パスワードを忘れた? アカウント作成
16496409 story
ビジネス

国内企業が有害性を認識しながらもPPAPを使い続ける理由 94

ストーリー by nagazou
横並び意識 部門より
東京大学空間情報科学研究センターらの研究グループは、「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。いわゆるPPAPの脆弱性に関しては、政府なども告知している状態にもかかわらず、まだ企業間で使い続けられている。この研究では利用状況や理由、脆弱性の認識はあるかなどの質問を344社に行ったものとなっている(情報処理学会ITmedia)。

調査の結果、64%にあたる219社がPPAPを今も採用していると回答。現時点では廃止していると回答したのが16%の54社であったため、回答した組織の約80%がPPAPを使っていた実績を持っていることが判明した。また現在PPAPを採用中の219社のうち42%に当たる93社がPPAPの廃止を検討中であるとしている。

PPAPを現在でも使っている219社に対して、PPAPの有害性や無効性を認識しているかを確認したところ、約88%は認識していると回答。政府がPPAP廃止を宣言したことを知っている組織も79.5%にのぼっている。使い続けている理由として、社内で決められているからが53社と多く、続いて52社が送信先に対してセキュリティ対策を行っていることを明示的に示せると回答したとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 生産性の低さに直結していると思う。

    • by Anonymous Coward on 2023年02月08日 12時09分 (#4407458)

      変えるのは次のシステム入れ替え時でいいよ。
      無意味や有害というのは聞いたことはあるが、こんだけたくさんの会社が使ってて
      問題が報道されていないから大したことはないだろう。
      変えることで売り上げが伸びるわけでもなく、むしろシステムや業務フローの変更にコストがかかるんだから後回しでいい。

      と思っているに一票。

      親コメント
      • by Anonymous Coward

        システム内製の理由はコスト削減というすごいがっかりな記事があるので日本のITは歪みに歪みまくってると認識すべき
        https://xtech.nikkei.com/atcl/... [nikkei.com]

    • by Anonymous Coward

      ただし、一定の品質は保たれる

  • 昨年の話だけど、社内グループワークでメールマナーの勉強会をしたときに、PPAPな作法でファイルを送るみたいなのが残ってたりした。
    一応、その場で「これは無意味なんでセキュリティ的には推奨されていませんよ」という指摘はしたが、マナーとしてそうするという意識だから、意味がなくても実行しちゃう組織はそれなりにあるだろう。

    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
    • by Anonymous Coward on 2023年02月08日 14時06分 (#4407549)

      >PPAPの有害性や無効性を認識しているかを確認したところ、約88%は認識していると回答。

      回答している情報システム部門は認識しているってことだろ、
      利用している、役員含め一般ユーザは殆ど認識していないと思われ…つかしてない。

      親コメント
  • 「パスワード付きZIPの添付されたメールは自動破棄するのでヨロ(emotet流行してるから)」って通知がきてたよ。zipだけじゃなく、xlsxとかもパスワード付きでは送るな、って注意がついてた。

    こういうの。
    https://www.hitachi.co.jp/information/info/20211008.html [hitachi.co.jp]
    > パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず

  • 時間差で暗号本体とパスワードを同じ経路で送って双方の手間を増やしているだけなのに、やってる組織ではセキュリティ対策してるつもり、だったのが喜劇ですね。

      暗号化して送る時は、送信相手と自分で既知の情報をパスワードにして、電話(別経路)で連絡してます。
      マイナンバーカードの公的個人認証基盤で暗号化できれば、マイナンバーカードの有用性が認知されるかも。

    • by Anonymous Coward on 2023年02月08日 13時01分 (#4407499)

      うちの会社でも、添付ファイルが付いたメールは全て自動で暗号化ZIPにして、パスワードを別メールで送るシステムを導入しています。
      その目的は「社外秘情報を宛先間違いで送ってしまった場合に、安易に解凍できないようにするため」って言ってたけど、パスワードは同じアドレスに自動送付なので、初めから目的は達成できてないシステムだった。
      その後、PPAPが推奨されないようになった時点で、さっさと廃止しろとクレームしたけど、いまだに変わっていない。
      -
      それどころか、情シスからは「ZIPファイルが添付されたメールは感染リスクがあるから開かないで」と案内が来ている。
      自分たちは強制的にZIP変換したメールを送っておきながら、危険だから開くなって、ホントに嫌がらせとしか思えないです。

      親コメント
      • by Anonymous Coward

        うちも類似のをつかってますね

        利点としては営業などがなんでもそのまま添付するので圧縮しろと、という手間が省けるのと、
        たまにウィルス入りファイルを送りやがったりするのでサーバー側でチェックする機能が入っている

        パスワードなんて飾りですよ

  • by Anonymous Coward on 2023年02月08日 13時57分 (#4407543)

    別に使ったっていいじゃん。

    パスワードZIPの一番のメリットはサーバーで処理されないこと。
    ZIP内にEXEやマクロ付きExcelファイルがあると勝手に削除してくれる。送りたいから送ってるのに余計なお世話だよ。
    しかもひどいサーバーになると削除したことが受信者に通知されない。

    だからファイルをメール送信するときは
    ・本文にパスワードを書いたパスワードZIP添付メール
    ・添付メール送ったよというメール
    の二通を送信よ。

    #相手に届かなかったというトラブルを何度も経験してるからここまでしないと不安で仕方ない

    • それ、パスワード付きZIPとパスワードを別メールで送ってないので、PPAPではないです。

      --
      svn-init() {
        svnadmin create .svnrepo
        svn checkout file://$PWD/.svnrepo .
      }
      親コメント
    • by Anonymous Coward on 2023年02月08日 14時21分 (#4407562)

      最近はパスワード付きzipを黙って削除するメールサーバもあるようですけどね。

      親コメント
      • by Anonymous Coward on 2023年02月08日 15時42分 (#4407633)

        Emotetやソーシャルハック系の攻撃等の対策としては実はそれ(黙って削除)が正解で、送信者にrejectメールを通知したらそれを取っかかりに
        「あんたんとこに送ったメールがこんなエラーで返ってきた。うちはそんなもの知ったこっちゃないんだからとっとと替わりの手段を知らせろ」的な「いかにも『激怒している取引先』を装った相手」に見せかけたメールを送りつけるって攻撃があるんですよ。
        で、まんまと「確実にファイルを送れることが判明しているサービスへのアップロードURL」をせしめてそこから攻撃するわけ。

        親コメント
  • by Anonymous Coward on 2023年02月08日 12時11分 (#4407460)

    努力は報われるというか、なんか手間をかけたほうが偉いみたいな感じがしてやめられないのだろう。

  • by Anonymous Coward on 2023年02月08日 12時13分 (#4407463)

    >続いて52社が送信先に対してセキュリティ対策を行っていることを明示的に示せると回答した
    今となってはフィッシング詐欺ウェルカムと全く同じ意味しか持たないんだよなあ

    • by Anonymous Coward

      我々みたいな小さいところが狙われるわけ無いでしょ。狙われても大した被害もないからなHAHAHA
      というところ思ってるより多い。取引切られるリスクは念頭に置いてない。

    • by Anonymous Coward

      「"有害無益な自称"セキュリティ対策」してる事を示されても困るよね。
      マイナス評価でしか無い。

      PPAP代用サービスとかもあるけど無駄に不便なだけ感しかないし、
      よく分かってない奴がなんとかファイル受け取りつつ煙に巻かれてくれればいいけど、
      受け取れずにわかる人に頼って愚痴がてらにクソさも教えられたら悪評にしかならん。

  • by Anonymous Coward on 2023年02月08日 12時16分 (#4407465)

    どうしてもと言うなら国が法律を決めて万全なセキュリティと利便性を両立した仕組みを無償で国が提供すべき!ない袖は振れない!!

    と多くの老害企業は口を揃えて言うだろう。
    そして決めたら一度たりとも変えてはいけない護憲的思想なので日々進化するセキュリティリスクに対応するのが追いつかない。
    まあ脱ITしてもいいんでない。代わりに会社畳むことになるだろうけど。

    • by Anonymous Coward

      よい代替案が提示できていないのも問題

  • by Anonymous Coward on 2023年02月08日 12時40分 (#4407479)

    代替はもちろんGnuPGとかS/MIMEとかだけど使ってる?
    「Googleドライブがセキュアで最先端です!」「今ならLINEでしょ」みたいな戯言時折あるけど、プロプラでE2E暗号化もされてない(あるいはそれが不完全な)流出リスクが増えるだけの代物と、オープン規格で成立していて多数のOSSが存在してるソリューションの比較なんて明白そのもの。
    メール辞めてLINE使うくらいならPPAPのがマシ。
    PPAPの問題は明白だけど、リアルでパスワード交換をするっていう改善だけすれば良いと思うよ。
    その手間がクッソ面倒だから皆別メール送信とか言う無駄なことになってるわけだが。
    とにかくメールのE2E暗号化がクッソ面倒なのが良くない。
    携帯電話の赤外線通信に実装されてれば今頃みんな使ってたかも(機種変更時にトラブるのが見えてるが)。

    一応言うと攻撃者の手間を増やすってだけで多少のセキュリティにはなる。
    例えば大量の流出メールから検索しようって時には普通は暗号化Zipは除外する。
    まぁでも基本無駄なのは間違いないが。

    • by Anonymous Coward on 2023年02月08日 12時59分 (#4407495)

      代替がLINEってどこの企業よ?クッソヤバいだろ

      親コメント
      • by Anonymous Coward

        LINE for Businessってのがあるくらいだしどっかには存在するだろ。
        LINEは適当に入れただけで実際聞いたことはない。
        でもクラウドストレージを代替に使ってる会社なら割とあるでしょ実際。

    • by Anonymous Coward on 2023年02月08日 14時30分 (#4407570)

      日本には名刺交換という商習慣があるのだから、 PGP 公開鍵を合わせて交換すれば良いのにと思わなくもない。

      親コメント
    • by Anonymous Coward

      >PPAPの問題は明白だけど、リアルでパスワード交換をするっていう改善だけすれば良いと思うよ

      どんだけお花畑なこと言ってるか自覚してる?

    • by Anonymous Coward

      まあきちんとした代替手段なんて使ってるの見かけませんよねえ。普及してほしいんだけども。
      なんと言うか、真面目な批判者は経路上の安全性について語ってるけれど、大多数の実務者は別にそこまで求めていないと言うか。
      そこに、 PPAP って単語にされたのが面白くて「よくわからんがとにかく揶揄しとけ」みたいなガヤの空気も圧となりましたから、実際に手法を変えたところは多いですけれど、別に本来指摘されていた意味では大して安全になっていないものばかり。
      そもそも PPAP って単にヒューマンエラーでの誤送信被害を軽減するために手間かけさせてる程度の話だと思うので、その意味じゃ機能してるっちゃしてますし、単なるメール使ってる限り、変に他の自動化手法とか使うとリスクは上がってるとも言える。誤差程度でしょうが。

  • by Anonymous Coward on 2023年02月08日 12時43分 (#4407482)

    PPAPが駄目として日頃から付き合いのある会社や、この1回きりになるような会社とのファイルの授受はどのようにしていますでしょうか。

  • by Anonymous Coward on 2023年02月08日 12時44分 (#4407483)

    https://image.itmedia.co.jp/l/im/news/articles/2302/06/l_tm1636144_sl0... [itmedia.co.jp]
    『「PPAPの有害性・無効性について」知っている』より『「暗号をかけずに送ったほうが総合的なセキュリティリスクがPPAPより小さいこと」知っている』の方が少ない。
    これは、PPAPの有害性を知っているつもりになっているだけということかな?
    それとも、メールサーバーでウイルスチェックしていないのかな?

    • by Anonymous Coward

      同じ理屈で「E2E暗号化は危険」とか「TLSはない方が良い」とか言ってる人も昔は居たな。
      メールサーバーのウィルスチェックもないよかマシかも知れんがエンドポイントセキュリティと大差ない。
      情報流出対策にもならん。そこら辺の通信全部TLSだからな。

    • by Anonymous Coward

      『「PPAPの有害性・無効性について」知っている』より『「暗号をかけずに送ったほうが総合的なセキュリティリスクがPPAPより小さいこと」』を知らなかったオレは普通は暗号化せずにzipファイルにして送ってます。っていうかPPAPって面倒なだけなんだけどなーといつも思ってます。見られたってどうでもいいような日程表とか暗号化必要ないじゃんと。

      どうしても暗号化しなくちゃいけないような内容のときは言葉でたとえばDate: Sun, 01 Jan 2023 09:00:28 +0900の○○さんのメールの復号キーを使用してますと書いてopensslで暗号化してます。でそれをwebサーバにあげて、httpsでダウンロードしてもらってます。

  • by Anonymous Coward on 2023年02月08日 12時46分 (#4407486)

    便利で安価な代替策があれば乗り換えは進むだろうけど、具体的に何かある? ギガファイル便くらいしか思いつかん。

    • by Anonymous Coward

      https://www.microsoft.com/ja-jp/office/homeuse/scenario-share-files-an... [microsoft.com]
      自分は、OneDriveを使ってファイル共有しています。

      ファイルにアクセスするにあたって、特定のマイクロソフトアカウントを要求する設定なら、赤の他人に見られる可能性はほぼ無いです。
      ほとんどの人はマイクロソフトアカウント持ってるしね。

    • by Anonymous Coward

      気の利いたとこだと、社アカウントでbox持ってる。
      もっと気が利いたとこだと、boxのようなものを自営している。
      # 安価じゃなかった

      • by Anonymous Coward

        気が利かないのでsftp鯖立ててた事はある

    • by Anonymous Coward

      代替で使用するサービス
      >>#4408000
      パスワードの受け渡し方法
      >>#4408001

  • by Anonymous Coward on 2023年02月08日 12時51分 (#4407487)

    PPAPしろと要求してくるので。
    相手は添付ファイルをつけると勝手にPPAPするシステムを構築している模様。

    # PPAPなんぞ使う会社は上場廃止にしてほしいぞ…

    • by Anonymous Coward

      むしろ取引先がこういうの入れてましたね
      なぜか本体が行方不明でパスワード通知だけが届く事が良くありました

  • by Anonymous Coward on 2023年02月08日 13時00分 (#4407497)

    通常のセキュリティー目的では無く、gmailの送受信内容をGoogleの広告ターゲッティングに使用されるのを防ぐ目的(のみ)には、PPAPって効かないのかな?
    もし有効ならその目的で自動でPPAPする機能がある個人向けのメーラがあったら便利かもって思ってた

    • by Anonymous Coward

      gmail使わなきゃいいじゃん。

  • by Anonymous Coward on 2023年02月08日 13時59分 (#4407546)

    語源Pen-Pineapple-Apple-Pen、略称:PPAPより
      ↓
    「Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)Protocol(プロトコル)
    になった。

    ピコ太郎の功績だな。

    wiki PPAP (セキュリティ)
    https://ja.wikipedia.org/wiki/PPAP_(%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%... [wikipedia.org]

    • by Anonymous Coward
      去年だったか町内会の集まりで「インターネットとはそもそも米軍が」とドヤ顔で語り始める御仁がいてタイムトリップ感半端なかったけど、元コメもそろそろそれに近いかな
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...