“じゃない方”のPPAP 政府が廃止を決めた、メールの「PPAP」って何? 詳しく解説!

これはピコ太郎さんの「PPAP」だが…(ピコ太郎YouTubeより)

霞ヶ関での廃止を宣言「PPAP」

4年前に流行った、ピコ太郎の「ペンパイナッポーアッポーペン」。覚えている方も多いのでやないでしょうか。

先日、政府が、中央官庁での「PPAP廃止」を決めました。PPAPといっても、ピコ太郎「じゃない方」のPPAPです。

メールにパスワード付きZIPファイルを添付し、その後に送るメールで、パスワードを知らせる。

中央官庁だけでなく、日本の企業など多くの場で普及している、「PPAP」とも呼ばれる”セキュリティ対策”ですが、「無駄だ」「むしろセキュリティリスクを上げる」と指摘されてきており、セキュリティ専門家たちは「廃止すべき」と訴えてきていました。

なんで「無駄」なの?

"セキュリティ対策”とされてきたPPAP。なぜ、無駄なのでしょうか。

PPAPは、「ファイルをZIP形式で圧縮し、そのZIPファイルをパスワードで保護し、メールに添付する」「それを解凍するパスワード入りメールを別送する」ことで、ZIPで固めたファイルを悪意のある第三者が見られないようにしよう、という考え方です。

第三者が最初のメール「だけ」を盗聴した場合、パスワードなしではZIPファイルを開けないので、セキュリティ対策になる……ということなのですが、実のところ、最初のメールを盗聴できた場合は、次に送られたパスワード入りメールも盗聴できる可能性が高いですから、セキュリティ対策としてほぼ無意味です。

また、パスワード付きZIPは、メールサーバー上のウイルスチェックをすり抜けることもありますから、ZIPファイル内にウイルスが含まれていた場合、むしろセキュリティリスクが高まります。

このように問題点だらけにも関わらず、なぜか日本で広く普及してしまったこの”慣行”。最近は、専門家からは「PPAP」と呼ばれ、揶揄されていました。

なんでPPAPなの??

これを「PPAP」と呼ぼうと提唱したのは、ITコンサルタントで、現在はPPAP総研代表の大泰司章(おおたいし あきら)さん。ピコ太郎さんが2016年に発表したPPAP(ペン・パイナップル・アップル・ペン)が由来です。

大泰司さんは16年、ピコ太郎さんのPPAPの響きが「プロコトルっぽい」と言う人がいたことからヒントを得て、パスワード付きZIPメールの“セキュリティしぐさ”に、PPAPと命名したそうです(情報処理2020年7月号別刷「《小特集》さようなら,意味のない暗号化ZIP添付メール」より)。

いわく、

JAIPAが公開している大泰司さんの資料「くたばれPPAP!」より
JAIPAが公開している大泰司さんの資料「くたばれPPAP!」より

・Passwordつきzip暗号化ファイルを送ります

・Passwordを送ります

・Aん号化

・Protocol

出典:JAIPA資料「くたばれPPAP!」より

つまり「(P)パスワード付きZIP暗号化ファイルを送り、(P)パスワードを送る、(A)暗号化 (P)プロトコル」というわけです。

ちなみにプロコトルとは、手順や規格、儀式のことです。

ようやく廃止の方向へ

セキュリティ専門家たちこのようにして以前から、PPAPの廃止を強く訴えてきました。

それが今回、政府が民間などから広く意見を募る「デジタル改革アイデアボックス」に投稿され、多数の賛成票を得て政府を動かした、というわけです。

政府の「デジタル改革アイデアボックス」より
政府の「デジタル改革アイデアボックス」より