Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@s_ro

【PPAP方式】メールでパスワード付きのZIPファイルを送り、あとで別メールでパスワードを送る

Posted at

セキュリティっぽく見えるだけで、実際には効果がない典型例

PPAP方式とは

PPAP方式とは、メールでファイルを送る際に以下の手順を踏む方法です:

  1. Password付きZIPファイルを送信(Protocol)
  2. Another(別の)メール経路で
  3. Passwordを送信

一見すると「パスワードで保護しているから安全」に思えますが、実はセキュリティ上の効果はほとんどありません。

なぜ効果がないのか

同じ経路を通る問題

PPAP方式の最大の問題は、ZIPファイルもパスワードも同じメール経路を通るという点です。

  • メールが途中で盗聴されていた場合、ZIPもパスワードも両方取得される
  • メールアカウントが乗っ取られていた場合、送信済みメールから両方を入手できる
  • 受信者のメールボックスにZIPとパスワードが両方残るため、メールボックスが侵害されれば意味がない
🔓

例えるなら、家の鍵をかけた後、その鍵を玄関の前に置いていくようなものです。

その他の問題点

ウイルス対策ソフトの回避に利用される

  • パスワード付きZIPはウイルススキャンできないため、マルウェア送信に悪用されやすい
  • むしろセキュリティリスクを高めている側面がある

業務効率の低下

  • ZIPの解凍、パスワードのコピペという手間が発生
  • 複数ファイルを送る場合、毎回この作業が必要

暗号化の強度が低い

  • ZIP暗号化(特に古い形式)は解読が比較的容易

セキュリティ・シアター

PPAP方式は「セキュリティ・シアター」の典型例とされています。

セキュリティ・シアターとは、実際にはセキュリティ効果がないのに、セキュリティ対策をしているように見える取り組みのことです。形式的な対策に時間とコストをかけながら、本質的なリスクには対処できていない状態を指します。

形式的な対策に時間とコストをかけながら、本質的なリスクには対処できていない状態を指します。

PPAP廃止に向けた主な動き

政府の取り組み

2020年11月24日、平井卓也デジタル改革担当大臣(当時)が内閣府・内閣官房におけるPPAP方式の全面廃止を発表しました。[1] この発表を契機に、日本全体でPPAPを見直す動きが急速に広がりました。

その後、2022年1月には文部科学省でもPPAP廃止が決定されるなど、各省庁でPPAPを利用しない方向で進んでいます。[2]

JIPDEC(日本情報経済社会推進協会)の見解

プライバシーマーク制度を運営するJIPDEC(一般財団法人日本情報経済社会推進協会)は、**「PPAPは以前から推奨していない」**と公式に発表しています。[3]

実は、PPAPがプライバシーマーク取得に必要だという認識は誤解でした。2005年の個人情報保護法施行後、一部のコンサルタントが総務省のガイドラインを参考に「PPAP方式を守っていればプライバシーマークを取得できる」と推奨したことで、この誤解が広まったとされています。[4]

「PPAP」という名称の命名者

この問題に警鐘を鳴らすため、元JIPDEC所属の大泰司章(おおたいし あきら)氏が2019年に「PPAP」という名称を命名しました。[5] ピコ太郎氏の楽曲『PPAP』(Pen-Pineapple-Apple-Pen)からヒントを得たとされており、この分かりやすい名称により、問題点が広く認知されるようになりました。

民間企業の動き

政府の方針転換を受けて、大企業を中心にPPAP廃止が進んでいます。

PPAP廃止を表明した主な企業:[6]

  • 日立グループ(2021年10月)
  • ソフトバンクグループ(2022年2月)
  • カシオ計算機(2022年3月)
  • 三菱重工業(2022年3月)
  • アステラス製薬(2022年7月)
  • 日清食品ホールディングス(2022年11月)

これらの企業では、PPAPを利用したファイル転送をシステム上で送受信できないようにする厳格な措置が取られています。その影響は取引先にも波及しており、PPAP付きメールを受信拒否する企業も増えています。[7]

現在の状況

JPAAWGの調査によると、2020年時点で76%の日本企業がPPAPを活用していましたが、2021年2月の調査では継続予定の企業が27%まで減少しました。[8] また、2024年の調査では約5割の企業がPPAPを使用していないと回答しています。[9]

推奨される代替手段

クラウドストレージの活用

Google Drive、Dropbox、OneDrive、Box等

  • ファイルを共有リンクで送信
  • アクセス権限を細かく設定可能(閲覧のみ、編集可、有効期限など)
  • パスワード設定も可能(別経路で伝える必要あり)
  • 大容量ファイルも扱いやすい
  • バージョン管理や履歴追跡が可能

ファイル転送サービス

Send Anywhere、Firefox Send(廃止済み)の後継サービス等

  • 暗号化された状態でファイルを転送
  • 有効期限やダウンロード回数制限を設定可能

企業向けソリューション

専用のファイル共有システム

  • 監査ログが残る
  • 二要素認証に対応
  • コンプライアンス要件を満たしやすい

まとめ

PPAP方式は、セキュリティ対策として実効性がないばかりか、業務効率を下げ、マルウェアの温床となるリスクすらあります。

本当にファイルを安全に共有したいなら、クラウドストレージサービスや専用のファイル転送サービスを利用する方が、セキュリティ・利便性の両面で優れています。

💡

覚えておきたいポイント

形式的な対策ではなく、本質的なセキュリティリスクに目を向けることが重要です。「やっている感」よりも「実効性」を優先しましょう。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?