Anti-PPAP

PPAPとは

【P】asswordつきzipファイルを送ります
【P】asswordを送ります
【A】n(暗)号化
【P】rotocol

https://www.facebook.com/groups/AntiPPAP/

の略で、Zip暗号化したファイルをメールで送り、そのパスワードを別メールで送るという謎の行為を指し、未だに行っている企業や個人も多いのが現状。

私個人としては、このPPAPは実効性が弱く、むしろ作業効率を悪化させ、別なリスクも生んでいるという認識なので、是非絶滅して欲しいと思っている。
うすうす皆おかしいと感じつつ、何故かやめられないという、タバコや酒の常習化に似た怖さを感じませんか。

技術的なアンチ理由

アンチである以上は理由があるが、そのうち比較的技術的な理由はこちら。

  • パスワード付きZIPは割と簡単に解読される
  • 同じメーラーから同じ人物が同時に送信する場合、誤送信対策としてはあまりに弱い
  • メールの盗み見をする者は、ZIPメールとパスワードメールの両方を手に入れる可能性が非常に高い
  • 単純に、送信・閲覧の手間がかかり効率的でない
  • 解凍作業の一時ファイルがデスクトップやドキュメントフォルダなどに散在し、思わぬ漏洩に繋がりかねない
  • zip内の自動検査が行われない為、送信経路や社内NASなどサーバのマルウェアフィルタ等を無力化してしまう
  • アーカイブ化したメールデータからの検索性と抽出作業の効率が低下する
  • メールで重要なデータファイルを送ること自体がナンセンス(送信ボタン押下後のコントロールが不能になる配送手段なので)

もしこれらを運用やコストが現実的な範囲で解決できるソリューションがあるのであれば、是非それらの情報も欲しいところ。

組織的なアンチ理由

一方で、組織(個人も含むが)的な側面でのアンチ理由がこちら。

  • 実効性に疑問が持たれているPPAPという手法を未だに用いている企業(IT企業なら尚更)というネガティブな印象
  • 実効性の疑問を提示されてもそれを検証、変更、改善できない硬直化した組織
  • PPAPメールを受け取った相手から、上記のような点を透かし見られる事による企業としてのイメージダウン

個人レベルでは脱PPAPしたいが、自社が、相手先が、それを許してくれないという悲惨なシチュエーションも存在する。社内からの送信メールを勝手にPPAPメールにしてしまう鬼のような製品も存在すると聞く。まさに悲劇としか言いようがない。

脱PPAPのために

PPAPから脱するために、PPAPを使う目的から逆算してその対策方法やアプローチを考えてみる。

  • メールソフトの連絡先、CRM/SFA(Salesforceなど)の相手先情報、相手とつながっているクローズドなツール、などの確実性の高い情報から直接送信することによる誤送信の回避
  • 盗み見を回避したいのであればメール以外の送付手順を用いるべき(セキュアなストレージを経由する、ChatterやSlack等といったセキュアなコミュニケーションツール上で直接手渡す、など)
  • ありきたりの圧縮・暗号化ツールではパスワード解読攻撃への防御力が低すぎるので、日常的簡易的な運用でファイル自体に鍵をかけるという発想自体が無意味(暗号化zipにしたから安心だ、という誤った認識がかえってリスクになる)

PPAPを続ける意味とは

PPAPを使うべき!これからも続けるべき!・・・という意見とその根拠があれば、是非知りたい。
これは煽りとかではなく、技術的組織的心理的などいろんな側面でのPPAPの良し悪しをフェアに検討し、より安全で効率的なデータ送信手段を考えていく上で、重要な事だと思うので。

 

この記事が気に入ったら
いいね!しよう

最新情報をお届けします

Twitter でそらみみをフォローしよう!

返信を残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA