特別講義 参: PPAPとパスワード認証のこれから

諸君、お疲れである。
いきなりだが内閣府・内閣官房が廃止したパスワードのPPAPはご存じだろうか？
メールでパスワード付きファイルを送り、パスワードを別送する方法のことである。
なぜPPAPと略すかというと

P：パスワード付ZIP暗号化ファイルを送ります。
P：パスワードを送ります。
A：暗号化
P：プロトコル（手順）

https://www.jaipa.or.jp/event/isp_mtg/asahikawa_190912-13/190913-3.pdf

というわけだ。ぶっちゃけおっさん臭くてダサい笑 がダサいネーミングにしているのは廃止を推奨したいからだと思われる。

もともとは誰かに通信を傍受されないために考え出された手法ではあったのだが、内閣府・内閣官房しては以下のように否定的な視点である。
>平井氏は会見で、PPAPについて「セキュリティ対策や受け取り側の利便性の観点から適切ではない」

パスワード付きzip、内閣府と内閣官房で26日から廃止へ　外部ストレージサービス活用　平井デジタル相

安全のためにやっているつもりだったことが実はそうでなかったと驚いた者もいただろうし、もちろん何をいまさらと思っているセキュリティに詳しい者もいただろう。昨年の記事であるのに私たちが今これを取り上げたのは、内閣府・内閣官房の禁止にPPAPのツールを提供していた日立が追随しつつあることが分かったからである。

　日立製作所が2021年度から電子メールへの暗号化ファイルの添付を社内で禁止することが明らかになった。子会社の日立ソリューションズが「秘文」ブランドで販売していたメールの添付ファイルを自動で暗号化するツールも、2017年に販売を終了していた。同様の動きは他の大手ITベンダーでも進んでいる。
　暗号化ファイルをメールに添付して送付した後に、別のメールでパスワードを送付する手順、いわゆる「PPAP」については、平井卓也デジタル改革担当大臣が2020年11月に、内閣府と内閣官房でこれを廃止すると発表したことから、脱PPAPがここに来て盛り上がっている。

日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了

この報道から考えられることは企業間の情報のやり取りが変化するということである。そういう状況もあって、今回の講義ではPPAPの問題点、対応策を伝えていく。

さて、上記は企業間のセキュリティの問題である。所詮個人には関係ないと思っている諸君、それは甘い。

パスワードの取り扱い自体も進化してきており、IDとパスワードを覚えるだけの時代から、指紋認証、二段階認証、二要素認証、FIDOなど様々な認証が出てきている。これらがなぜより安全になったと言えるのか、どこにリスクがあるのかあまりわかっていないだろう。これらを踏まえて個人が行うべきパスワード認証について説明する。もちろん、応用情報取得を目指す諸君のために、セキュリティ用語をちりばめながら解説する。

ただし、先に伝えておくがセキュリティ対策に万能なものはない。
防犯と同じでゼロリスクにはできないものの、攻撃者に「なんか狙いにくいなー」と思わせる防御をすることが重要だ。

それではいこう！