実践企業3社の情シスが語る 「脱PPAP」を従業員と取引先から理解を得て進めるコツ
実践企業3社の情シスが語る 「脱PPAP」を従業員と取引先から理解を得て進めるコツ:PPAPをやめたい企業のホンネが明らかに 「パスワード付きZIPファイルの添付」いわゆる「PPAP」からの脱却を目指す動きが民間企業の間で盛んになっている。「脱PPAP」を実現した3社の情報システム部門担当者が集まり、実現までの道のりを本音で語り合った。 電子メールに暗号化したZIPファイルを添付してパスワードを別送するビジネス慣習、いわゆる「PPAP」は“セキュアにファイルを送信する手段”としてこれまで普及してきた。 しかし、PPAPは暗号化したファイルとパスワードを同一経路で送るためセキュリティ対策として有効ではない。パスワード付きZIPファイルはウイルス対策ソフトで検知できないという特徴によって、「Emotet」などのマルウェアに悪用されるケースも増加した。スマートフォンで受信しても添付ファイルが開け
日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ:日立
2021年10月8日 株式会社日立製作所 日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。 パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず、受信者/送信者の日立グループ従業員に対して、配送を抑止した旨がメールで通知されることとなります。 お客さまおよびお取引先さまにおかれましては、日立グループとのデータの授受の方法につきまして、適宜担当者にご相談頂けますと幸いです。 弊社施策に対するご理解とご協力を賜りますよう、何卒よろしくお願いいたします。 背景 従来、通称PPAP*は、多くの人が利用可能で通信経路上の暗号化を保証する方式として日立グループにおいても利用されてきました。しかし、すでに暗号方式としてセキュリティを担保できるものでなく、昨今はパスワード付き
これから日本の大組織が悩む、自動暗号化Zipファイルの代わりをどうすべきか問題|楠 正憲(Japan Digital Design CTO)
内閣府・内閣官房がメールサーバーの設定を変更して添付ファイルを自動的に暗号化Zipに変換する仕組みを停止させた。情報処理学会の機関誌『情報処理』が7月号で暗号化Zipメールの小特集を組み、10月に入ってデジタル改革アイデアボックスに暗号化Zipの添付廃止が提言され、11月24日平井卓也デジタル大臣が記者会見で自動暗号化ZIPファイルと同一経路を使ったパスワード別送の廃止を表明、翌25日から内閣府・内閣官房のメールサーバーの設定が変更された。 電子メールの添付ファイルの自動暗号化Zip化は、金融機関や通信キャリアなど日本を代表する組織の多くで現在も使われていることから、今後、各組織で暗号化Zipファイルを廃止すべきか否か、議論が進むものと考えられる。 暗号化Zipファイル添付の何が悪かったのか自動暗号化Zipファイルの問題は、データを保護する上で全く効果がないにも関わらず、サンドボックスによ
座談会 「社会からPPAP をなくすには?」|情報処理学会・学会誌「情報処理」
小特集「さようなら,意味のない暗号化ZIP添付メール」より 崎村夏彦(NAT コンサルティング) 大泰司章(PPAP 総研) 楠 正憲(国際大学Glocom) 上原哲太郎(立命館大学) 背景はこちらの記事をご参照ください. 長文の記事です.分割して読みたい方は,こちらからどうぞ. PPAP の定義 崎村:さて,本日は「社会からPPAP をなくすには?」というテーマで座談会を行いたいと思います.アジェンダですが,PPAP の定義,PPAP 賛成の論拠への反論,より良い方策を議論します.まずPPAP の定義ですが,オフラインで鍵を共有するのもPPAP だと思っている方もいらっしゃるようなのですけれども,それは違いますよね. 大泰司:1 通目にZIP を暗号化して添付ファイルを送って,2 通目でパスワードを送るというやり方です.2 つの軸があって,パスワードを同じ経路を送るか,違った経路で送るか
「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。 この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に「メールによるパスワード付きファイルの受信を廃止する」と発表しました。メールは、当然ですが受信者がいれば送信者がいます。そのため“受信しません”と表明をすることは重要でしょう。 freeeは今後、パートナー企業や取引先からのZIPファイル付きメールを添付ファイルを削除して受信するとのことです。本文はそのまま維持されるため、これで困ることはないと思われます。 プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、2020年11月18日に「メール
“Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」
一般財団法人日本情報経済社会推進協会(JIPDEC)は11月18日、パスワード付きファイルのメール送信について、誤送信した場合に情報の漏えいを防げないなどとして「以前から推奨していない」とする公式見解を発表した。 パスワード付きファイルをメールに添付する場合、ファイルとパスワードをそれぞれ別メールで送る場合がある。こうした慣習を「Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)Protocol(プロトコル)」の頭文字を短縮し、セキュリティの世界ではPPAPと揶揄(やゆ)することが多い。 17日に平井卓也デジタル改革担当相が、霞が関でいわゆるPPAPを廃止する方針を示したことを受け、JIPDECに「zipファイルがダメなのか」などの問い合わせが複数寄せられたという。 JIPDECは事業者の個人情報の取り扱い体制について評価・認証する「プライバシーマ
)
PPAP (セキュリティ) - Wikipedia
PPAP(ピーピーエーピー)はコンピュータセキュリティの手法の一つ。 名称[編集] 「Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)Protocol(プロトコル)」の略号である[1]。 日本情報経済社会推進協会に所属していた大泰司章(おおたいし あきら)(現・PPAP総研)が問題提起し命名した[2]。ピコ太郎の『PPAP』(ペンパイナッポーアッポーペン)の響きが「プロトコルっぽい」と言う人がいたことから大泰司が命名のヒントを得た[3]。PPAPという用語は『日本情報経済社会推進協会』の発行する文書にも使われている[4]。 具体的な方法[編集] PPAPによるファイルの送受信は、次のような段階によって行われる。 送信者は、ファイルをパスワード付きzipファイルで暗号化し、メールに添付して送信する。 送信者は、1.で送信した添付ファイルのパスワ
第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | デジタル・フォレンジック研究会
第595号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授) 題:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 皆さんの組織でも、重要な情報を含むファイルをメールで外部に送付する際に、その漏洩防止等のため、何らかのルールを設けておられるところが多いのではないかと思います。その中で非常によく見かける方式に、このようなものがあります。 ①添付するファイルをあるパスワードを使って暗号化zipファイルにする。 ②そのファイルをメール添付して送信する。 ③続いてそのパスワードをメール送信する。 私が見聞きする限り、多くの日本企業や組織がこのようなファイル送信法をセキュリティ強化策と信じて」内規で義務づけたり、自動化システムを導入したりしています。しかしこの種のメール、少し考えるだけでセキュリティの観点からは効果がないことは明らかです。同一経路でファイルとパスワードを送
「メールの添付ファイルにパスワードかけて、別メールでパスワードを送る」に言いたいこと - 病みつきエンジニアブログ
(2015/8/29追記) 最初に代案だけ書いておくと、(メールで送る程度の秘匿性のものは)「Proself」みたいな別プロトコルを使う、です。 メールパスワードでは、パスワードに規約をつけることもできません。 また、この話は企業等においてのルール化の話です。 ファイルをZIPで暗号化し、まずZIPをメールで送り、しばらくして別メールで8文字程度の乱数パスワードを送るという謎のプロトコルが日本企業で流行っているが、ZIPのパスワードは総当たりでかなり高速に解析できるし、そもそもパスワードをメールで送っているので効果が疑問。— Daiyuu Nobori (@dnobori) June 17, 2013 もう何年前のネタなんだろうという感じでもあるのですが、2015年現在もこの慣習はなくなっていないように感じます。 実際社会人になってからも、残念なことに一度言われたことがありますし(受け売り
個人証明書を作ろう~S/MIMEでメールに電子署名と暗号化を、サーバーにはクライアント認証を~
~S/MIMEでメールに電子署名と暗号化を、サーバーにはクライアント認証を~ 個人証明書を作成しましょう。 この個人証明書で電子メールの代表的な暗号化方式S/MIME(Secure MIME)を利用できるようになります。 PostfixのSSL化でもメールの暗号化は行われましたが、S/MIMEとは本質が違います。 メールサーバーのSSL化というのは、あくまでもメール経路の暗号化に過ぎません。 ですからユーザーからサーバー間は暗号化できますが、サーバーから相手サーバー、相手サーバーからメールの送信相手までの経路は暗号化されていなかったわけです。 これに対しS/MIMEの場合はメールそのものを添付ファイルまで含めて暗号化しますから、相手が復号するまでは完全に暗号化されています。 S/MIMEを利用できれば、メール本文に関してはPostfixのSSL化は必要ないと言えます。(でもSMTP-AUT
オレオレCAのオレオレ証明書でSMIME
opensslの導入 Shining Light Productions - Win32 OpenSSLから"Win32 OpenSSL v0.9.8d"をダウン ロードしてインストールします。 前準備 opensslの設定ファイルの修正など > mkdir c:\temp\myCA > cd c:\temp\myCA > copy c:\openssl\bin\openssl.cnf . > PATH c:\openssl\bin;%PATH%; > set HOME=c:\temp\myCA > set SSLEAY_CONFIG=-config c:/temp/myCA/openssl.cnf コピーした openssl.cnf を修正します。以下に修正内容をdiff形式で示します。 --- openssl.cnf.orig Fri Sep 16 08:20:24 2005 +++
エンタープライズ:セキュリティ How-To 第4回:「PGPでメールを暗号化する」
PGPはフリーソフトウェアで配布されているバージョンもあり,簡単に使えるメール暗号化ツールだ。普通にメールを送受信しているだけでは盗み読みされる可能性もあるし,PGPで暗号化してメール送信すれば,個人間の情報交換が確実に行えるメリットもある。メールのセキュリティを確保したいなら是非とも利用しよう。 ●メールが盗み読みされる? 第1回,第2回の「メールの安全性を考える」では,電子メールをハガキにたとえて解説してきたが,中には「目には見えないデータなんだから安全なはず,ハガキでなく封書なのでは?」と思った人もいるだろう。確かに,メールが第三者に見られるかもしれないということは想像しくいもかもしれない。しかし,たとえば会話の盗聴についてはどうだろう。よくテレビなどでも取り上げられ,なにかと話題になることも多い。「もしかして自宅にも盗聴器が…」という危機感を持ったこともあるはずだ。 話が脱線してし
電子メールの暗号化について
1 電子メールの危険性 電子メールは,郵便で例えると葉書のようなものです。文面がさらけだされた状態で不特定多数の人に見られるものです。電子メールは,オープンな環境で用いられることを目的に作られた仕組みですので,次のような危険性があります。 傍受・・・複数のメールサーバを介して送られるため,サーバ上やネットワーク上でメールの内容を見られてしまう可能性があります。 改ざん・・・メールの内容を書き換えられてしまう可能性があります。 なりすまし・・・第三者のメールアドレスを偽ってメールを送信することができます。 校務で電子メールを利用することが多くありますが,このような危険性に対処する必要があります。個人情報を保護するための一つの方法として,データを暗号化することが考えられます。 2 暗号方式の仕組み 上記のような電子メールの危険性に対処するため,メールを暗号化します。暗号方式には,秘密鍵暗号方式
暗号化メール(PGP)を巡る諸々
仕事で暗号化メール(PGP)を使う必要があっていろいろ調べておるのですが, どうにもサポート状況がメーラー(やそのプラグインなど)によってまちまちで 気軽に使えるものでもなさそうです. あまりまとまりがないですが,調べた範囲のことをメモしておこうと思います. PGPに関連するソフトウェア GnuPG OpenPGPの実装の一つです. Gpg4win Windows用のGnuPGとそのフロントエンドを含むパッケージです.このページでは安定版である2.3.3と,ベータ版である3.0.0-beta187を使って検証しています. GpgOL Gpg4winに含まれるOutlook拡張です.現在の安定版であるGpg4win 2系に付属するものと,ベータ版である3系に付属するもので動作が大きく異なります. Enigmail ThunderbirdでPGPを使えるようにする拡張です. Sylpheed
公開鍵暗号方式のPGPを使ってみよう No1 重要メール暗号化してますか? - [企業のIT活用]All About
個人情報など漏洩したら大変な情報を暗号化するには 個人情報など漏洩したら大変な情報を本文や添付ファイルでメール送信していませんか?漏洩しても影響が出ないようにするには暗号化が必要です。では実際に暗号化メールを送るにはどうしたらよいのでしょうか? 重要なメールは暗号化して送っていますか? 先日、アドバイザーが卸業を営んでいる会社を訪問したところ、複数の営業所から表計算で作成した個人情報をそのままメールに添付し本社へ送っていました。 「社長さん、何で暗号化して送らないのですか?」 社長:「えっ、そんなことする必要あるのですか?」 「インターネットに接続して本社へメールしているだけでしょう。もし担当者がアドレス帳の宛先選択を間違え取引先へ送ってしまったら、どうするんですか?」 社長:「確かに間違えて受け取った相手が添付ファイルを開いてしまったら個人情報漏洩になってしまうな。大変だ!何かよい方法は
![公開鍵暗号方式のPGPを使ってみよう No1 重要メール暗号化してますか? - [企業のIT活用]All About](https://cdn-ak-scissors.b.st-hatena.com/image/square/c17219187da897697f2df6dafb353c59f9d1e0e3/height=288;version=1;width=512/https%3A%2F%2Fimgcp.aacdn.jp%2Fimg-a%2F1200%2F900%2Faa%2Fgm%2Farticle%2F2%2F9%2F6%2F7%2F4%2F8%2F201605191500%2Ftopimg_original.jpg)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには
オレオレCAのオレオレ証明書でSMIME(2)
S/MIMEで暗号化 - Qiita
Free OpenPGP Addin for Windows Desktop, Outlook E-mail
Encrypting email in Office 365 with PGP