コンサルティング

ファイル付きメールを受け取った後、パスワードを受け取ったときに感じること

ファイル付きメールを受け取った後、パスワードを受け取ったときに感じること

正直、パスワードをコピペして開くのが面倒なので、この悪しき習慣を何とかしてほしいというのか正直な感想です。とは言っても、調べてみるとすぐやめるには少々骨が折れそうな現状が見えたので、つづってみます。

先日、災害対策やITセキュリティーを専門に行っているコンサルティング会社からPPAPのメールを受け取りました。なんとも言えない気持ちになった現在のセキュリティー対応とその代替策について綴ります。

PPAPとは

  • 「P」assword付きZip暗号化ファイルを送ります
  • 「P」asswordを送ります
  • 「A」ん号化(暗号化)します
  • 「P」rotocol(プロトコル=手順)

日本情報経済社会推進協会に所属していた大泰司章(現・PPAP総研)によって問題提起・命名された。ピコ太郎の『PPAP』(ペンパイナッポーアッポーペン)の響きが「プロトコルっぽい」と言う人がいたことから大泰司がヒントを得て命名された。(Wikiより)

ピコ太郎さんの画像はここからお借りしました。https://avex-management.jp/news/161102_3044

PPAPは効果がない

このPPAPが効果がないといわれているのは事のような理由です。こちらもwikiからの抜粋です。

  1. 攻撃者がzipファイルを添付したメールを入手できるならば、同じ手段で送られるパスワードも入手できると考えられる。もし有用にパスワードを使用するならば、別の手段でパスワードを送るべきである。
  2. パスワード付きzipファイルのパスワード解析は、2012年時点で1秒間に45億回の試行が可能であるという報告がされており、もし暗号化zipファイル単体のみが攻撃者の手に渡ったとしても、中身を盗み見られる可能性は高い。暗号化の為にパスワード付きzipファイルを使う事がそもそもセキュリティ対策として有用ではない。
  3. わざわざ別のメールで指定されたパスワードを一々入力するという手間は、無駄が多い。
  4. スマートフォン端末等では、パスワード付きzipファイルを閲覧するために専用のアプリケーションが必要であるなど、テレワークの導入に障壁となりえる[8]

1番と2番は納得の内容です。また、3番と4番は業務で感じているところです。

効果がないことをしていてもPPAPは辞められない

そもそも効果がないならやめましょうという言いたいところです。

そこで、なんとも言えない気持ちになりつつ、専門家なら、これは無駄であることはご存じであろうと質問してみました。その回答はこちらです。

  1. それが会社の手順書などに組み込まれているので、PPAP以外でファイルを送ると手順書違反になる
  2. お客さんにPPAPを是としてそれ以外で送られてくるのを善しとしない
  3. パスワードを後から送ることにより、誤送信を防ぐ

1番と2番は理解できました。良いかどうかという観点ではなく、商習慣として組み込まれているので、脱却はなかなか骨が折れそうだなという印象です。

(3番に関しては、メールに組み込まれているもののあるので、3番に関しては同意はできませんでした。)

PPAPの代替方法

PPAPの問題点がいずれも深刻であることがわかっても、代替方法を確立しないと浸透もしません。どのような方法が有効なのか、具体的に見ていきましょう。

S/MIMEでファイル送信

ファイルの送受信にどうしてもメールを使いたい場合は、S/MIME(Secure / Multipurpose Internet Mail Extensions)のような、電子メール通信のセキュリティを上げる暗号化方式を活用するのがおすすめです。S/MIMEでは電子証明書を用いるため、メールを暗号化して盗聴を防ぐだけでなく、メールに電子署名することで送信者のなりすましやメール改ざんなども防止します。

S/MIMEを活用すれば、電子メールだけで安全にファイル送受信できるメリットがあります。しかし、送る側と受信する側の双方がこの方式に対応できるよう、運用の準備をしておかなくてはならない点には要注意です。

こちらは今後、浸透していくことを願いますが、すぐに電子メールのセキュリティを上げることは難しいのではないかなという印象です。

クラウドストレージでファイル共有

直接メールでファイルをやり取りするのでなく、送受信したいデータをOneDrive, Dropbox, Boxなどのクラウドストレージに保存し、受信者とセキュアなリンクやコラボレーションで共有する方法も非常に有効です。クラウドストレージであればフォルダへのアクセスをコントロールできるため、セキュリティ対策が十分となります。共有する人の範囲も選ぶことができます。何よりもリンク先を一度教えれば、Fileの更新した場合、すぐに更新されるので、業務効率も上がります

クラウドスト―レージによるファイル共有が自分から率先して作業を行っていえることかなと思っています。

まとめ

以下のことをお話ししました。

  • 事実、PPAPは効果がない
  • 効果がないどころか、受け手の生産性を下げている
  • とはいえ、日本の商習慣の一つとなっており脱却できない
  • そこで代替策は、クラウドストレージでファイル共有

PPAPを辞めることは送付先の方、お客様の生産性を高める気遣いでもあります。ぜひ、PPAPから少しずつ脱却し、クラウドストレージを選択、もしくはメールセキュリティを高める選択をすると良いかと思います。

個人的にはこのメールのファイルを受け取ってから、パスワードを打つ作業が面倒なので、辞めたいところでもあります。

更新情報を受け取ることができます





お仕事のご依頼・ご相談はこちらからお気軽にお問い合わせください。