「PPAP」というセキュリティ対策について

2024年5月7日

テーマ：IT関係

コラムカテゴリ：ビジネス

この「PPAP」という内容は皆さんご存知でしょうか。
この文言だけみると某芸人さんを思い出しますが、全く違います。
内容としては以下の通りです。
「暗号化したパスワード付きzipファイルをメールに添付し、その後解凍用パスワードを別メールで送信する。」

未だにこの方法で送付される企業は結構ありますが、意味がないものとして官庁でも廃止されています。
https://ja.wikipedia.org/wiki/PPAP_(%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3)

理由や代替手段など記載がありますので、是非参考にしてください。
なお、代替手段が完璧なセキュリティ対策かと言われるとそうではないのですが、
この対応よりはよいという形です。

弊社を立ち上げて5年以上たちますが、基本無意味だと思っているのでやっていませんでした。
メールで出す情報に機密情報はほぼないですし、そもそもメールが見れる状態まで突破されているのであれば、
内容が見れているわけでパスワードも破られるからです。
別メールにすることで回避できると思われ使われていましたが、そもそも突破されている時点でそちらも
見れるでしょうし、わからなくても機械的に探せば解凍できることもあります。

上記wikiでも書いていますが、やってる感があるだけで無意味であり、かつ無駄な労力を使う時点で
効率的ではありません。
社内はオンラインストレージ、チャットツール、社外もチャットツールが主です。
結果的に書いてあることをしていますが、上記で書いた通り完ぺきなものはないので、機密情報の取り扱いは
考える必要があります。

他のコラムでも書きましたが、怪しいメールやSNS、SMSに反応しないことや情報の取り扱いについて
今一度社内で検討するなど、新しい情報を手に入れて情報を抜き取る手法を知るほうがよほどセキュリティ対策になると思います。

我々の業界でもこの手法を使っている企業はありますが、メールでこの手法をとる企業のセキュリティ対策は
あまり高くないんだなと認識されればよいと思います。
特に個人情報を取り扱う方の場合はシステム選定にそのあたりも確認されるとよいと思います。