PPAPをどうしてますか?

単に『PPAP』で検索すると、皆さまお馴染みのピコ太郎(古坂大魔王)さんの『Pen-Pineapple-Apple-Pen』がでてきます(※注)が、それではなくメールの

asswordつきzip暗号化ファイルを送ります
asswordを送ります
Aん号化(暗号化)
rotocol

の略で一般財団法人日本情報経済社会推進協会(JIPDEC)の大泰司章さんが命名されたとのことです。
(※注)この話題ではテッパンのネタみたいです。

メールを誤送信しても添付ファイルにパスワードをかけているので内容を見られることがないという理由から多く採用されています。

しかしながら、zip圧縮で使われている暗号化方式はほとんど『ZipCrypto』です。
※『AES-256』で暗号化するとパスワードを入れても開けないと連絡がきます。

実は『ZipCrypto』のパスワードは一般的に手に入るツールで解析できてしまいますし、よくある会社英略称+年月といったパスワードなら、ツールを使うまでもなく、ある程度の想像だけで解析できます。

結局のところ、パスワードをかけているので内容を見られることがないというのは、心理的に「あ、パスワードがかかっている、見るのを諦めよう」程度の効果しかありません。

さらに、パスワード付zip暗号化ファイルはアンチウイルスソフトで中のファイルを検証できないという問題があります。
※解凍後に検証することはできますが、メール受信時に検証するよりもリスクは大きくなります。

また、同一の送信経路の2通目のメールでパスワードを送るとなると、そのパスワードさえ誤送信で間違った相手に届いてしまうリスクもあります。

JIPDECプライバシーマーク推進センターの『個人情報の取扱いに関する事故を起こさないために【メール誤送信を防ごう】』という資料にも23ページ目に『パスワードを相手に伝えるためには別の通信経路で送る』と記載されています。

そこで、ここ最近になって情報処理学会で「さようなら,意味のない暗号化ZIP添付メール」と取り上げられたり、外部からの暗号化のファイルを見られなくする企業が現れているようです。

弊社でも、PPAPをやめるため、株式会社ファルコさんが提供している『データ便』を利用するようにしています。

  1. データ便にパスワード設定をありにしてファイルをアップロードします
  2. データ便でダウンロードURLのメールを相手に送信します
  3. 弊社から相手にパスワードをメール送信します
  4. 相手はデータ便から届いたメールのダウンロードURLをクリックします
  5. 弊社から送られたパスワードを入力してファイルをダウンロードします

パスワードを使用しますが、ファイルのパスワードではないため解析することができませんし、ダウンロードURLとパスワードの伝送経路も一応別になります。

また、ダウンロードURLは毎回ランダムになりますので推測することができませんし、有効期限もありますから安全性が高くなっています。

なお、データ便にはよりセキュアにファイルを送信できる『セキュリティ便』というものもあります。

よりセキュアにするためにパスワード通知をメールではなくSlack等を利用したいところなのですが、これは相手があることですのでケースバイケースになります。

ただ一点、ダウンロードURLのメールが送られるときに、送信者メールアドレスが指定したメールアドレスではなく、データ便から送信者に送られる通知メールのアドレスに置き換わってしまうのが残念なところです。

相手方には弊社〇〇さんからということでメールアドレスが通知され、弊社内では管理上複数の担当者が状況を把握するために、ファイルの送信や相手方がダウンロードしたことをメーリングリスト宛に通知するということが設定上はできるようになっているのですが、実際のところはできてません。

管理上〇〇さんだけが状況把握するというのが好ましくないため、どちらを取るかの選択で今のところ内部のメーリングリストアドレスが相手方に通知されることを許容しています。

対応する予定とのことですので、この件はいずれ解消されると思われます。

とはいえ、相手方によっては外部のサービスを使うとセキュリティリスクがあるからという理由でPPAPでのファイル送信を求められることが、まだまだあるというのが現実ではあります。