添付ファイルをメールで送る時、自動的に添付ファイルが暗号化されてから相手に送信され、別途、システムから通知された暗号を後から送信していませんか。これがPPAPです。セキュリティ的に意味がないため政府が音頭をとって廃止に動いています。
PPAPとは
PPAPって覚えていますか。古坂大魔王が扮するピコ太郎がペンパイナッポーアッポーペン(Pen-Pineapple-Apple-Pen)と妙な動作で歌う動画です。YouTubeで公開された動画が全世界で広まり真似をする有名人やミュージシャンが続出しました。略称がPPAPです。
PPAPといっても、こちらはセキュリティのPPAPです。メールで圧縮ファイルが送られた後に別途パスワードが送られてくる奇妙な作法のことを言います。Password付きZIPファイルを送る、Passwordを送る、これにAngoka(暗号化)Protocol(プロトコル)を付け足してPPAPと言っています。もちろんピコ太郎のPPAPにあやかっています。
この奇妙な作法が拡がっているのは日本だけです。PPAPが拡がった背景にプライバシーマークやISO27000(ISMS)の審査が影響したようです。何らかのセキュリティ対応をしないといけないということで、ほとんど費用がかからないPPAPを導入し、それが他の企業に拡がっていったようです。プライバシーマークを運営している日本情報経済社会推進協会では一度もPPAPを推奨していないと発表しています。
意味がないPPAP
スマホでメールを見るにはファイルを閲覧するためのアプリが別途必要となり、これでは時代に逆行しています。そもそも攻撃側がzipファイルを添付したメールを見ることができるのならば、後で送られるパスワードも簡単に手に入れられます。本当にセキュリティを高めるのならパスワードはメール以外の方法で送るしかありませんが、受け取った側も手間が増えるだけです。
意味がないPPAPですので政府も動き出しています。2020年11月、平井デジタル改革担当大臣がPPAP廃止を打ち出し、内閣府と内閣官房においてPPAPを廃止しました。徐々に政府から民間に拡がっていますが、現在もPPAPが届きます。
意味がないパスワードの定期変更
もう一つ意味がないセキュリティが「パスワードの定期的な変更」です。おおむね3ケ月毎にパスワードを変更させられます。パスワードがもし盗まれてもパスワード変更により被害を止められるというのが理由ですが、セキュリティ的にはあまり意味がありません。攻撃側はパスワードを盗んだ瞬間にコンピュータ内の全ての情報にアクセスしますから、後でパスワードを変更しても意味がありません。
定期的なパスワード変更に対して皆が行うのが最後の枝番を変えることです。「〇〇〇1」なら次は「〇〇〇2」に変えるだけです。これではパスワード強度が落ちてしまいます。2017年、米国国立標準技術研究所(NIST)からサービス提供側がパスワードの定期的変更を要求すべきではないというガイドラインを発表しました。総務省でも定期的な変更は不要と発表しています。
意味があるセキュリティ対策
定期的なパスワード変更ではなく指紋などの生体認証を導入する。登録したスマホにショートメッセージを送ってコードを入力してもらう2段階認証をするべきでしょう。
ただしパスワードの使いまわしはやめましょう。一つ破られると芋づる式でやられてしまいます。一つの方法として基本となる難解なパスワードを決めて例えばGoogleで使うなら「go+基本パスワード」、フェイスブックを使うなら「fb+基本パスワード」と頭にサービス名をつけるといった自分なりのルールを作ればパスワードの使いまわしを防げます。