PPAPが禁止でピコ太郎が話題に?メールでのパスワード通知のセキュリティ意義とは

中央省庁がPPAPを禁止するとして、ピコ太郎さんのPPAPが禁止?とバズっていましたね。
日本の企業などで広く普及しているこの“セキュリティ対策”ですが、みなさんも仕事でやったことあるのではないでしょうか?
もしくはやらないといけないと教えられてきた人も多いと思います。

このセキュリティ対策ですが、
セキュリティ的には意味がない」「むしろセキュリティリスクになる」とされ、
「PPAP」とも呼ばれて廃止が訴えられていました。

Passwordつきzip暗号化添付ファイルを送ります
Passwordを別で送ります
Aん号化します(暗号化)
Protocol

の略称です。
実はこのPPAPですが、由来はもともとあるIT用語ではなく、
実際にピコ太郎さんのPPAPから着想を得て頭文字からとってつけているようなのです。

 

確かにPPAPとだけ聞くとプロトコルっぽいですね。

 

一見、パスワードを別で送るのであたかもセキュリティが向上しているようにもみえるかもしれませんが、
実際にメールサーバが傍受されて添付ファイルが漏洩した場合はパスワードも漏洩されているし意味ないんではとも昔から思っていました。
ただ新人教育として会社ではそうするべきだと教えられてきたのも事実です。
このような実際にはあまり意味のない慣習は多いと思います。

昔はActiveDirectoryのアカウントのパスワードを数ヶ月に1回は変えるような会社も多くありませんでしたでしょうか?
実際には定期的な変更は不要だということも話題になり総務省も記述しています。

未だにやってる会社も多いのではないでしょうか。

 

少し前に炎上した某会社の2段階認証のセキュリティ問題もそうですが、
2要素認証との混同などまだまだ浸透は難しそうですね。

 

セキュリティに対する日本のエンジニアの需要はまだまだ高くなりそうです。

 

【参考】

ピコ太郎? パスワード付きZIPメール、なぜ「PPAP」と呼ばれるの?
ピコ太郎の「ペンパイナッポーアッポーペン」(PPAP)は4年前に流行した。今、廃止が取り沙汰されているパスワード付きZIPメールの“セキュリティしぐさ”もPPAPと呼ばれる。なぜそのような呼称がついたのだろうか。
News/検証/やってみた
この記事の投稿者
AKI

ソフトウェアエンジニア歴10年以上、業務系システムからゲーム開発まで幅広く経験し
現在はフリーランスプログラマとして従事している。
得意言語: PHP, JavaScript, Java, C#(Unity)

フォローする
フォローする
スポンサーリンク
WoW creators

コメント

タイトルとURLをコピーしました