おはようございます。こんにちは。こんばんは。
ミッドです。
『PPAP全面禁止!』
そんなトレンドワードが、数日前に世間をに騒がせておりました。
やはり、リンゴにペンを刺すという行為がまずかったのでしょう。
ピコ太郎さんが心配です。
はい!という訳でですね、PPAPはピコ太郎さんのバズった動画ネタではなくて、
パスワード付きZIP暗号化ファイル送ります、の頭文字P
パスワード送ります、の頭文字P
暗号化、の頭文字A
プロトコル、の頭文字P
で、PPAPという訳ですね。
外部に見積なり設計書なりを送付するときに、ファイルをZIPで暗号化して、添付してメールし、別メールでパスワードを送付するという暗号化プロトコル(手法)を縮めて、PPAPと。
ASAP(As Soon As Possible、なるべく早く)のような、なんでも略したい感じですね。
今回、ピコ太郎さんのPPAPと勘違いで、トレンド入りしてましたが、なぜPPAPの話題が再燃したのかを取り上げます。
メール送付時に、自動で添付ファイルを暗号化して、別メールでパスワードを送るツールを提供していた日立が、21年度からPPAP禁止するというニュースが取り上げられた形です。
PPAPって何が悪いの?
過去記事でも取り上げてますが、大きくは下記3点かと。
- パス付ZIP圧縮してもセキュリティが弱い
- 誤送信の防止にならない
- パス付ZIP圧縮して別メールでパスワード送付がめんどくさい
①は、同じメール経路でパスワードも送るので、ネットワーク経路が盗聴されていたら、メール本文に記載されている平文のパスワードが読み取れるので、セキュリティという観点では脆弱、ということ。
②は、ファイルにパスワード付けても同じ宛先に誤送信したら、中身みれちゃうので誤送信防止にならないよね、ということ。
③は、めんどくさいんです!(迫真
個人的には、②③はその通りだと思います。
PPAPでは誤送信防止にはならないので、誤送信防止は誤送信防止で別の手段を考える必要があります。
また、PPAPがめんどくさいというのも真理。
このPPAPをするのがめんどくさいので、自動化するツールを日立の方で出していたのですが、それがすでに終売しており、日立内でもPPAPを禁止することが大きく注目されています。
ツールを作っている(いた)側が、PPAPを禁止するんだから、やっぱり不要なんだ!という情勢に動いたという感じですね。
個人的には①自体は効果があると思っていて、経路がすべて盗聴されている場合は、それ以外のもっとやばい情報が抜き出されている可能性があり、心配するところはそこじゃなくない?という感じです。
パスワードをメールで伝えなければセーフなので、打ち合わせ時にあらかじめ決めておく、口頭で伝えるなどであれば、パス付ZIP圧縮のセキュリティは、そこそこ保たれるでしょう。
脱PPAPできる条件
脱PPAPが頻繁に騒がれているので、脱PPAPできる条件を考えてみます。
- セキュリティが強固なストレージサービスに情報を集約可能
- 同一サービス・IDを用意していなくても、ファイル共有が可能
- お客さんのセキュリティポリシー上、そのサービスの利用可能
まずは、メール以外で必要なファイルを共有できないといけないので、
インターネット上に存在する「ストレージサービス」の利用が不可欠になってくると思います。自前で構築するもよし、すでにあるサービス(BOX、Dropboxなど)を利用してもいいでしょう。
社内の利用はそれで完結しますが、自分たちが使っているサービスを、ファイルを共有したいお客さんにも使ってもらう必要があります。
お客さんが同一のサービスを使っていれば良いですが、使っていない場合はゲスト的な利用でも共有できるサービスなのかが焦点になってきます。
そういった課題をクリアして、最後にお客さん側のセキュリティポリシーで認められないとアウトです。
すべての会社が同じストレージサービスを利用すれば話は早いのですが
A社ではサービスAを、B社ではサービスBをといった具合に、乱立することが目に見えていますね・・・
なので、せっかく国がPPAPなくすと言っているのだから、
日本企業が安心して、情報共有できるストレージサービスの仕組みを
国が主体となって考えてくれないかな~と思います。
セキュリティは利便性とのトレードオフなので、どっちも解決できる素晴らしい仕組みは無いものの、ユーザのめんどくささをシステムで解決するのが、ITの仕事だと思っているので、
セキュリティも落とさず利便性も確保する、両方やらないといけないのが、IT担当の辛いところですね。
ではでは
