こんにちは、東京本部のA&Hです。
最近PPAPを禁止するという企業や団体が増えてきたのをご存じでしょうか?
え、ペンパイナップルアップルペン禁止?
禁止も何も、もうブーム終わってね?
と、冗談はここまでにしまして・・・
PPAPとは、大泰司 章氏が問題提起、命名した、
P:Passwordつきzip暗号化ファイルを送ります
P:Passwordを送ります
A:Aん号化(暗号化)
P:Protocol
のこと、つまりこういう手順のことです。
1.暗号化zipを添付したメールを送付する。
2.続けてその暗号解除のパスワードを記載したメールを送付する。
3.受信者はその2通のメールをもって添付ファイルを解凍する。
で、なぜこれを禁止するのか?
理由は様々ですが、セキュリティ対策の向上にならないからです。むしろ危険という意見もあるくらい・・・
・1通目のメール(暗号化zipファイル)を攻撃者が入手できる場合、2通目のパスワードも同様に入手できる可能性が高い。
・添付ファイルがコンピュータウィルスに感染していた場合、アンチウィルスソフトのチェックをすり抜ける可能性がある。
・パスワードを解析するツールは普通に存在しており、コンピュータの処理速度向上により年々その解析能力は上がっている。単純なパスワードだと、かけてないのと一緒。
などなど、下手するとウィルスをばらまく加害者側になりかねませんね・・・。
代替案としてはクラウドのファイル共有サービスを利用したり、zip以外の方法による暗号化などがあげられるようです。
個人間や会社内の場合はそれらサービスを利用しやすいかもしれませんが、会社間になるとセキュリティポリシーの違いで、今すぐには同じサービスを使えないこともあると思います。
でも、いずれは何らかの方法で皆がPPAPをやめる時がくるでしょう。
みなさんもPPAP禁止という流れが来ていることを、知っておいてくださいね!!