PPAPはやめよう

弊社はお客様のところへ送られてくるメールに対する相談対応もしているのですが、そのメールを転送してもらうと未だに「PPAP」で送ってきているとこがあるんですよね。

ちなみに、政府は数年前に「PPAP」の危険性に気づき、「PPAP」を全面廃止としました。地方自治体もその方針に追随しているはずですが、セキュリティリテラシーが低い一般企業なんかではまだ使っているところもあるようです。

え？「PPAP」って何かって？「PPAP」というのは、「パスワード付きZIPファイルとパスワード用のメールを別々に送信する」という形のセキュリティ対策のことです。まぁ、セキュリティになってないんですけどね…。

パスワードを設定して圧縮ファイル（ZIPファイル）を暗号化することで、ファイルの中身を簡単に見られないようになっています。そして、その圧縮ファイル（ZIPファイル）を解凍するためのパスワードを別メールで送るわけです。

これは一見理に適っているセキュリティ対策のように思えますが、実はパスワード付きZIPファイルってウイルスチェックをすり抜けるんですよね。つまり、第三者に圧縮ファイルの中身を見られにくいという意味では対策になっている気もしますが、他の脅威（ウイルスとかマルウェアへの感染）には対応できていないわけです。

で、どちらが企業にとって脅威かというと、後者なわけです。それが、「PPAP」を使わないように推進していっている一番大きな理由ですね。（同じ伝送経路でZIPファイルとパスワードを送っている人がほとんどだと思いますが、それだと前者も怪しくなってきますしね。メールが盗聴されればお終いです。）

じゃあどうすればいいかと言うと、クラウドとか外部ストレージサービスを使えばいいと思います。クラウドの通信は暗号化されているのがほとんどですし、外部ストレージサービスも複数のセキュリティ対策が施されているものが多いです。

もし、まだ「パスワード付きZIPファイル」と「パスワード用のメール」を送ってるって人がいたら、それは早急にやめるようにしてくださいね。