なぜ「PPAP」運用は危険なのか?
社内社外を問わずビジネスにおける連絡手段としてメールが主流となっている現在、さまざまな書類を始めとした各種データのやり取りも、メールの添付ファイルによって行われるのが通例となっている。そして多くの企業や組織では、添付したデータの内容が漏洩しないよう、主に社外にファイルをメール送信する際に、パスワード付き圧縮(zip)ファイルで暗号化した上で送信することをルール化している。しかしここに来て、こうした「パスワード付きzipファイル」によるファイル転送手法は「PPAP」と揶揄(やゆ)され、そのセキュリティリスクが指摘されているのをご存知だろうか?
「PPAP」とは、「Password付きzipファイルを送ったあとでPasswordを送り、An号化(暗号化)したつもりになるProtocol(プロトコル)」とその運用を揶揄(やゆ)する造語*であり、PPAP運用によるファイルのやり取りは、以下のような流れが一般的だ。
一般財団法人日本情報経済社会推進協会(JIPDEC)インターネットトラストセンター企画室長の大泰司章氏が命名したとされている。
- 送信者は、添付ファイルをパスワード付きzipファイルで暗号化し、メールに添付して送信する。
- 送信者は、1.で送信した添付ファイルのパスワードを、別途メールにて送信する。
- 受信者は、送信者から受け取った添付ファイルとパスワードによってファイルを復号化し、中身を得る。
2020年11月17日の記者会見で、平井卓也デジタル改革担当大臣は今後中央省庁でこのPPAP運用を廃止すると発表しており、これに呼応して企業の間でも“脱PPAP”の動きが広がっている。では、PPAP運用はなぜセキュリティ的にNGなのだろうか?
からの記事と詳細 ( PPAP禁止 待ったなし!? 急がれる、安全なファイル送信手段とは - ZDNet Japan )
https://ift.tt/3pViv8P
No comments:
Post a Comment