脱PPAP

昨日、東京ビッグサイトで開催されている Japan IT Weekに行ってきた。

Japan IT Week【春】

https://www.japan-it.jp/spring/ja-jp/lp.html

会場が広かったので、どこかのブースに立ち寄るというよりも、一気に会場全体を歩いて、全部のブースの「展示」に目を通しただけ、だったけれども、半日だと、ちょっとしんどかった。ただ、年１回はこれをやっておかないと、時代遅れになりそうな気がした。

5社くらい、だっただろうか「脱PPAP」を掲げていたように思う。（細かくは見てない。）
PPAPって何？知らなかった。

P: パスワード付のZIPファイルを送ります。
P: パスワードを送ります。
A: あんごうか（暗号化）してますよ。
P: プロトコル

らしい。なるほどね。誰が言い出したんだか、言い得て妙って感じかな。

いや、元々この「パスワード付ZIP」と、パスワードを、同じメールサーバから、同じメールサーバあてに送る、というのは何だか、あんまり意味がないような気がしていた。インターネットのプロトコル上は、パケットごとに異なるルートを経由しても問題はない、はずだけれど、よほどのことがない限り、送受信のメールサーバが同じなら、メールそのものを分けても、ほとんどの場合で同じルートを経由するはず、だから、盗聴されていれば（通信をタッピングされていたら）、金庫に鍵を貼り付けて運送業者に委託するのと大差がない、気がしてはいた。

加えて言えば、送る側と受ける側の、いずれかのメールサーバがハッキングされたら、やはり、このパスワードには意味がない。ZIPファイルの暗号は、比較的解読されやすい、という説明もあったけれども、最大の理由はハッキング対策の点で、ということだと思う。

一番安価な対抗策は、送受信の双方が二つ目のメールアカウントを異なるメールサーバ上の異なるドメイン名で取得して、パスワード付のZIPファイルと、パスワードとを異なるアカウントから送ること、だろうかとは思う。（脱PPAPのソルーションを提供している会社さん、ごめんなさい。）

つまり、
送り主の suzukiさんが、suzuki@hoge.co.jp から 受取人の satoさんの sato@fuga.co.jp にパスワード付ZIPファイルを送り、
suguki@moge.com から sato@piyo.com あてにパスワードを送る、
というやり方をすれば、指摘されている PPAPの問題は回避される、と個人的には思った。この4つのいずれかのメールサーバがハックされても、コンテンツそのものが取り出されるリスクは減る。
これも、異なるドメイン名を一つのメールサーバで処理していたり、同じネットワーク（IP）に接続されているメールサーバだと、脆弱性はあまり減らないとも思うけれど。

今時の、ランサムウェアも、不正アクセスによる企業秘密の略奪も、入口はメールになっているケースが相当に多いらしい。
何気ないやりとりのメールであっても、メールサーバへの接続を許してしまったら、実質的に企業内の活動のかなりの部分が外から把握されてしまう。
購買のAさんが、他社のBさんに「見積もりをお願いします」とメールした。そのメールを傍受している「ハッカー」は、Bさんになりすまして「先ほど依頼のあった見積もりを送ります」と、マルウェア（ウイルス）を仕込んだメールをAさんに送る。そういう流れがあると、かなりのケースでAさんはメールの添付ファイルをほとんど疑わずに開く、ことになる。（ZIP圧縮されていると、ウイルス検出のチェックが難しい、なんていう話もあったな。）
で、Aさんのパソコンに侵入できるようになったら、その企業へのハッキングは半ば成功したようなものだとも思う。（私はそんなことしませんよ！そんな技術力も、リソースも、暇もないし。という主張も虚しく、35年前は根こそぎ私生活を表に晒された気がしたが。当時私は、完全に「危険人物」扱いされていた気がする。当時は・・・って、話が逸れてる。）
こういう文脈で、「取引先」からの添付ファイルを開いて、中身がおかしかった、あるいは「マクロが有効です」などの表示が出たら、速攻でイーサネットのコネクタを引き抜き、プラス、Wi-Fi接続をOFFにして、プラス、マシンをシャットダウンして、情報部門に相談する「緊急措置の応急手当」がとにかく大事、だと思う。1分遅れたら手遅れになるかも知れない。大企業だと、ネットワーク全体のスキャンに10分以上とかかかるかも知れないけれど、その間、「なんか、変なメールだったな、Bさん、寝ぼけて間違った添付ファイルを送って来たかな」なんて疑うこともしなければ、それが致命傷になるかも知れない。リテラシーがとにかく大事、なんだと思うんだが。

IT各社が、対策用のセキュリティのソルーションを提供していたけれども、なかなか、一般の企業さん、「その価値」がわからないんだろうな、という気もする。たぶん、だけれども、どこぞのハッカー集団は「規模の大きい」会社へのハッキングが困難になってくると、なりふり構わず中小企業などへも「身代金請求」とか、「顧客情報などの盗み出しと販売」など、ターゲットをシフトして来ている気がする。狙い撃ちもさることながら、手当たり次第に侵入を試みて、「侵入」できたところにランサムウェアを仕掛ける、というやり方に変わって来ているんじゃないか、と思える。（あれこれと、メール配信のニュースを見ていての感想だけれど。）

ということは、脱PPAP以前に、基本は「ファイアウォール」での、メール添付ファイルのスキャンと、メールサーバ自体のセキュリティ対策なんだろうかと思える。

うちの取引先の方が言っていた。展示会で商談をしていても、目に見えるハードウェアにはお金をかけても、ソフトウェアの価値を認める、アプリを開発するとか、ソフトをカスタマイズする、なんていう部分に「支払ってもいいと思っている金額」の水準が、とにかく低い。海外と比べて、なぜか日本人は「目に見えないソフトウェア」の価値を、やたらと低く見積もる人（特に年寄り）が多い、らしい。これは私自身、実際に感じる。
医者からなんて、「只にしろ」なんていう発言を、それぞれ別の人から２回言われて、結構ショックだった。三週間くらい半徹で仕上げた仕事、ある程度納得のいくものが出来た、と思った挙句の「只にしろ」だったもんなぁ・・・。（二度目で、私のメンタルは、結構壊れた気がした。）

行政だけではなく、一般企業でも、「情報後進国」なのは、根本的な原因がこの辺にあるような気もする。こればっかりはなぁ・・・。私が書けば「うちの商品を高く買ってください」みたいな話になって、話半分にされてしまうし。結局、どこか何社か、ハッキングされて倒産したりして、「これはヤバイぞ」と、世間全体の空気として対策に本気になる会社さんが増えてくれないと、どうしようもないのかも知れない。
ただ、「痴漢被害」もそうなんだろうけれど、「自分のところがヤラレました」なんていうのは、恥ずかしくて外部に一切出さないところも多いんだろうし。某国の「草刈り場」かも知れない。

展示会では、バックアップシステムを売ってる会社さんが（どこだったか覚えていないけれど、）ハッキング、マシントラブルなどで経営情報（経理情報、顧客情報、設計図面などの開発情報）を失った会社の90%以上が倒産している（94%とか書いていたかな）などというパネルを出していた。それでも、ねぇ。震災とか、交通事故とかと同じで、「まさか自分が」なんていうことは、平時には考えないのが、圧倒的多数だとも思う。

そう考えると、なんだかなぁ・・・だんだん悲観的になって来たけれども・・・。今後、どうなることやら。

これも聞いた話。どこぞの大手さんが、中国にソフトウェアを外注しようとしたら、「そんな安い金額で引き受けるところはありませんよ」的にあしらわれたらしい。で、ある程度のスキルがあれば、ソフト開発も「中国に出稼ぎ」に行った方が、金になる、そういう時代になって来たみたいで。（人材派遣の会社のブースも、結構派手に広い面積を構えていた、けれど。）

面白いと思ったのは、ベトナム、インド、パキスタン、バングラディッシュなどから、システム開発の会社が何社も来ていたことだった。
今、私は日本を離れたくはない。（ある人の講演会、毎週日曜日、絶対に欠かしたくない。）

ただ、「老後」ということを考えたら、「生涯現役」で、ベトナムとか、インドとかに移住するのも面白いかも、とふと思ったりもした。日本は、もう、いい。

あ、そう言えば、もう一つ感じたことがある。
世間には、こんなにも大勢、可愛い、素敵な女性がいるもんなのか、と・・・。日本も捨てたもんじゃない。

って、何しに展示会に行ったんだか。