皆さんPPAPって知っていますか? 残念ながら某コメディアンがリンゴやパイナップルにペンをブッさすあれではないです。
PPAPとは、Password付きZIPファイルを送ります、Passwordを送ります、Aん号化(暗号化)Protocol(プロトコル)の略だそうです。
これってよく見ます(やります)よね。実はこれ情報処理推進機構(IPA)は、2012年に手軽な誤送信対策として有効であると発表したのが一般化した始まりのようです。
曰く、
*「添付ファイルとするドキュメントを事前に暗号化しておき、メール送信で添付する方法が、お手軽です。」
(中略)
*「重要な情報を誤送信したとしても、復号のためのパスワードがなければ情報漏えいの被害を起こさないので、効果的です。」
※電子メール利用時の危険対策のしおりより
http://www.shiga-med.ac.jp/mmc/support/security/security/pdf/07_mail.pdf
これらの理由がきっかけで、メールでパスワード付きzipファイルの運用が企業で普及していきました。
これって有効?
これって本当に有効なのでしょうか? ここでポイントなのは「復号化のためのパスワードをどのように相手にお知らせするか?」 ということこですね。
方法1:添付ファイルを送った後に同じくメールで送付する
この方法って一般的によく行われているように思えるのですが、どうですか? これだと添付ファイルとパスワードが同じ経路で相手に送信されるため、情報漏洩対策としては”ほぼ”無意味といっていいでしょう。
方法2:事前にパスワードを周知しておく
プロジェクト内でやり取りする添付ファイルについては、プロジェクトキックオフなどで共通のパスワードを決めておけば、同じ経路でパスワードを送付することがなくなりセキュリティ的にも労力的にもメリットがあります。しかし、この方法も「同じパスワードを使いまわす」という観点で「セキュリティ的に不十分」とクレームされるケースもあります。
じゃぁどうすればいいの?
添付ファイルのセキュアな配信については、ストレージサービスサービス(OneDriveやBOXなど)を利用することがセキュアとされています。
事前のユーザー登録や添付ファイルを確認するためにログインしなければならないなど、いろいろな手間は掛かりますが、セキュリティの為には致し方無いことなのかもしれませんね。
暗号化添付ファイルの弊害
暗号化添付ファイルについては弊害も指摘されています。メール添付されている「ファイルは暗号化されていること」が一般的となったことから、ユーザーがメールに添付された暗号化ファイルを躊躇なく開いてしまうこと(暗号化されたファイルはノーチェックで受信者に届いてしまう。ウィルスやマルウェアが暗号化ファイルに偽装されていることもある)で、使用しているPCがウィルスに感染してしまうというケースもあるようです。
平井卓也デジタル改革担当大臣の方針
平井卓也デジタル改革担当大臣は2020年11月17日、中央省庁においてパスワード付きファイルのメール送信を廃止する方針であることを明らかにしました。この方針は以下の理由によるものと思われます。
・暗号化展開のためのパスワードが多くの場合、同経路のメールで送信されているためセキュリティ対策になっていない
・暗号化を展開する手順が必要となり作業負荷となっている
・添付ファイルの内容をスマートフォンで確認できない
ただし、中央省庁における添付ファイル暗号化の代替については現時点で明らかにされていません。その他にも大手ITベンダーがPPAPの廃止を宣言している状況です。(詳細はPPAPでググってね)
IT企業に限らず、情報漏洩については「大いに警戒すべき問題」として認識されるようになってきた昨今、我々システム屋としては自身も細心の注意を払うとともに、世の中の流れについて常にアンテナを張っていたいものです。
コメント