PPAPとは？

「PPAP」という言葉を聞いて、何を思い浮かべるだろうか。今、この単語をWEBで検索すると、かつて一世を風靡したタレントの「PPAP」に代わって、メール送信に関する記事がずらっと表示されることに気づくであろう。 ここで言う「PPAP」とは、メールにファイルを添付して送信する手法のことで、「Password付きZIPファイルを送ります、Passwordを送ります、An号化（暗号化）Protocol（プロトコル）」を略したものである。この送信方法は、これまで日本では広く行われてきたが、かねてより専門家の間では「セキュリティ的に意味がないばかりか、送信者・受信者双方の効率を下げ、さらには受信者を危険にさらしている」との批判があり、一部では「PPAP」と揶揄されてきた。 「PPAP」の見直しのきっかけとなったのが、昨年11月の平井卓也・元デジタル改革担当相による会見で、「内閣府、内閣官房において、この送信方法（PPAP）を廃止する」ということが発表された※。今後、民間企業においてもこれに追随した動きが加速するものと思われる。

バランス確保から両立追求へ

一般的に「利便性」と「セキュリティ」はトレードオフの関係にあると言われるが、前述の例では「セキュリティ」強化の目的で行われてきたことが、「利便性」を損なっていただけでなく、「セキュリティ」的にもあまり意味がなかったという、トレードオフ以前の問題となっている。 これまで企業においては、「利便性」を優先したいユーザー部門と「セキュリティ」を強化したいIT・コンプライアンス部門との綱引きとなってきた。「セキュリティ」を重視しすぎて「利便性」が著しく損なわれると、シャドーIT（会社で許可されていないツール等を利用すること）が発生し、むしろリスクが増加することになりかねない。そういった意味では一定のバランスも必要となっていた。 ただ、今後DXを推進していく上では、こういったバランスを取るという考えではなく、両立を追求することが必要となる。そのためには、①ユーザー教育により組織のITリテラシーを向上させること、②画一的なルールで縛るのではなく、守るべき情報の重要度に応じてセキュリティを設定すること、そして一番重要なことは、③両立可能な対策やツール・サービスを模索し続けることと考えている。

ゼロトラストという新しい概念

リモートワークが一般的になった今、どのようにしたら「利便性」を保ちながら「セキュリティ」を確保できるのか。その解決の糸口となるのが「ゼロトラスト」という考え方である。 従来は「社内は安全、社外は危険」という考えから、社内と社外の境界にファイヤーウォール等を配置し、外部からの侵入を防御することでセキュリティを確保してきた。しかし、内部不正による情報漏洩の増加やサイバー攻撃の多様化などにより、社内だからといって必ずしも安全とは言えなくなってきている。 クラウド利用が一般的となった現在、すべてのアクセスを信頼しないでチェックする「ゼロトラスト」という考え方がこれからは主流になると思われる。「ゼロトラスト」アプローチでは、社内外を問わず、通信の暗号化、ユーザー認証の強化、デバイス認証、ロケーション確認など様々なセキュリティ対策を講じることになるが、これらに対応した製品も既に出てきている。このような新しい概念を取り入れつつ、「利便性」と「セキュリティ」の両立を目指していくことが、企業のDX推進においては肝要ではないだろうか。