【セキュリティ】それでも「PPAP」を使い続ける国内企業はどのくらい? 有害と知りつつ使う企業も、そのワケは [朝一から閉店までφ★]

■ このスレッドは過去ログ倉庫に格納されています
0001朝一から閉店までφ ★2023/02/06(月) 16:26:33.56ID:CQEUx9V/
セキュリティ・ホットトピックス
それでも「PPAP」を使い続ける国内企業はどのくらい? 有害と知りつつ使う企業も、そのワケは
Innovative Tech
2023年02月06日 08時00分 公開
[山下裕毅,ITmedia]

 
Innovative Tech:
このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2




 東京大学空間情報科学研究センター、大阪公立大学大学院情報学研究科、東京大学大学院情報理工学系研究科ソーシャルICT研究センター、株式会社国際電気通信基礎技術研究所に所属する研究者らは「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。

 パスワード付き圧縮ファイルを添付したメールとそのパスワードを書いたメールを別々に送るセキュリティ対策手法(通称:PPAP)において、脆弱性が高いにもかかわらずまだ使い続けている有無や理由、脆弱性の認識はあるかなどの質問を組織344社に行い、分析した研究報告である。

 取引先や顧客など社外の相手とファイルの受け渡しを行う際、情報漏えい対策としてPPAPが国内の企業や公共団体を中心に広く利用されている。PPAPは、「P:Passwordつきzip暗号化ファイルを送ります」「P:Passwordを送ります」「A:Aん号化(暗号化)」「P:Protocol」の略である。

 ファイルを間違えて違う相手に送信したり、ファイルを何らかの方法で奪われたりしても、別メールで送るパスワードがないと開けないという原理で漏えいを防ぐという理屈である。しかし、パスワードが書かれたメールもファイルを送る方法や経路が同じなため、セキュリティ性が低いというのが昨今の考えである。

 その上、ファイルが暗号化されているため、近年ではマルウェア「Emotet」の拡散に使われるなど、情報漏えい防止に使用されているPPAPが、反対にマルウェアを拡散している事態に陥っている。

 そのため、デジタル改革担当相は2020年11月の定例会見で中央省庁の職員が文書などのデータをメールで送信する際に使うPPAPを廃止する方針であると発表、次いで内閣府と内閣官房も廃止を発表した。これを皮切りに、さまざまな官公庁や企業などがPPAP廃止を発表した。

 このように廃止する企業が出てきたが、セキュリティ性が低く(無効性)マルウェア拡散リスク(有害性)を抱えているにもかかわらず、まだまだ使われているのが現状である。

https://www.itmedia.co.jp/news/spv/2302/06/news047_0.html
続き

0097名刺は切らしておりまして2023/02/07(火) 11:02:34.30ID:xo00tOmT
パスワードなんて、今日の8とかでいい

0098名刺は切らしておりまして2023/02/07(火) 11:42:43.65ID:OkQs5fxp
主旨とは無関係で、俺が機材を調達して開発して
なんかつくるの白人の大馬鹿とかそれに続くNTTの大馬鹿で役立たずで
警戒してないか

チンポまで襲ってきてる

0099名刺は切らしておりまして2023/02/07(火) 11:53:10.38ID:9RzgCpbk
PPAPを止めりゃ良いってもんじゃないからな…
電子メール使ってる限り、根本的にはどうにもならん

0100名刺は切らしておりまして2023/02/07(火) 13:34:12.08ID:fS60drD/
PPAPは、メールサーバーで情報収集できなくなるから、GoogleやMSとしては困る

0101名刺は切らしておりまして2023/02/07(火) 13:41:54.19ID:pbAp++Fg
>>17
10年前なら仕方ないが、最近導入したなら情シス首にすべき

>>69
昔は世界的に推奨されてたよ
そしてPマーク自体にそんな推奨事項はない
推奨したとしたらコンサル業者かバカな監査担当者

0102名刺は切らしておりまして2023/02/07(火) 13:44:23.70ID:pbAp++Fg
>>96
セキュリティのためブロックしてます

と言いながら添付ファイルにパスワードもつけずに送ってくるクソ会社の多いこと

0103名刺は切らしておりまして2023/02/07(火) 14:10:54.35ID:EW4bPEpb
>>87
対策はあるんだから導入してないクソ情シスを抱えるクソ会社に勤めるクソ社員ってことだよ、君は。

0104名刺は切らしておりまして2023/02/07(火) 14:28:08.96ID:475a9uUS
>>93
読解力ないね
あと非TLSはまだ1割以上ある

0105名刺は切らしておりまして2023/02/07(火) 14:36:42.80ID:XOz9Fwr+
>>11
相変わらず多いのはなぜ?

0106名刺は切らしておりまして2023/02/07(火) 16:12:25.76ID:6oDHQENF
>>104
zipにパスワードかけさせる組織だったら素人運用じゃ無ければESMTPSでリレーさせるだろ。MXレコードみてリレーするから第三者のMTA経由する事も無い

0107名刺は切らしておりまして2023/02/07(火) 16:59:25.32ID:cdlIMiP0
>>106
本当に読解力ゼロで草

0108名刺は切らしておりまして2023/02/07(火) 19:04:53.64ID:cU3z3lNv
>>3
設備投資して償却がすんでないからだとおもう。
うちの会社PPAPダメだから更改しましょうと提案する側なのにPPAP使ってるw

0109名刺は切らしておりまして2023/02/07(火) 20:52:39.19ID:rPyqb7/4
ワケ?一度決めたらやめられない無能集団だからだよ
取引先でこれ使ってる会社はみんな仕事のやり方が古臭い

0110名刺は切らしておりまして2023/02/07(火) 21:12:04.15ID:WMBuTkcg
FTPサーバ使えよ

0111名刺は切らしておりまして2023/02/07(火) 21:19:29.81ID:cfU/G0WU
バカどもがハイパーリンク付きPDFとか送ってきて余計ややこしくなったんだが

0112名刺は切らしておりまして2023/02/07(火) 23:09:28.98ID:noh6j5+y
>>109
これが一番の問題だよな
セキュリティ対策は固定するんじゃなくてアップデートしなけりゃいけないのに
変化についていけないアホな経営者が多すぎる

0113名刺は切らしておりまして2023/02/08(水) 00:06:33.74ID:I9f9ckqA
ぴこたろう?

0114名刺は切らしておりまして2023/02/08(水) 00:12:31.50ID:gpCMA1fO
スキャットマン・ジョンかよ

0115名刺は切らしておりまして2023/02/08(水) 06:07:19.55ID:DsTe1Y8x
自称意識高い系が未だに送ってくる

連投メールでアホやんと思いながら開く俺

0116名刺は切らしておりまして2023/02/08(水) 10:23:38.40ID:qKo26d2N
>>102
パスワードは本日のYYYYMMDDですって添付メールの本文に書いてるの、まだたまにみる。
あれなんの意味があるのかまったく分からない。

0117名刺は切らしておりまして2023/02/08(水) 11:14:00.56ID:xos9/asE
>>90
代替案あるのに検討しないのはアホでしょ

0118名刺は切らしておりまして2023/02/08(水) 12:18:18.78ID:jWe0BgM/
>>117
今やってるのが一発で100%アウトだとか代替案が現実的な方法で100%安全ってのなら分かるけど
そんなのある?

0119名刺は切らしておりまして2023/02/08(水) 15:08:08.07ID:w4Buh6jN
たぶんms365の提唱する
onedrive見に来てね、
がトレンドなんでしょ。
インストールやバージョン互換性を気にしなくていいし。
相手が混乱するかなと思って
まだあんまり活用してないけど。

0120名刺は切らしておりまして2023/02/08(水) 15:52:05.48ID:4uZqb+uh
>>1
zip暗号化ファイルだとスマホで開けられないから本当にマジで絶対にやめてくれ。

0121名刺は切らしておりまして2023/02/08(水) 17:52:04.03ID:9fqb5h3x
数字だけの8桁パスワードなんてすぐ割れそうなのにな

0122名刺は切らしておりまして2023/02/08(水) 18:47:40.65ID:rqUGflH7
うちはPPAP送信は廃止して受信も拒否にしたけど、送られて来たやつの復旧依頼が多くてほんとに困る。
デジタル相はこの件の啓発に本気で取り組んでほしいです。

0123名刺は切らしておりまして2023/02/08(水) 20:17:10.45ID:eBZ5Y69h
>>118
リスクマネジメントを考えるときにゼロ百論法を持ち出すこと自体が誤りだし
PPAPは今まさにEmotetの標的になってるという具体的かつ明確な弱点である以上
変える以外の選択肢はない

0124名刺は切らしておりまして2023/02/08(水) 20:44:54.92ID:W9/LKW1c
>>118
リスクについて一から勉強しておいで

0125名刺は切らしておりまして2023/02/08(水) 21:18:19.29ID:It4qLbVt
ポーズだからさ

0126名刺は切らしておりまして2023/02/08(水) 21:39:29.94ID:taUHcAfA
>>119
あの手のシステム導入する企業最近いるけど
メールにあるアドレスを踏むと罠サイトでウィルスダウンロードさせて感染させるっていう古来からのウィルス感染手口と同じ仕組みを安全性を理由に導入するとかどうかしてるぜっていつも思うわ

0127名刺は切らしておりまして2023/02/09(木) 07:51:21.48ID:1ANaaONS
>>126
メールのリンク一切踏ませない運用してるの?
大変ね

0128名刺は切らしておりまして2023/02/09(木) 08:24:58.88ID:TLIX3bZP
>>127
>>126から「一切」って読み取るのか

0129名刺は切らしておりまして2023/02/09(木) 14:10:31.81ID:4CWF1Y/5
>>126
アンカ元の者ですが、
それ、わかるわー。
今のところテナントドメイン名を、onmicrosoft.comのままにしてるし
文書の共有リンクを発行すると、悪魔の呪文のようなurlになるのよね。

なので、社外の人にはまだ、
リンク開示の手法を使ってない。

0130名刺は切らしておりまして2023/02/09(木) 14:59:47.57ID:KaM9HNs/
ぶっちゃけこれよりHTMLメールやめろよって思うわ

0131名刺は切らしておりまして2023/02/09(木) 15:04:10.36ID:TLIX3bZP
>>127
横から失礼
うちはあやしいリンクは踏まないように言われてる
あやしいって定義は難しいが
あと、HTMLメールは送らない、受けてもHTMLで表示しない、ってルールでやってる

0132名刺は切らしておりまして2023/02/09(木) 20:20:42.67ID:kZpOB3Zv
HTMLメール送る奴に限って半角カナ使うから困る

0133名刺は切らしておりまして2023/02/10(金) 00:13:15.64ID:O3Mrv/SH
>>131
いまだにそんな20世紀対応してるのかよw

0134名刺は切らしておりまして2023/02/10(金) 07:40:28.95ID:fkZhpn0T
>>131
こういう化石ルールでセキュリティ守れてると思ってる化石企業がPPAP使い続けてるのよね

0135名刺は切らしておりまして2023/02/10(金) 08:33:19.41ID:cds51X7Q
今やメールが安全性が著しく低いサイバーアタックの入り口ツールになっちゃった
ヒューマンエラー多すぎるからな

0136名刺は切らしておりまして2023/02/10(金) 12:59:46.51ID:xdxqTiqD
むかし仕事の依頼で、まあ大昔だがメールシステムの刷新の依頼がきて
でかすぎてやらなかったが、その弊害が出たか

潜水艦護衛艦の設備開発はしたが

0137名刺は切らしておりまして2023/02/10(金) 23:23:35.74ID:LQwqgkNA
あいはぶあぺーん あいはぶああぽー うん! あぽーぺーん

0138名刺は切らしておりまして2023/02/12(日) 08:07:42.61ID:BrsD9/t8
うちの会社PPAP廃止を宣言して何百万も掛けて全社にファイル交換導入したわ

社員や取引先がユーザー登録するのに実働60日かかる産廃だから誰も使ってないが

0139名刺は切らしておりまして2023/02/12(日) 16:46:05.29ID:IY5Tx52R
>>138
たまにいるよね、ダメダメな会社に勤めてる自慢する謎な人

0140名刺は切らしておりまして2023/02/13(月) 08:09:26.35ID:W4P4wAvm
>>138-139
どっちの言い分も分かるよ。
客先にアカウント作らせたり、さらには先方の情シスにフィルタの設定変えもらわないといけないやつは
やっぱり本格運用までもってくのは相当に厳しいわ。
会社的にはこの仕組み入れたからこれでどうにかしろって感じだけも、
現実問題それで受け取れないんだからどうしろと言うんだみたいなケースはある。

0141名刺は切らしておりまして2023/02/16(木) 23:27:44.88ID:QiNPeqAn
>>8
情報漏洩

0142名刺は切らしておりまして2023/02/17(金) 21:44:24.33ID:SFhlGWin
ピコ太郎「PPAP」×YMO「Solid State Survivor」
https://youtu.be/tEJmtGN98NA

0143名刺は切らしておりまして2023/02/24(金) 00:21:08.89ID:tW3AR1uf
アポーペーン?

0144名刺は切らしておりまして2023/02/28(火) 13:50:24.49ID:BteyLrgp
日本のセキュリティークリアランスが、脆弱なのは、日本のIT産業が、世界にくらべて、どうしようも無いほど、遅れてしまっているからです。日本のIT産業がこれほど遅れてしまったのは、NTTの既得権、利権にがんじがらめにされて、IT産業そのものが、長い間、成長出来なかったからです。日本にまともなセキュリティークリアランスが欲しいのなら、NTTの既得権、利権をぶち壊して、日本のIT産業が成長するのを、これから長く待つしかありません。高市早苗が命を賭けたからと言って、どうにかなる問題では無いのです。だいたい高市早苗自身が、NTTの既得権、利権にしがみ付いている寄生虫です。高市早苗は、NTTに勤めている菅義偉の息子に接待を受けています。

0145名刺は切らしておりまして2023/02/28(火) 22:19:00.89ID:cIFu1xCv
誰も読まんぞんなもん

0146新規スレ立て人募集 社説+の募集スレまで2023/03/10(金) 10:04:46.89ID:02TpZGPy
ピコ太郎

0147名刺は切らしておりまして2023/03/22(水) 00:05:43.78ID:NQWZjVwa
オンラインストレージに間違ってファイルあげるのやめてくれ

■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.4 2024/05/19 Walang Kapalit ★
Donguri System Team