大変お世話になっております。
反逆する武士
uematu tubasaです。
初回投稿日時:2021年1月21日(令和3年1月21日)
本日はIT業界を激震させるかもしれない内容になります。
これIPA(情報処理推進機構)の国家試験に影響すること確実なので、しっかりと備忘録として残していきたいと思います。
PPAPとは何か
暗号化ファイルをメールに添付して送付した後に、別のメールでパスワードを送付する手順、いわゆる「PPAP」については、平井卓也デジタル改革担当大臣が2020年11月に、内閣府と内閣官房でこれを廃止すると発表したことから、脱PPAPがここに来て盛り上がっている。
引用元:日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了
IT業界を激震させるようなニュースが発表されました。
暗号化されたファイルをメールに添付して送付した後に、別メールを作成して、パスワードを文面に記載して送付する手順を廃止する動きが加速するようです。
上記引用元にもございます通りで、内閣府と内閣官房でいわゆる「PPAP」という手順(手法?)を廃止すると発表されたことを受け、大手ITベンダーが廃止するようなのです。
他のIT系企業が追随する可能性が高まりました。
いわゆるITエンジニアやパソコンでデータのやり取りをされている営業担当者などは影響を受けること必至でございます。
そもそも「PPAP」とは、いわゆる俗語らしいです。
- 「P」assword付きZip暗号化ファイルを送ります
- 「P」asswordを送ります
- 「A」ん号化(暗号化)します
- 「P」rotocol(プロトコル=手順)
※参考記事:PPAPとは?パスワード付きZipファイル添付を政府が辞める理由
私はIT業界に足を踏み入れてから、上記のような手順を徹底的に叩き込まれた人間ですので、かなり戸惑いを感じています。
ただ、この方法って本質的に情報セキュリティの資する手法というわけではないようです。
盗聴リスク
メールは送信者から受信者に届くまでに、いくつかの組織のメール転送エージェントを介し、その間の通信で暗号化されるとは限らず、その過程で攻撃者に盗聴されるリスクがあります。
前後して同じメールという方法で送られてくるパスワードも、同時に攻撃者の手に渡る可能性が極めて高いため、情報セキュリティ上、安全を確保できないと言われています。
※参考記事:PPAPとは?パスワード付きZipファイル添付を政府が辞める理由
ウイルス対策ソフトでウイルスチェックできない
また、パスワード付きZipファイルはウイルスチェックができない場合があるという点です。
セキュリティ対策ソフトの導入は企業として(個人でも)当たり前になっていますが、通常のセキュリティ対策ソフトでは、パスワード付きのZipファイルに対してウイルスチェックが働かないことがあります。
さらに言えば、Zipファイル付きのメールを標的としたサイバー攻撃を仕掛ける人間が増え、それを怖れてZipファイル付きのメールをそもそも受け取りたくないという企業も増えるので、そもそも「PPAP」こそリスクになり得ます。
※参考記事:PPAPとは?パスワード付きZipファイル添付を政府が辞める理由
送信者側と受信者側の生産性の低下
PPAP方式は、ファイル付きのメールを受信した側の作業負担が大きく、生産性の低下になる可能性があります。
パスワード付きのZipファイルを受信すると、ファイルごとにセットとなっているパスワードを管理しなければなりません。
送信者側としても、ファイル添付時のパスワード設定の手間などが発生する可能性がございます。
※自動化ツールが導入されていない職場の場合
また、ファイルを開くたびに毎回パスワードを入れなければならず、手間がかかります。
頻繁にやり取りをする場合、送信者側と受信者側双方の負担は軽いものではないでしょう。
※参考記事:PPAPとは?パスワード付きZipファイル添付を政府が辞める理由
代替案(S/MIME)
ファイルの送受信にどうしてもメールを使いたい場合は、S/MIME(Secure / Multipurpose Internet Mail Extensions)のような、電子メール通信のセキュリティを上げる暗号化方式を活用するという方法があります。
S/MIMEでは電子証明書を用いるため、メールを暗号化して盗聴を防ぐだけでなく、メールに電子署名することで送信者のなりすましやメール改ざんなども防止します。
※参考記事:PPAPとは?パスワード付きZipファイル添付を政府が辞める理由
S/MIMEの方式を用いるには、送信者と受信者側との両方がS/MIMEに対応する電子メールソフトを使用している必要がありますが、Microsoft社のOutlookやiPhone・iPadのメールソフトなど多くのメールソフトが対応しています。
引用元:S/MIMEとは?メールへの電子署名と暗号化の仕組み
クラウドサービスを利用する
メールに送受信したいデータを添付するのではなく、送受信したいデータをクラウドストレージに保存し、受信者と共有する方法も代替案として有効です。
クラウドストレージであればフォルダへのアクセスをコントロールできるため、セキュリティ対策が十分となります。
共有する人の範囲も選ぶことができます。
送信者側から受信者側へ、クラウドストレージにアクセスするためのリンクをお知らせするだけで済みます。
メールで情報をやり取りするのは時代錯誤
いわゆる「PPAP」を廃止するという方向でIT業界が動いている以上、クラウドストレージのリンクをお知らせすることで、データのやり取りをするということが基本となり、メールで情報をやり取りするのは時代錯誤になるでしょう。
そもそもメールを利用するということはメール誤送信というリスクを本質的に抱えておりますから、クラウドでのメッセージのやり取りからデータのやり取りまで行われて、そこで完結する方向なのでしょう。
クラウド全盛へ進むことが予想されます。
以上です。