現在(2022年)、メールの添付ファイルを探しづらくさせ仕事非効率化の一因となり、ウイルス蔓延の温床となっているPPAP問題について記事です。
PPAPとは
PPAPとは、ピコ太郎氏のPPAP(Pen-Pineapple-Apple-Pen)になぞられて大泰司章氏が命名したという暗号化添付メール送信の仕組みのことです。
- Passwordつきzip暗号化ファイルを送ります
- Passwordを送ります
- An号化(暗号化)
- Protocol
というもので、添付ファイル付のメールを送信する場合、自動的に本体のメールはパスワード付のzip形式で圧縮し送信し、そのパスワードは別のメールで送付するというプロトコル(手順)です。
このPPAPは、日本の企業だけで用いられているガラパゴスの仕組みで、海外では利用されていません。
PPAPの問題点
PPAPによる生産性の低下
PPAPメールを送信する方は、送信側の企業で自動的にPPAPを送信する仕組みになっているので、普通にメールを送信するだけ済みます。そうすると、サーバー上で添付ファイルを暗号化して送信し、後からパスワードメールを自動的に送信されます。つまり、送信する側は普通にメールを送信するのと同じやり方なので手間は増えません。
問題は受信する方です。PPAPメールを受信すると、まずパスワードメールを開き、パスワードをコピーします。次に、添付ファイルをダウンロードします。ダウンロードしたファイルを開き、パスワードをペーストして解凍する。という面倒くさい手順が必要です。
手順が面倒なだけでなく、PPAPメールのせいで、ダウンロードフォルダや、デスクトップがカオスになったり、受信したメールから添付ファイルを探そうにも、解凍しないと添付ファイルの内容が確認できないた後から添付ファイルを探すのが大変です。
添付ファイルのメールとパスワードメールの差出人が違う企業もあるので、これも厄介です。添付ファイルのメールは取引相手のメールアドレスからだが、パスワードメールはパスワード専用のシステムの送信元から送信されるパターンの場合、添付ファイルが探せても、パスワードメールをもう一回探す手間がかかります。
マルウェア感染などウィルスセキュリティ上の問題
このPPAPのメールは、前述のように添付ファイルが確認しづらい上に、ウィルスセキュリティ上の問題も抱えています。メールサーバがメールのウィルススキャンしようとしても暗号化されているからスキャン出来ないからです。
そもそもの意味があるのか
ここまでデメリットがありながらも、本来の趣旨の、添付ファイルの秘匿性を担保できているのかという前提条件がなりたつのかすら怪しいです。
通信経路中で、メールを傍受され添付ファイルの内容を確認されるのを避けるために、わざわざ2つのメールに分けて送っています。
しかし、同じ経路のメールが傍受されるとしたら、本体のメールだけでなく、パスワードのメールも傍受されてしまうと思われます。(有難迷惑ですが、パスワードメールが違うところから送信されるのは、この問題をちょっとでも改善しようという工夫でしょう)
PPAP廃止の動向
デメリットが多いPPAPに対して、中央省庁も下記のように、廃止に向かって進んでいます。
まず私から、自動暗号化ZIPファイルの廃止について報告します。以前お話ししたとおり、アイデアボックスで投票数が第1位であった自動暗号化ZIPファイルの廃止については、先週17日の会見で、内閣府、内閣官房で廃止する方向で検討を進めているとお話ししましたが、明後日26日に廃止をする予定ということになりました。明後日からということですね。内閣府、内閣官房で採用していたZIPファイル送付と同じ経路でパスワードを自動で送る方式は、セキュリティ対策の観点からも、受け取る側の利便性の観点からも、適切なものではないと考えています。
平井内閣府特命担当大臣記者会見要旨 令和2年11月24日 – 内閣府 (cao.go.jp)
一方で、個人情報等の気密性の高い情報を含むファイルを送信する際には、例えばファイルにパスワードをかけるとともに、全く別の経路でパスワードを知らせるということが、まずは適切な対応ではなかったのかと思います。
他省庁の状況についても、NISCと連携しながら実態調査を進めており、その結果を踏まえて、ZIPファイル送信、送付と同じ経路でパスワードを自動で送る方式については廃止するということを促したいと思っています。
コメント