中央省庁がPPAPを禁止するとして、ピコ太郎さんのPPAPが禁止?とバズっていましたね。
日本の企業などで広く普及しているこの“セキュリティ対策”ですが、みなさんも仕事でやったことあるのではないでしょうか?
もしくはやらないといけないと教えられてきた人も多いと思います。
このセキュリティ対策ですが、
「セキュリティ的には意味がない」「むしろセキュリティリスクになる」とされ、
「PPAP」とも呼ばれて廃止が訴えられていました。
Passwordつきzip暗号化添付ファイルを送ります
Passwordを別で送ります
Aん号化します(暗号化)
Protocol
の略称です。
実はこのPPAPですが、由来はもともとあるIT用語ではなく、
実際にピコ太郎さんのPPAPから着想を得て頭文字からとってつけているようなのです。
確かにPPAPとだけ聞くとプロトコルっぽいですね。
一見、パスワードを別で送るのであたかもセキュリティが向上しているようにもみえるかもしれませんが、
実際にメールサーバが傍受されて添付ファイルが漏洩した場合はパスワードも漏洩されているし意味ないんではとも昔から思っていました。
ただ新人教育として会社ではそうするべきだと教えられてきたのも事実です。
このような実際にはあまり意味のない慣習は多いと思います。
昔はActiveDirectoryのアカウントのパスワードを数ヶ月に1回は変えるような会社も多くありませんでしたでしょうか?
実際には定期的な変更は不要だということも話題になり総務省も記述しています。
未だにやってる会社も多いのではないでしょうか。
少し前に炎上した某会社の2段階認証のセキュリティ問題もそうですが、
2要素認証との混同などまだまだ浸透は難しそうですね。
セキュリティに対する日本のエンジニアの需要はまだまだ高くなりそうです。
【参考】
