PPAP。ピコ太郎。
、、、ではなく、本メルマガで取り扱うのは、もちろんセキュリティ話のPPAPのことです。
2020年11月に、平井卓也デジタル改革担当大臣が、内閣府、内閣官房で「PPAP」を廃止する方針を発表したことからも、一気に注目が高まりましたね。
PPAPを禁止するのは良いですが、セキュリティの本質を忘れないようにしましょう。
PPAPとは?
ご存じの方もいらっしゃると思いますが、軽くまとめです。
強引にPPAPに紐付けたため、正式な意味もやや破綻していますが、
P:Password付きZIP暗号化ファイルを送ります
P;Passwordを送ります
A;暗号化
P:プロトコル(手順)
を略してPPAPと呼んでいます。
ファイルをZip化してパスワードを付与、それをメールに添付して送信。
別メールで、そのパスワードを伝える、という方式ですね。
私も何度も使ったことがある方法です。
もちろん、セキュリティ面を気にして、このようなことを実施しているわけです。
特に、インターネット上をファイルが通過しますので、盗聴されないようにZipファイルにパスワードをかけるのですね。
PPAPの何が問題?
今回の廃止の大きなキッカケとなったのは、コンピューターウィルスである「Emotet」と言われています。
「Emotet」はメールに添付されており、例えばそれがWordファイルであり、クリックするとウィルス感染します。
(その後、色々なウィルスをダウンロードしたりばら撒いたりしていきます)
PPAPによりZipファイルに暗号化がされていると通常ではファイルの中身が分かりません。
つまりウィルスが含まれていても、セキュリティソフトが検知できずにメールサーバーなどを通過、メール受信者の手元まで届いてしまうわけです。
PPAPに慣れていると、解凍したファイルにウィルスが含まれているとはあまり思わず、クリックしてしまうということもあります。
そもそも、PPAP自体の効果や効率も問題視されておりました。
- パスワードをメールで送ることが多いため、盗聴されていたら意味がない
- Zipファイルのパスワードは、力技で突破できる
- 暗号化、メールを二通送る、受信者側も解凍しないといけない、と、作業効率が相当落ちる
そこに「PPAP廃止」といった声が出てきたことで、「やった!」という声が多く上がった、というわけです。
薄々、「これ、意味あるのか・・・?」と思っていた方が多かったということでしょうか。
メールは大容量ファイルが添付できるわけではないため、この辺りも歓迎された一つの要因でしょうか。
代替案と、その問題点
とは言え、ファイルのやり取りは必要です。
代替案としてよく上げられるのは、クラウドストレージを介した共有ですね。
しかし、クラウドストレージでのやり取りも要注意です。
クラウドストレージにアップし、そのファイルを限定公開。(URLとパスワードを知っていたらアクセス可能)
そのURLとパスワードをメールで連絡。
、、、ん?メールが盗聴されたら、アクセスできますよね。
指定したアカウントでないとアクセスできないようにする。
相手がファイルを取得したら、クラウドストレージからは削除する。
不正なアクセスがないか、アクセスログを見る。
など、考える必要がありますね。
やはりセキュリティは難しいです。
リスクを理解しつつ、手間と効率のバランスも考えながらの運用が必要ですね。
セキュリティのポイントとしては、以下を意識いただけるとGOODかと思います。
- 一つが盗聴されるとOUTな連携方法ではないか
- 何かが起きた時に、止める手立てがあるか
- 何かが起きても、それが追えるか
メルマガ登録
『メルマガ Professional's eye』
週1回、3分で楽しめます。
詳細はこちら >>>
広告を含むご案内のメールをお送りする場合があります。
One more thing
セキュリティ。
それは、インターネットの世界だけではありません。
モノ(PC等)を置き忘れてしまっても、セキュリティホールとなりえます。
Appleの紛失防止タグの噂が絶えませんが、すでに製品として実用化されている「tile」という商品がございますので、そちらのご紹介です。
(私は自転車にコッソリとつけていたりします)
「tile」という、いわゆる紛失防止のタグをご存知でしょうか? 先日購入してからしばらく使っており、ある程度安心感が得られるな、と思いましたのでご紹介いたします。 [adcode-start] 「tile」とは? サイトをご[…]
