“PPAP” は、ペンパイナッポーアッポーペンではなく、セキュリティの話 | GUARDIAN Marketing BLOG | 初期無料のサブスク型ホームページ制作｜7万実績のWEB戦略とAIで成果を出す | 初期無料のサブスク型ホームページ制作｜7万実績のWEB戦略とAIで成果を出す

はじめに
情報セキュリティ対策において、PPAP方式はかつて広く利用されていました。しかし近年、その有効性や安全性に対する疑問が指摘され、政府機関や企業においても代替案への移行が進んでいるようです。本稿では、PPAP方式の詳細な分析と考察を行い、情報セキュリティにおける現状と課題を明らかにしてみたいと思います。

1. PPAP方式とは
PPAP方式は、Password付きZIPファイルを送ります、Passwordを送ります、暗号化、Protocolの略称です。まさかの日本語の文章の頭文字。びっくりしますよ。なかなか意表をついたネーミングです。
さて、具体的には、以下の手順でファイルを送信します。
------------------------------------------------------------------------
ファイルをパスワード付きZIPファイルで圧縮する。
別のメールでパスワードを送信する。
------------------------------------------------------------------------
手順はこれだけです。
受け手からすると、一通目で鍵がかかったファイルが送られてきて、二通目でパスワードが送られてきます。
一通目に鍵がかかったファイルを添付しつつ、パスワードもそこに記載してはならない　という運用上のルールがあり、それは、もし送付先を間違っても、メールを別にしておけば、誤送信を防ぐ確率を上がると考えに基づいています。何の知識もなく説明を受けると鵜呑みにしてしまうわけですが、順を追って説明していきたいと思います。

メリット
・比較的簡単に導入できる。
・上手く運用すれば、ファイルの誤送信を防ぐ効果が期待できる。
　⇒結局は、送信先をよく確認するということになります。
・一定のセキュリティ効果が期待できる。
　⇒パスワードをかけるので、何もしないよりは、少しだけ安全と言える。

デメリット
・セキュリティリスクが存在する。
　⇒実は、パスワードがかかった添付ファイルは、ウィルス対策ソフトでチェックしても中身を確認できないという問題があり、検閲を通り抜けてしまいます。その後、知らずに複合化するとウィルスに感染、、、といったオチが待ち構えています。
・利便性が低い。
・運用コストがかかる。

2.1 セキュリティリスク
パスワード付きZIPファイルとパスワードが別々に送信する運用ルールのため、いずれかが漏洩するとファイルが解凍されてしまう危険があります。
パスワード付きZIPファイルは、添付ファイルとして送信されるため、ウイルス感染のリスクがあります。先にも述べていますが、ウィルス対策ソフトでチェックしても中身を確認できないという問題があり、検閲を通り抜けてしまいます。その後、知らずに複合化するとウィルスに感染する可能性も秘めています。
また、パスワードが推測しやすい場合、ファイルが解読される可能性がある。というか、そもそもパスワードをメールに記載して送付という行為が、果たして、セキュリティが強固と言えるだろうか。

2.2 利便性の低さ
送信者と受信者双方の手間が増えます。
パスワード管理が煩雑になります。
ファイルの共有がスムーズに行われません。。

2.3 運用コスト
パスワード管理のためのツールやシステムが必要となります。
運用ルールを策定し、社員教育を行う必要があります。

現状
2020年、JIPDECはPPAP方式の利用を推奨しないことを発表しました。
政府機関や多くの企業は、PPAP方式から代替案への移行を進めています。

課題
代替案の導入にはコストや時間が必要となります。
社員への教育や意識改革が必要となります。

4.1 クラウドストレージ
ファイル共有サービス（例：Google Drive、Dropbox）
高いセキュリティと利便性を提供
ファイルのバージョン管理や共有権限の設定など、高度な機能が利用可能

4.2 ファイル共有サービス
安全なファイル転送サービス（例：FireFly、SecureDrop）
パスワード不要でファイルを送信できる
ファイルの閲覧期限やダウンロード回数の制限など、セキュリティ設定が細かく設定可能

4.3 その他
電子署名
暗号化通信
ゼロトラストセキュリティ

最新の情報セキュリティ対策を常に把握する。
自社の状況に合った対策を検討する。
社員教育を徹底する。

PPAP方式は、情報セキュリティ対策として一定の効果があったものの、セキュリティリスクや利便性の低さなどの課題があった。近年、クラウドストレージやファイル共有サービスなど、より安全で便利な代替案が登場しており、情報セキュリティ対策の主流になりつつある。情報セキュリティ対策は常に進化しており、最新の情報を取り入れ、自社の状況に合った対策を検討することが重要である。

一番は、従業員への教育です。
PPAPに限った話ではなく、セキュリティリスクに関する従業員教育が重要で、以下の内容を理解させるとよいでしょうか。
・PPAPの脆弱性
・代替方法の利用方法
・パスワード管理の重要性
・情報漏洩の防止策

パスワードの強度：
パスワードは英数字記号を組み合わせ、12桁以上にするなど、強固なパスワードを設定します。

送信先の確認：
誤送信を防ぐため、送信先メールアドレスをよく確認します。
セキュリティソフトの導入：ウイルスやマルウェア対策のため、最新のセキュリティソフトを導入し、常に最新の状態にアップデートします。

なんだかんだと、ウィルスへ感染しないようにするには、知識の底上げが必要となります。

ゼロトラストにおけるせめぎあい
ゼロトラストセキュリティモデルは、従来の境界型セキュリティモデルとは異なり、すべてのアクセスを常に検証する「信頼ゼロ」の原則に基づいています。このモデルでは、ユーザーやデバイスがネットワーク内に存在しても、アクセスを許可する前に認証と許可が必要になります。

ゼロトラストにおける主なせめぎあいは以下の通りです。

1. 利便性とセキュリティのバランス
ゼロトラストは、ユーザーにとって使いにくいと感じる場合もあります。例えば、多要素認証や条件付きアクセスなどのセキュリティ対策は、ユーザーにとって煩わしく感じる可能性があります。

2. コストとリスク
ゼロトラストセキュリティモデルを導入するには、従来のセキュリティモデルよりも多くのコストがかかります。また、新しい技術を導入するため、リスクも伴います。

3. 複雑性と管理
ゼロトラストセキュリティモデルは、従来のセキュリティモデルよりも複雑です。そのため、適切に管理するためには、専門知識が必要になります。

4. 人材不足
ゼロトラストセキュリティモデルを導入するには、新しい技術に精通した人材が必要です。しかし、そのような人材は不足しています。

5. レガシーシステム
多くの企業は、レガシーシステムを使用しています。これらのシステムは、ゼロトラストセキュリティモデルと互換性がない場合があります。
これらのせめぎあいに対処するために、以下の対策が考えられます。

ユーザー教育
ユーザーに対して、ゼロトラストセキュリティモデルの必要性と利便性を理解してもらうことが重要です。

段階的な導入
いきなりすべてのシステムにゼロトラストセキュリティモデルを導入するのではなく、段階的に導入していくことが重要です。

コストとリスクの分析
導入前に、コストとリスクを分析し、適切な対策を講じる必要があります。

専門人材の育成
ゼロトラストセキュリティモデルを管理できる専門人材を育成する必要があります。

レガシーシステムの移行
レガシーシステムを、ゼロトラストセキュリティモデルと互換性のあるシステムに移行する必要があります。

ゼロトラストセキュリティモデルは、従来のセキュリティモデルよりも優れたセキュリティを提供できますが、導入には多くの課題があります。これらの課題を克服するために、上記の対策を講じる必要があります。