの暗号化に対応するための手法として広まったとされている。

批判[編集]

PPAPは、企業のセキュリティ対策を向上させるどころか、むしろ危険に晒しているとして、批判を受けている。主な批判は、次のようなものである。

  • PPAPは典型的なセキュリティシアター英語版である。セキュリティ対策をしているという安心感に不必要な費用を掛け、本来するべき対策をせず、また有用な対策に利用する費用が削られている[4]
  • 攻撃者がzipファイルを添付したメールを入手できるならば、同じ手段で送られるパスワードも入手できると考えられる。もし有用にパスワードを使用するならば、別の手段でパスワードを送るべきである[3]
  • わざわざ別のメールで指定されたパスワードを一々入力するという手間は、無駄が多い。
  • 多くの企業では、ファイルのzip化とパスワードの送信を自動で行っている。手動であればパスワード送信前に誤送信に気付くという効果があるかもしれないが、自動化されているとその効果も得られない[3]
  • 添付ファイルのzip化によって、もし添付ファイルがコンピュータウイルス等に感染していたとしても、アンチウイルスソフトウェアのシグニチャ型対策、サンドボックス型対策のどちらにも発見されず、脅威に気付くことが出来ない可能性が高まる[5]
  • パスワード付きzipファイルのパスワード解析は、2012年時点で1秒間に45億回の試行が可能であるという報告がされており、もし暗号化zipファイル単体のみが攻撃者の手に渡ったとしても、中身を盗み見られる可能性は高い。暗号化の為にパスワード付きzipファイルを使う事がそもそもセキュリティ対策として有用ではない[5]
  • スマートフォン端末等では、パスワード付きzipファイルを閲覧するために専用のアプリケーションが必要であるなど、テレワークの導入に障壁となりえる[6]

関連項目[編集]

出典[編集]

  1. ^ 宮田健 (2020年6月23日). “セキュリティ的に意味なし “旧ノーマル”な職場にはびこる習慣、その名も「PPAP」を知っていますか”. ITmedia エンタープライズ. 2020年9月6日閲覧。
  2. ^ a b 情報処理 : 情報処理学会誌 2020年7月(61巻7号、通巻664号)pp.706-734 小特集 さようなら,意味のない暗号化ZIP添付メール:1「PPAPとはなにか─その発展の黒歴史─(大泰司章)」
  3. ^ a b c 情報処理 : 情報処理学会誌 2020年7月(61巻7号、通巻664号)pp.706-734 小特集 さようなら,意味のない暗号化ZIP添付メール:2「PPAPのセキュリティ意義(楠 正憲)」
  4. ^ 情報処理 : 情報処理学会誌 2020年7月(61巻7号、通巻664号)pp.706-734 小特集 さようなら,意味のない暗号化ZIP添付メール:「編集にあたって」
  5. ^ a b 情報処理 : 情報処理学会誌 2020年7月(61巻7号、通巻664号)pp.706-734 小特集 さようなら,意味のない暗号化ZIP添付メール:3「我々はなぜPPAPするようになってしまったのか(上原哲太郎)」
  6. ^ 沢渡あまね「仕事ごっこ~その“あたりまえ”,いまどき必要ですか?」技術評論社、ISBN 978-4-297-10621-8、pp.61-72「白ヤギさんと黒ヤギさん、ふたたび コミュニケーションに水を差すPPAP」