マクニカでも11月22日付でPPAP廃止、受信は継続
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」11月17日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・PPAPの問題点とその対策
・時代の流れとともに変わる暗号化の歴史
ニュース解説
セキュリティのPPAPを廃止することについて発表されています。PPAPも含めて、時代の流れとともに変わっていったセキュリティ対策について説明します。
セキュリティ用語のPPAPとは、「パスワード付きzip暗号化ファイルを送ります」「パスワードを送ります」「暗号化」「プロトコル」の頭文字を取った、メールで添付ファイルを送信する日本固有の習慣です。今年に入って複数の組織から、PPAPを廃止する取り組みが発表されています。
今回、PPAPの廃止を発表した組織はその理由として、パスワード付き暗号化ZIPファイルを添付することでマルウェアなどのセキュリティリスクが高まることを挙げています。また、今後は添付ファイルをそのまま送信するが、受信するメールの取り扱いについては変更は無いということです。
PPAPの問題点とその対策
添付ファイルをそのまま送信する場合、メールの配送中にセキュリティチェックができるメリットと、メールアカウントが乗っ取られた際に盗み見られるデメリットがあります。また、その他の対策としては、メール以外のコミュニケーションツールでファイルを共有することが挙げられます。
改めてPPAPの問題点ですが、今回の廃止理由としても挙げられている通り、メール配送中のセキュリティチェックをすり抜けてしまうことが挙げられます。それを逆手に取ったマルウェアが出現するなどしたため、PPAPを廃止する組織が増えてきました。また、メールで交換したZIPのパスワードが盗み見られる可能性も否定できず、かかる手間の割には得られるセキュリティのメリットが少ないことも挙げられます。
添付ファイルをそのまま送信すると、メールの配送中にセキュリティチェックができるメリットはありますが、メールアカウントが乗っ取られた際にメールボックスからファイルが盗み見られてしまう可能性があります。対策として、ストレージサービスを利用することで、メールアカウントの乗っ取りによる盗み見については防ぐことができます。なお、ストレージサービスやエンドポイントでセキュリティチェックがなされていることが前提となります。
その他の対策として、メールでファイル共有することは避け、その他のコミュニケーションツールを利用することが有効です。理由は、メールでのファイル共有はマルウェアによる「なりすまし」や「誤送信」などのリスクもありますが、認証済みのユーザによるコミュニケーションツールでファイルを共有する場合は、メールと比較すれば、なりすましや誤送信のリスクは下げられると考えられます。
その他のトピック
時代の流れとともに変わる暗号化の歴史
昔は有効とされていたけど、今は無効とされているセキュリティ対策には、暗号化の歴史が当てはまります。時代の流れとともに変わっていった暗号化の歴史について簡単に説明します。(全文はこちら)