ビジネス課題への解決策(アイディア)と、新たな発想(+α)が見つかるIT情報メディア

Menu
  1. TOP
  2. クラウド
  3. まだPPAPメールで消耗してるの? ~デジタル人材がおさえておきたい情報セキュリティの基礎~

まだPPAPメールで消耗してるの? ~デジタル人材がおさえておきたい情報セキュリティの基礎~

  • LINEで送る
  • このエントリーをはてなブックマークに追加

今回のタイトルは、ごく一部のネット市民の間で一時期ホットだった「消耗構文」としてみましたが、安心してください。当サイトの賢明なる読者の皆さんの中に、「ニヤリ」とされた方がほとんどいないであろうことは想定の範囲内です。

本記事は、「レガシーIT人材がデジタル人材に進化するための第一歩 ~ わりと知らない URL の豆知識 ~」の続編として、「なんちゃってデジタル人材」を見極める視点と共に、令和の時代における情報セキュリティの観点から考察を進めたいと思います。

以下、すでに真のデジタル人材を自負している方々にとっては笑止千万かもしれませんが、缶コーヒーでもチビチビ飲みつつ、どうぞ一息入れながらお付き合いくださいませ。

いつまでPPAPメールで消耗し続けるの?

まず、「PPAPメール」について確認しておきましょう。

PPAP (セキュリティ) - Wikipedia

PPAP(ピーピーエーピー)はコンピュータセキュリティの手法の一つ。主にメール等における添付ファイルの送信手法として「パスワード付きzipファイルと、そのパスワードを別送する」という段階を踏む、日本において多く見られる情報セキュリティ対策手法である。 

本手法は2021年現在、日本国内において官民問わず広く使われているが、セキュリティ対策としての意味を為さないものとして有害視されており、特に日本の中央官庁においては廃止の方向に向かっている(後述)。

~中略、抜粋~

  • PPAPは典型的な劇場型セキュリティ(英語版)である。セキュリティ対策をしているという安心感に不必要な費用を掛け、本来するべき対策をせず、また有用な対策に利用する費用が削られている[8]。
  • 添付ファイルを暗号化zipファイルにアーカイブすることによって、もし添付ファイルがマルウェアに感染していたとしても、アンチウイルスソフトウェアのシグニチャ型対策、サンドボックス型対策のどちらにも検知されない可能性が高まる[5]。
  • パスワード付きzipファイルのパスワード解析は、2012年時点で1秒間に45億回の試行が可能であるという報告がされており、もし暗号化zipファイル単体のみが攻撃者の手に渡ったとしても、中身を盗み見られる可能性は高い。暗号化の為にパスワード付きzipファイルを使う事がそもそもセキュリティ対策として有用ではない[5]。

~中略~

平井卓也デジタル改革担当相は2020年11月、中央省庁の職員が文書などのデータをメールで送信する際のPPAPを廃止する方針であると明らかにした[9]。その後、11月26日から内閣府と内閣官房においてPPAPを廃止した[10]。今後、民間においてもPPAPからの脱却の動きがあると思われる[11]。

セキュリティ対策としての意味を為さないものとして有害視。。。

廃止の方向に向かっている。。。

さらに今後は、パスワード付きZipファイルを添付したメールを受信しても、自動的に迷惑メール扱いされるメールサーバーアプリケーションも導入が進むとか進まないとか。。。

これだけdisられているのに、まだPPAPし続けるの?

さて、皆さんの組織ではいかがでしょうか?

  • ① とっくに廃止しているよ
  • ② 廃止はできていないけど縮小傾向にある
  • ③ 廃止など考えたこともない!永遠にPPAPでいくのだ

幸い本サイトを運営しているユニリタはこの4月から②→①に移行しつつあります。

とは言いつつ筆者も、PPAPの代わりにIT部門が用意してくれたクラウドストレージの存在を知ったのはつい最近のことでして、それまでの間、機密性の低いファイルは法人契約している Googleドライブで受け渡ししていたものの、機密性の高いファイルはつい先日までPPAPしていました。

ファイル受け渡し用のクラウドストレージなら、ダウンロード期限付きで共有対象者のメールアドレスを特定したURLを発行できるものもあるはずですし、システム管理者がアクセスログも追跡できるようになっていれば、万が一のファイル流出の際などでも容易にトレーシングできるので安心でしょう。

賢者は知らぬを知り、愚者は知らぬを知らず

ですね。

そんなPPAPについて念のため、恐ろしい結果になることを承知の上で、Google先生に聞いてみましょう。 

PPAP - 調べる - Google トレンド ※2004年1月~

やっぱり「ペンパイナッポーアッポーペン」のバーストで恐ろしく大きな山ができてしまっているので、期間を狭めて見てみましょう。

PPAP - 調べる - Google トレンド ※2017年8月~

関連キーワード

このような世間のトレンドなど何知らぬ顔をしているレガシーIT人材は、先ほどの回答選択肢であれば③を威風堂々と選択されるのでしょう。

データ保護や情報セキュリティのことは詳しくわからなくても、組織の労働生産性向上に貪欲に取り組んでいる「デジタル人材」なら、所属組織が一日も早く①になるよう、事あるごとに提言してみるのはいかがでしょうか。

参考ニュース

PPAP禁止企業は1割前後 なりすましメールの爆発的流行で今後の利用は減少か──JIPDEC調べ

 パスワード付き圧縮ファイルとパスワードを同一経路で時間をずらして送信するPPAPについて、「(メール送信時に)利用している」と答えた企業は30.5%、「利用を禁止していないが他の方法を推奨中」が15.5%、「利用中だが、禁止する予定で他の手段の導入検討中」が26.6%、「利用制限を特に設けていない」は9.5%となった。

加速する“脱PPAP”の動きに乗り遅れないために (少しだけならば)変化を受け入れよう

 Gmailは添付ファイルのマルウェアチェック機能を備えています。既知のマルウェアであれば、これで十分に保護できると思われますので、個人でメールを利用するにはGmailは非常にお薦めです。 

 では具体的にどのような添付ファイルがこのチェックに引っ掛かるのでしょうか。その原因の多くは「パスワード付き圧縮ファイル」です。Gmailはパスワード付き圧縮ファイルを禁止していませんが、「ZIPのZIP」など、圧縮ファイルを入れ子にしている場合にはブロックが働きます。

いつまでPC画面をだだ漏れさせてるの?


いつまでPC画面をだだ漏れさせてるの?

せっかくの情報セキュリティ関連記事ですから、つい最近 Twitter でバズっていたネタを一つご紹介しておきましょう。

バズっていたツイートを探し当てることはできませんでしたが、記憶の限りで要するに

オフィスだろうが自宅だろうがカフェだろうが、仕事で使っているPCから離れる時は画面ロックしておけ!

という内容のツイートが、実際のオフィスでポツンとたたずむ画面がだだ漏れのPCと共に画像投稿されていたのでした。

PCの画面ロック方法は以下の通りですから、皆さんの周囲でも画面だだ漏れPCを見つけたらぜひ教えてあげてください。

  • Windows:Winキー+Lキー
  • Mac:Commandキー+Controlキー+Qキー

筆者なども、絶賛テレワーク中で在宅勤務だとは言え、PCのあるデスクを離れる時は画面ロックがクセになっていますから、家族に画面をのぞき見られることはまずありませんし、もし犬・猫などのペットを飼っていたとしても、ヤツらにキーボードを乱打されて自爆メッセ送信!みたいな事故など起きるはずもないのです。 

個人のスマホはガッツリ画面ロックしているのに、仕事で使うPCの画面はだだ漏れというのではITリテラシーが低いというレッテルを貼られてしまうでしょうから、この機会に画面ロックを習慣化していただけるとよいでしょう。

ちなみに筆者、スマホの画面ロックには顔認証や指紋認証のような生体認証は使っておりません。

ベッドでスヤスヤ眠っている時や、路上で意識を失って倒れてしまった時などに、ロック解除されてしまうことを想像しただけで眠れなくなってしまうからです。

以上、センシティブでナーバスなネタをできる限り明るく元気にお届けしましたが、「うちの会社の情報セキュリティ、大丈夫だろうか?」と不安になってしまった方がもしいらっしゃったら、下記コンテンツなどご覧いただいて、心安らかな日々を過ごしていただけることを祈っております。

ITガバナンス:内部統制モニタリング


参考文献・ニュース

身代金要求型のコンピューターウイルスから99.9%身を守る方法

 攻撃の多くは、単純な電子メールから始まりますが、Gmail はこういったメールを受信トレイに届く前に自動でブロックし、大切な情報を守ってくれます。もう毎日迷惑メールを削除する作業は一切不要です。

 それにしても、一体なぜ99.9%以上の精度でブロックできるのでしょうか?

 答えは、Google のAIを活用した複数の保護機能を組み合わせる「多層防御」のおかげです。特に毎週3000億を超える添付ファイルを処理する「マルウェアスキャナー」によって、1分あたり1000万通近い迷惑メールがブロックされています。ブロックされた悪意あるドキュメントのうち63%が毎日変化しているとのこと。想像以上のスピードで進化する脅威に対し、私たちが知らないところで最先端の技術で対処してもらっているわけです。

グーグルが史上2番目の買収。なぜ6,000億円もかけてセキュリティ企業を買収したのか

 サイバー攻撃を行う犯罪組織に精通するMandiantは、2022年1月20日の時点で、ロシアによるウクライナ侵攻リスクの高まりとそれに伴うサイバー攻撃の脅威の高まりを予想していた。

 すでに「UNC242」や「APT28」などロシア政府と結びつきのあるサイバー攻撃組織がウクライナ政府をターゲットとした攻撃を強めていることに加え、クリミアやウクライナ東部を拠点とする「UNC530」のような組織が加勢し、情報戦やサイバー攻撃の脅威が増大するであろうと指摘。これらの組織によって、ソーシャルメディアなどを介し、ロシアに都合の良い偽情報を拡散するオペレーションが増えると予想していた。

コロナ禍が強いた急速なデジタル化…企業の〈甘すぎる情報リスク管理〉が明らかに

情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」の2021年版では、「組織向け脅威」の第1位は「ランサムウェアによる被害」、第2位が「標的型攻撃による機密情報の窃取」、そして第3位に昨年まではみられなかった「テレワーク等のニューノーマルな働き方を狙った攻撃」が新たに登場しました。

また「個人向け脅威」についてもコロナ禍でデジタル手段による支払いやオンラインショッピングの利用が増えたことが影響し、第1位が「スマホ決済の不正利用」、2位が「フィッシングによる個人情報等の詐取」となり、さらにSNSなどの利用拡大を反映して「ネット上の誹謗・中傷・デマ」が第3位となっています。

技術観点で暴く“PPAPの無意味さ” 本気で脱却を目指す企業に向けた代替策

 上原氏は一方で、なるべくコストを掛けずにセキュリティを確保したい企業にお薦めの代替策として「OneDrive」や「Google Drive」「Dropbox」といったオンラインストレージを推奨する。

 お薦めの理由は5つあり、1つ目は送受信経路が暗号化されている点だ。しかしストレージ内は暗号化されておらず、ストレージベンダーがファイルを読めるリスクは存在するため、信頼できるベンダーのサービスを選ぶことが前提となる。

役所のDXはなぜ難しい?行政にはびこる「絶対間違えられない」の呪縛

 AさんがIT担当者として初めに着手したのは、メールの誤送信対策として続けてきたPPAP(パスワード付き圧縮ファイル)と送信遅延の廃止だった。

 次にAさんは、Bcc強制変換を廃止しようとした。Bcc強制変換とは、宛先に大量の外部宛てメールアドレスを指定した場合、強制的に「Bcc」(ブラインドカーボンコピー。複数の利用者宛にメールを同時送信する際、受取人以外の送信先メールアドレスを伏せること)に自動変換する機能のことだ。誤送信や個人情報漏えいを防ぐために導入している自治体は多いのだが、受信側は、返信の際に一つ一つメールアドレスを入れ直す必要があり、かなりの手間がかかっていた。


関連コンテンツ

レガシーIT人材がデジタル人材に進化するための第一歩 ~ わりと知らない URL の豆知識 ~

ジョブ型雇用で整理・淘汰される「仕事してるフリ」社員にならないための特効薬

DXがわかりにくいのはCX:生活者の視点で考えていないからではないか?

わりと知られていない「レガシーIT人材」≦「デジタル人材」

IT業界のPM・SE・PGとは?周辺業界との比較から役割・ミッションを考察

基幹系システムと基幹システムの違いとは?情報系システムとは?

クラウドシフト:SaaS/PaaS/IaaSの違いとデータ活用における注意点

DX:デジタルトランスフォーメーションのはじめの一歩はデータ連携から


Waha! Transformer 製品サイトの関連コンテンツ

監査証跡・J-SOX対応の公開事例

「働き方改革」を生産性向上のチャンスととらえる組織が取り組むべき稼働データ活用法とは

【ネタバレ注意】データ活用人材の祭典「Waha! Day 2021」開催報告

API とは 2025年の崖と未来をつなぐ架け橋


データの抽出や加工、連携にお悩みではありませんか?

20年以上の実績に裏打ちされた信頼のデータ連携ツール「Waha! Transformer」で、自社に眠るデータを有効活用。まずは無料のハンズオンセミナーや体験版で効果を実感していただけます。

> 純国産ETLツール「Waha! Transformer」

Waha! Transformer
Waha! Transformerロゴ

執筆者情報:

ユニリタ Waha! Transformer チーム

株式会社ユニリタ ITイノベーション部

PM・SEに限らず多様な経験・知見を持ったメンバーが、「データ活用」という情報システム部門の一丁目一番地でお役に立つべく集められました。

メールマガジンの登録はこちらから
メルマガ登録 お問い合わせ