ペンパイナポー…ではありません。どうしてもソッチが思い起こされてしまいがちではありますが。
PPAPは何の略?
- P…パスワードつきファイル
- P…パスワード
- A…暗号化
- P…プロトコル
の略だそうです。
どういうわけか、Aの暗号化だけが日本語ですね。それに最初の2つのPって、結局ほぼ同じこと指してるわけだし。なので、考えてみるとPPAPというこの略語、何のこっちゃ?ってぇ感じになっちまいます。
日本語に無理やり訳してみると、「パスワードつきファイルとパスワードを送ります。ファイルはパスワードで暗号化されてます。そういうお約束(プロトコル)ね」ってな内容でしょうか?無理矢理感満載ですが。
で、PPAPというのはファイルをZIPで圧縮してパスワード保護し、そのパスワードとパスワード保護されたファイルを相手に送って安心・安全なファイル送信をしよう、という気分を味わうためのやり方のことを言います。
安全なんじゃなくて、安全な気がするってところがミソですねぇ。
PPAPは意味が無い?
PPAPで使われている暗号化技術は、大して強度が高くないそうです。なぜでしょう?
大きく2点ありまして、一つは圧縮され暗号化されていても、圧縮対象となったフォルダ構造やファイル名は、パスワードを知らなくても分かっちゃうこと。そしてもう一つは、複合化には何回でもトライできるため時間さえかければ解読できる可能性が高いことです。
PPAPに使われる圧縮技術はZIP。ZIPのパスワード文字数は99文字までですので、総当たりをやってみても実はたいした手間じゃありません。
そしてこれらは問題ではあるものの、最大の問題ってわけじゃないです。
PPAPは、使い方次第ではそれなりに誤送信防止等に効果があります。即ち、パスワードをメール以外の方法で送ることです。送り先の相手に電話をかけて本人であることを確認し、パスワードを伝達すればいいわけで。これなら間違いは起こりません。
ですが、まぁ間抜けですよね。面倒くさい。だから、メールでパスワードを送ってしまう例が後を絶ちません。世のファイル転送サービスの中には、パスワードを使って保護をかけておきながら、そのパスワードを自動で相手に送ってしまう製品があるくらいです。
金庫に鍵をかけ、その金庫を相手に引き渡す。その際、その金庫の鍵も一緒に渡す。コレと同じことをやっているわけです。パスワード保護なんて全く意味を成しません。相手が正しいならいいですが、違う相手だったりすると、その人がラッキー♪って鼻歌交じりにファイルを開いてしまう、なんてことが可能になってしまいます。
繰り返しになりますが、パスワードの渡し方をちゃんとすればそれなりに効果はあります。ただそれって面倒くさいので、世の中のほぼ誰もそんなルールはあっさり無視しておりまして、それが普通になっちゃってるもんだから、PPAP意味ねーし、ってことになっているのです。
ちなみに海外では、こーゆーやり方でファイルを送るってのは一般的じゃないそうな。
メールによるファイル送信の問題とは?
電子メールは、基本的に送りっぱなしです。取り消すことはできません。だから、間違えたっていう場合であっても、それを取り戻すとか取り消すとかいったことはできません。このため、メールアドレスを打ち間違えた、などといった場合には、取返しがつきません。
お相手に何とかコンタクトをとろうとしても、メールアドレスしかわからないため、果たしてその相手が生きているやら?も分かりません。情報漏洩したのかしないのかわからないのですから、この場合は一番最悪な事態を想定して対応せざるを得なくなります。
つまり、どこの誰ともわからない人が、こちとらが間違えて送ったファイルを使って悪さをする、或いは更にばら撒く、といった事態です。
そこに万一、個人情報や秘密情報を含んでいたりしたら…
ですので、大事な情報をPPAPで送信するのは、危険極まりない行為、という具合に理解されているんです。
ファイル共有サービスか、ファイル転送サービスか
ファイル共有サービスとは、大きなストレージをネット上に準備してもらい、そこを皆で共有しよう、というもので、最近の流行です。いわゆるクラウドストレージとか言われる奴ですね。
ただこれ、当然ですがどちらかというと力が入っているのは「ファイル保存」です。これを使って他の人にファイルを送ろうとする場合は、対象のファイルを格納したフォルダのアクセス権を変更し、許可した相手にそのフォルダへのリンクを送付する、という手順が必要になります。
「あ?アクセス権って何だ?」とか言う人にとっては、なんだかよくわからん、ということになってしまいます。
ましてや、既に導入している電子メールシステムとシームレスに連携しましょ、なんてぇ話になると、当然各種設定が必要になるわけで、パソコンにちょっと詳しそうだからって社内のIT関係の仕事を全部押し付けられているような若いニーチャンにとって、こんな設定は悪夢に近いものがあることでしょう。
そしてファイル転送サービスとは、ファイルを送受信するだけのサービスです。機能的にはメールと似たり寄ったりですが、メールとは違い、ファイルを送って失敗に気づいた際に、取り消し等が可能だったりします。
もちろん、ファイル転送サービスでもファイル誤送信に気づけばそれを取り消すことはできますが、操作の手順としては若干面倒(何ステップか踏まないといけない)なのがタマにキズ。
その点、ファイル転送サービスはファイル送受信にのみ特化したものですから、操作が簡単なものが多いようです。
小さな会社や組織で、ファイル送信の際の誤送信を防止する・誤送信に気づいたらそれを取り消せる、というサービスを導入したければ、ファイル送受信専用のサービスを導入することも一案です。
面倒な設定が必要なんじゃない?
単にwebブラウザから電子メールに似たようなことをするだけなら、設定だとかは不要なものが多いです。ただし、そもそもセキュリティポリシーにひっかかってしまい当該サービスが表示されない、といった事態があり得ますので、その場合はシステム管理者に相談する必要があります。
また、会社としてメールシステムを導入していて、独自ドメインを使っているような場合、発信するメールについてもそのドメインから…としたい場合があると思います。そのような場合、何等かの設定が必要になります。これを行わないと、当該サービスの既定のメールアドレスが電子メールの発信者になりますので、お相手がそのメールを受信できるようにしてもらう必要があります。
よくあるトラブルは、そのメールが迷惑メールフィルタに引っかかってしまって届かない、というトラブルですね。
こうしたことがなければ、ファイル転送サービスを導入して何か設定を、ということはほとんど必要ありません。ユーザさえ設定できれば、すぐ使うことができます。無料のサービスがあったりもしますから、お試しあれ。
コメント