ナレッジ(knowledge)はスタッフが日々の業務で得た知識を共有するためのページです
パスワード付きZIP圧縮+パスワード別メール(PPAP)をめぐる動向
PPAPをネットで検索するとピコ太郎さんが最初にヒットしてしまいます・・・。ピコ太郎さん、業務ではPPAPをやめる動画公開してくれませんか。
PPAPとは
PPAP(Password付きzipファイルを送ります、Passwordを送ります、Aん号化(暗号化)Protocol(プロトコル))はコンピュータセキュリティの手法の一つ。主にメール等における添付ファイルの送信手法として「パスワード付きzipファイルと、そのパスワードを別送する」という段階を踏む、日本において多く見られる情報セキュリティ対策手法。
PPAP (セキュリティ) – Wikipedia
PPAPをめぐる動向
プライバシーマーク制度を運営しているJIPDECの見解
昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。
制度関連のNEWS|メール添付のファイル送信について|プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。
次のプライバシーマーク更新ではつっこまれそうな予感。規定の見直しはしといたほうが良さそうですね。
内閣府と内閣官房は自動暗号化ZIPファイル廃止
平井卓也デジタル改革相は24日(※2020年11月24日)の記者会見で、内閣府と内閣官房の職員がメールでファイルを送付する際に使う「自動暗号化ZIPファイル」を26日に廃止すると発表した。パスワードを記載したメールが同じ経路で届く仕様に関し「セキュリティー対策や利便性の観点からも適切ではない」と指摘した。
自動暗号化ZIPファイル廃止 内閣府と内閣官房: 日本経済新聞
ネットでの反応
ネットのディープな界隈で話題になってます。
- パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される | スラド セキュリティ
- メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で | スラド セキュリティ
- パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 | スラド セキュリティ
- パスワード付きZIPは1秒未満で解けるのでPPAPは無意味| スラド セキュリティ
代替手段
1. パスワードはメールで送らない
これだけでだいぶ違うと思います。電話、FAX、チャットなど。電話とか笑われそうですが、PPAPをやるくらいなら電話のほうがいいと思います。
私は最初の対面での打ち合わせ時にパスワードだけを書面で渡すようにしています。
2. クラウドサービスで共有する
お互いが同じサービスを利用する必要があるので、1回だけ、というときは不便です。
3. 公開鍵暗号を利用する
これはさらにハードルが高いけど、絶対に漏れてはダメというなら導入を考えてもいいと思います。
手軽に導入できるサービスもあり、ここは暗号化手法も公開されているので安心感があります。
結局のところ「暗号化のソフトウェアを利用する=開発元を信用する」ということです。そういう観点から考えると長い目でみれば、オープンソースであるということは一つの安心感になると思ってます。
まずは、そのデータの暗号化がホントに必要なのかどうかを見直すことからはじめましょう。見積書なんて暗号化しても意味ありません。
世の中どんどんパスワードが増えていく・・・。
ナレッジの一覧へサービス紹介
