国内企業が有害性を認識しながらもPPAPを使い続ける理由 94
ストーリー by nagazou
横並び意識 部門より
横並び意識 部門より
東京大学空間情報科学研究センターらの研究グループは、「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。いわゆるPPAPの脆弱性に関しては、政府なども告知している状態にもかかわらず、まだ企業間で使い続けられている。この研究では利用状況や理由、脆弱性の認識はあるかなどの質問を344社に行ったものとなっている(情報処理学会、ITmedia)。
調査の結果、64%にあたる219社がPPAPを今も採用していると回答。現時点では廃止していると回答したのが16%の54社であったため、回答した組織の約80%がPPAPを使っていた実績を持っていることが判明した。また現在PPAPを採用中の219社のうち42%に当たる93社がPPAPの廃止を検討中であるとしている。
PPAPを現在でも使っている219社に対して、PPAPの有害性や無効性を認識しているかを確認したところ、約88%は認識していると回答。政府がPPAP廃止を宣言したことを知っている組織も79.5%にのぼっている。使い続けている理由として、社内で決められているからが53社と多く、続いて52社が送信先に対してセキュリティ対策を行っていることを明示的に示せると回答したとしている。
調査の結果、64%にあたる219社がPPAPを今も採用していると回答。現時点では廃止していると回答したのが16%の54社であったため、回答した組織の約80%がPPAPを使っていた実績を持っていることが判明した。また現在PPAPを採用中の219社のうち42%に当たる93社がPPAPの廃止を検討中であるとしている。
PPAPを現在でも使っている219社に対して、PPAPの有害性や無効性を認識しているかを確認したところ、約88%は認識していると回答。政府がPPAP廃止を宣言したことを知っている組織も79.5%にのぼっている。使い続けている理由として、社内で決められているからが53社と多く、続いて52社が送信先に対してセキュリティ対策を行っていることを明示的に示せると回答したとしている。
この小回りの効かなさが (スコア:2)
生産性の低さに直結していると思う。
Re:この小回りの効かなさが (スコア:1)
変えるのは次のシステム入れ替え時でいいよ。
無意味や有害というのは聞いたことはあるが、こんだけたくさんの会社が使ってて
問題が報道されていないから大したことはないだろう。
変えることで売り上げが伸びるわけでもなく、むしろシステムや業務フローの変更にコストがかかるんだから後回しでいい。
と思っているに一票。
Re: (スコア:0)
システム内製の理由はコスト削減というすごいがっかりな記事があるので日本のITは歪みに歪みまくってると認識すべき
https://xtech.nikkei.com/atcl/... [nikkei.com]
Re: (スコア:0)
ただし、一定の品質は保たれる
Re:この小回りの効かなさが (スコア:1)
腐ったものを冷凍保存されても困るやつだ……!
マナーだと思ってる人が居るんじゃないか (スコア:2)
昨年の話だけど、社内グループワークでメールマナーの勉強会をしたときに、PPAPな作法でファイルを送るみたいなのが残ってたりした。
一応、その場で「これは無意味なんでセキュリティ的には推奨されていませんよ」という指摘はしたが、マナーとしてそうするという意識だから、意味がなくても実行しちゃう組織はそれなりにあるだろう。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:マナーだと思ってる人が居るんじゃないか (スコア:1)
>PPAPの有害性や無効性を認識しているかを確認したところ、約88%は認識していると回答。
回答している情報システム部門は認識しているってことだろ、
利用している、役員含め一般ユーザは殆ど認識していないと思われ…つかしてない。
パスワード付きZIPは破棄します (スコア:2)
「パスワード付きZIPの添付されたメールは自動破棄するのでヨロ(emotet流行してるから)」って通知がきてたよ。zipだけじゃなく、xlsxとかもパスワード付きでは送るな、って注意がついてた。
こういうの。
https://www.hitachi.co.jp/information/info/20211008.html [hitachi.co.jp]
> パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず
単なる嫌がらせにしか思えない (スコア:1)
時間差で暗号本体とパスワードを同じ経路で送って双方の手間を増やしているだけなのに、やってる組織ではセキュリティ対策してるつもり、だったのが喜劇ですね。
暗号化して送る時は、送信相手と自分で既知の情報をパスワードにして、電話(別経路)で連絡してます。
マイナンバーカードの公的個人認証基盤で暗号化できれば、マイナンバーカードの有用性が認知されるかも。
Re:単なる嫌がらせにしか思えない (スコア:1)
うちの会社でも、添付ファイルが付いたメールは全て自動で暗号化ZIPにして、パスワードを別メールで送るシステムを導入しています。
その目的は「社外秘情報を宛先間違いで送ってしまった場合に、安易に解凍できないようにするため」って言ってたけど、パスワードは同じアドレスに自動送付なので、初めから目的は達成できてないシステムだった。
その後、PPAPが推奨されないようになった時点で、さっさと廃止しろとクレームしたけど、いまだに変わっていない。
-
それどころか、情シスからは「ZIPファイルが添付されたメールは感染リスクがあるから開かないで」と案内が来ている。
自分たちは強制的にZIP変換したメールを送っておきながら、危険だから開くなって、ホントに嫌がらせとしか思えないです。
Re: (スコア:0)
うちも類似のをつかってますね
利点としては営業などがなんでもそのまま添付するので圧縮しろと、という手間が省けるのと、
たまにウィルス入りファイルを送りやがったりするのでサーバー側でチェックする機能が入っている
パスワードなんて飾りですよ
PPAPこれからも使う (スコア:1)
別に使ったっていいじゃん。
パスワードZIPの一番のメリットはサーバーで処理されないこと。
ZIP内にEXEやマクロ付きExcelファイルがあると勝手に削除してくれる。送りたいから送ってるのに余計なお世話だよ。
しかもひどいサーバーになると削除したことが受信者に通知されない。
だからファイルをメール送信するときは
・本文にパスワードを書いたパスワードZIP添付メール
・添付メール送ったよというメール
の二通を送信よ。
#相手に届かなかったというトラブルを何度も経験してるからここまでしないと不安で仕方ない
Re:PPAPこれからも使う (スコア:2)
それ、パスワード付きZIPとパスワードを別メールで送ってないので、PPAPではないです。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re:PPAPこれからも使う (スコア:1)
最近はパスワード付きzipを黙って削除するメールサーバもあるようですけどね。
Re:PPAPこれからも使う (スコア:2, 参考になる)
Emotetやソーシャルハック系の攻撃等の対策としては実はそれ(黙って削除)が正解で、送信者にrejectメールを通知したらそれを取っかかりに
「あんたんとこに送ったメールがこんなエラーで返ってきた。うちはそんなもの知ったこっちゃないんだからとっとと替わりの手段を知らせろ」的な「いかにも『激怒している取引先』を装った相手」に見せかけたメールを送りつけるって攻撃があるんですよ。
で、まんまと「確実にファイルを送れることが判明しているサービスへのアップロードURL」をせしめてそこから攻撃するわけ。
努力は報われる (スコア:0)
努力は報われるというか、なんか手間をかけたほうが偉いみたいな感じがしてやめられないのだろう。
Re:努力は報われる (スコア:1)
なんか手間をかけたほうが偉い
この宗派の人がいると、あらゆる改善は否定される
笑うところ (スコア:0)
>続いて52社が送信先に対してセキュリティ対策を行っていることを明示的に示せると回答した
今となってはフィッシング詐欺ウェルカムと全く同じ意味しか持たないんだよなあ
Re: (スコア:0)
我々みたいな小さいところが狙われるわけ無いでしょ。狙われても大した被害もないからなHAHAHA
というところ思ってるより多い。取引切られるリスクは念頭に置いてない。
Re: (スコア:0)
「"有害無益な自称"セキュリティ対策」してる事を示されても困るよね。
マイナス評価でしか無い。
PPAP代用サービスとかもあるけど無駄に不便なだけ感しかないし、
よく分かってない奴がなんとかファイル受け取りつつ煙に巻かれてくれればいいけど、
受け取れずにわかる人に頼って愚痴がてらにクソさも教えられたら悪評にしかならん。
たぶん根絶は不可能 (スコア:0)
どうしてもと言うなら国が法律を決めて万全なセキュリティと利便性を両立した仕組みを無償で国が提供すべき!ない袖は振れない!!
と多くの老害企業は口を揃えて言うだろう。
そして決めたら一度たりとも変えてはいけない護憲的思想なので日々進化するセキュリティリスクに対応するのが追いつかない。
まあ脱ITしてもいいんでない。代わりに会社畳むことになるだろうけど。
Re: (スコア:0)
よい代替案が提示できていないのも問題
代替 (スコア:0)
代替はもちろんGnuPGとかS/MIMEとかだけど使ってる?
「Googleドライブがセキュアで最先端です!」「今ならLINEでしょ」みたいな戯言時折あるけど、プロプラでE2E暗号化もされてない(あるいはそれが不完全な)流出リスクが増えるだけの代物と、オープン規格で成立していて多数のOSSが存在してるソリューションの比較なんて明白そのもの。
メール辞めてLINE使うくらいならPPAPのがマシ。
PPAPの問題は明白だけど、リアルでパスワード交換をするっていう改善だけすれば良いと思うよ。
その手間がクッソ面倒だから皆別メール送信とか言う無駄なことになってるわけだが。
とにかくメールのE2E暗号化がクッソ面倒なのが良くない。
携帯電話の赤外線通信に実装されてれば今頃みんな使ってたかも(機種変更時にトラブるのが見えてるが)。
一応言うと攻撃者の手間を増やすってだけで多少のセキュリティにはなる。
例えば大量の流出メールから検索しようって時には普通は暗号化Zipは除外する。
まぁでも基本無駄なのは間違いないが。
Re:代替 (スコア:1)
代替がLINEってどこの企業よ?クッソヤバいだろ
Re: (スコア:0)
LINE for Businessってのがあるくらいだしどっかには存在するだろ。
LINEは適当に入れただけで実際聞いたことはない。
でもクラウドストレージを代替に使ってる会社なら割とあるでしょ実際。
Re:代替 (スコア:1)
for Businessだからって何が安全なのか
Re:代替 (スコア:1)
日本には名刺交換という商習慣があるのだから、 PGP 公開鍵を合わせて交換すれば良いのにと思わなくもない。
Re: (スコア:0)
>PPAPの問題は明白だけど、リアルでパスワード交換をするっていう改善だけすれば良いと思うよ
どんだけお花畑なこと言ってるか自覚してる?
Re: (スコア:0)
じゃぁSMSで。
Re: (スコア:0)
まあきちんとした代替手段なんて使ってるの見かけませんよねえ。普及してほしいんだけども。
なんと言うか、真面目な批判者は経路上の安全性について語ってるけれど、大多数の実務者は別にそこまで求めていないと言うか。
そこに、 PPAP って単語にされたのが面白くて「よくわからんがとにかく揶揄しとけ」みたいなガヤの空気も圧となりましたから、実際に手法を変えたところは多いですけれど、別に本来指摘されていた意味では大して安全になっていないものばかり。
そもそも PPAP って単にヒューマンエラーでの誤送信被害を軽減するために手間かけさせてる程度の話だと思うので、その意味じゃ機能してるっちゃしてますし、単なるメール使ってる限り、変に他の自動化手法とか使うとリスクは上がってるとも言える。誤差程度でしょうが。
皆さんの実例を教えてください。 (スコア:0)
PPAPが駄目として日頃から付き合いのある会社や、この1回きりになるような会社とのファイルの授受はどのようにしていますでしょうか。
Re:皆さんの実例を教えてください。 (スコア:2)
暗号化ZIPをメール添付で送信して、相手の電話番号にSMSでパスワードを連絡。
Re: (スコア:0)
こういう回答ってメールの本文と添付ファイルにセキュリティレベルの差があるって認識でいいのかな?
Re:皆さんの実例を教えてください。 (スコア:1)
一応そうです。
Subjectや本文: 対象者一覧をお送りします(本文自体は個人情報ではない)
添付ファイル: 対象者の一覧(個人情報)
とか、わかりやすく言うとそういう感じ。
Re:皆さんの実例を教えてください。 (スコア:1)
あるいは、ファイルを uuencode して本文内に記載ですね!
Re:皆さんの実例を教えてください。 (スコア:1)
自社か相手先のファイルサーバ、またはどちらかが契約しているクラウドサービスを使うことが多いですね。
PPAPの有害性・無効性について (スコア:0)
https://image.itmedia.co.jp/l/im/news/articles/2302/06/l_tm1636144_sl0... [itmedia.co.jp]
『「PPAPの有害性・無効性について」知っている』より『「暗号をかけずに送ったほうが総合的なセキュリティリスクがPPAPより小さいこと」知っている』の方が少ない。
これは、PPAPの有害性を知っているつもりになっているだけということかな?
それとも、メールサーバーでウイルスチェックしていないのかな?
Re: (スコア:0)
同じ理屈で「E2E暗号化は危険」とか「TLSはない方が良い」とか言ってる人も昔は居たな。
メールサーバーのウィルスチェックもないよかマシかも知れんがエンドポイントセキュリティと大差ない。
情報流出対策にもならん。そこら辺の通信全部TLSだからな。
Re: (スコア:0)
『「PPAPの有害性・無効性について」知っている』より『「暗号をかけずに送ったほうが総合的なセキュリティリスクがPPAPより小さいこと」』を知らなかったオレは普通は暗号化せずにzipファイルにして送ってます。っていうかPPAPって面倒なだけなんだけどなーといつも思ってます。見られたってどうでもいいような日程表とか暗号化必要ないじゃんと。
どうしても暗号化しなくちゃいけないような内容のときは言葉でたとえばDate: Sun, 01 Jan 2023 09:00:28 +0900の○○さんのメールの復号キーを使用してますと書いてopensslで暗号化してます。でそれをwebサーバにあげて、httpsでダウンロードしてもらってます。
代替策は? (スコア:0)
便利で安価な代替策があれば乗り換えは進むだろうけど、具体的に何かある? ギガファイル便くらいしか思いつかん。
Re: (スコア:0)
https://www.microsoft.com/ja-jp/office/homeuse/scenario-share-files-an... [microsoft.com]
自分は、OneDriveを使ってファイル共有しています。
ファイルにアクセスするにあたって、特定のマイクロソフトアカウントを要求する設定なら、赤の他人に見られる可能性はほぼ無いです。
ほとんどの人はマイクロソフトアカウント持ってるしね。
Re: (スコア:0)
気の利いたとこだと、社アカウントでbox持ってる。
もっと気が利いたとこだと、boxのようなものを自営している。
# 安価じゃなかった
Re: (スコア:0)
気が利かないのでsftp鯖立ててた事はある
安価で (スコア:0)
代替で使用するサービス
>>#4408000
パスワードの受け渡し方法
>>#4408001
とある客先(一部上場企業)が (スコア:0)
PPAPしろと要求してくるので。
相手は添付ファイルをつけると勝手にPPAPするシステムを構築している模様。
# PPAPなんぞ使う会社は上場廃止にしてほしいぞ…
Re: (スコア:0)
むしろ取引先がこういうの入れてましたね
なぜか本体が行方不明でパスワード通知だけが届く事が良くありました
教えて詳しい人(半分オフトピ) (スコア:0)
通常のセキュリティー目的では無く、gmailの送受信内容をGoogleの広告ターゲッティングに使用されるのを防ぐ目的(のみ)には、PPAPって効かないのかな?
もし有効ならその目的で自動でPPAPする機能がある個人向けのメーラがあったら便利かもって思ってた
Re: (スコア:0)
gmail使わなきゃいいじゃん。
PPAP?ペンパイナッポーアッポーペン (スコア:0)
語源Pen-Pineapple-Apple-Pen、略称:PPAPより
↓
「Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)Protocol(プロトコル)
になった。
ピコ太郎の功績だな。
wiki PPAP (セキュリティ)
https://ja.wikipedia.org/wiki/PPAP_(%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%... [wikipedia.org]
Re: (スコア:0)