設置公開<2010年7月23日>
主として、パソコン関係の話題。
その他、雑談、情報、愚痴話、自慢話、自説等々。
主旨は、閲覧の皆様に、一寸でも手助けが出来れば、
ご参考になればと、投稿賜りたく。
<不適切投稿は、削除します>
<投稿文は、【シバケンの天国別邸】に掲載します>
本家【シバケンの天国】
アクセス推移、ランキング、迷惑投稿公開、<趣意書>
内閣府が「自動暗号化ZIPファイル」26日廃止 - 磯津千由紀(寫眞機廢人)@ThinkPad T520(Win10Pro64bit)
2020/11/24 (Tue) 23:09:44
こんばんは。
機密資料をを電子メールで送ること自体、私の会社員時代には考えられぬことでした。
一応、此れまでも平文でなく暗号化してたことは、評価できます。
> 平井卓也デジタル改革担当相は24日の閣議後記者会見で、省庁職員がメールにファイルを添付して送信する際に、暗号化した上でパスワードを別のメールで送る「自動暗号化ZIPファイル」を26日に内閣府と内閣官房で廃止すると明らかにした。パスワードが記載されたメールを同じ経路で送ることを問題視し「セキュリティー対策としても、受け取る側の利便性の観点からも適切でない」と説明した。
> デジタル政策へのアイデアを募る「デジタル改革アイデアボックス」に多くの意見が寄せられ、対応を検討していた。
> 代替策は決まっておらず、民間企業の動きも参考にしながら望ましいセキュリティー向上策を検討するという。暫定的な対策として「(パスワードを)電話で教える」と例示した。他省庁の状況も実態調査を進める。(共同)
<平井デジタル担当相、暗号化メール26日廃止 セキュリティー向上策検討(毎日新聞有料記事、11月24日)>
https://mainichi.jp/articles/20201124/k00/00m/010/346000c
Re: 内閣府が「自動暗号化ZIPファイル」26日廃止 - 磯津千由紀(寫眞機廢人)@ProOne 600 G1 AiO(Win10Pro64)
2020/12/16 (Wed) 01:04:58
<「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia、11月24日)>
こんばんは。
無意味に近いことに加えて、暗号化されていると電子メール受信時にセキュリティーチェックができないことが問題のようです。
> 政府や企業が相次いで、メール送信時における「パスワード付きZIPファイルの添付」の廃止を検討しています。パスワード付きZIPファイルの添付をなんとなく「悪いこと」とは理解しつつも、厳密に「何が悪いのか」が分からない方に向け、理由を説明します。
> 平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。
> この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に「メールによるパスワード付きファイルの受信を廃止する」と発表しました。メールは、当然ですが受信者がいれば送信者がいます。そのため“受信しません”と表明をすることは重要でしょう。
> freeeは今後、パートナー企業や取引先からのZIPファイル付きメールを添付ファイルを削除して受信するとのことです。本文はそのまま維持されるため、これで困ることはないと思われます。
> プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、2020年11月18日に「メール添付のファイル送信について」を公開し「プライバシーマーク制度としてもパスワード付きファイルの送信は、個人情報の漏えいを招くため従来より推奨していない」と明言しました。
> ところで、世論の動向を受けてパスワード付きZIPファイルの添付をなんとなく「悪いこと」であるとは理解しつつも、厳密に「何が悪いのか」を説明できる人は少ないように思えます。セキュリティは対策手法だけでなく「なぜその方法が有効か」を学ぶことが重要です。本稿でパスワード付きZIPファイルの添付をやめる意味を考えてみましょう。
> パスワード付きZIPファイルは無意味? 3つの理由を説明
> 当たり前ですがパスワード付きZIPファイルは、パスワードがなければ開けないため、パスワードを知られなければ誰にも見られません。しかしWindowsでパスワード付きZIPをダブルクリックすると、パスワードなしでディレクトリ構造やファイル名を確認できます。この点だけでもパスワード付きZIPファイルは、完全な「暗号化」ではないと理解できると思います。
> パスワード付きZIPファイルは、パスワードを知らなくても入力を何度でも試行できる点にも注目しましょう。通常のWebサイトであればパスワード入力が何度も実行された場合、ロックをかけることも可能です。一方でZIPファイルは、パスワードを総当たりすればいつかは解除できてしまう可能性がありますし、ZIPパスワードを無理やりこじ開けるアプリも数多くリリースされています。
> 最も深刻な問題は、メールのセキュリティ機構をすり抜けることです。企業が導入するようなメールのセキュリティソフトは、メール本文に書かれたURLや添付ファイルのスキャンを実施します。
> セキュリティソフトの中には、マクロを含む「Microsoft Word」ファイルだった場合、マクロにマルウェアが仕込まれているかどうかを直接スキャンして確かめたり、ZIPファイルの中身を展開してスキャンしたり、実行ファイルをサンドボックスで疑似的に実行させて挙動を見たりするものもあります。
> 一方でこれらのセキュリティソフトは、パスワード付きZIPファイルを展開できなかったり、中にはパスワード付きZIPファイルをスキャンせずにスルーするものもあります。攻撃者にとってここが絶好の「穴」です。実際にマルウェア「Emotet」の感染拡大手法においては、パスワード付きZIPファイルを利用した攻撃事例も観測されています。
> 以上の理由からZIPファイルは、パスワードを付けずに添付して送信した方がむしろ安全かもしれません。しかし、その際には「誤送信」のリスクも発生するため、それに向けた対策を講じる必要があるでしょう。
> 重要なのはやめることではなく「何に代替するか」
> パスワード付きZIPファイルの添付をやめることは大切ですが、問題はその後どうやってファイルの送受信を実施するかです。これについては、デジタル相やfreeeも触れていません。JIPDECは「送信先や取り扱う情報などを踏まえてリスク分析を実施した上で、必要かつ適切な安全管理措置を講じてほしい」という表現にとどめています。
> 代替策を考えるとすれば、定石は「クラウドストレージを利用して適切にアクセス権を設定する」でしょう。これを実現するためには、自社においては「クラウドストレージにアップロードしていいかどうか」を判断するポリシー策定が必要です。取引先に対しては、自社と一緒のサービスを利用してもらうための調整が発生します。
> クラウドストレージサービスの利用においてはセキュリティを考慮し、ファイル共有のURLを「期限付き」に設定するといった工夫により、利用範囲を狭めた運用が必要です。アクセス数やダウンロード数の確認ができる方法が望ましいため、個人向けではなくエンタープライズ向けの監査機能を持つクラウドストレージサービスを利用しましょう。
> 短期的には、確実な暗号化が不要であればそのままファイルを添付してメールを送信する運用も現実的です。もちろん自社と送信先ともに、添付ファイルをスキャンするメールセキュリティソフトを導入していることが前提です。
> 実際のところ、パスワード付きZIPファイルの添付は、パスワードもメールで送信している以上、添付ファイル付きメールが“盗聴”された場合、パスワードも“盗聴”される可能性が高いため、手間がかかる割にほとんど意味がありません。本当にその情報を知られたくないのであれば、異なる手法で確実な暗号化を実施した方がいいでしょう。パスワード付きZIPファイルのような無意味な運用を少しでも減らし、効率的に業務を進めていきましょう。
> 著者紹介:宮田健(みやた・たけし)
> 元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
> 2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。
https://www.itmedia.co.jp/enterprise/articles/2011/24/news020.html#utm_source=ent-mag&utm_campaign=20201125
Re: 内閣府が「自動暗号化ZIPファイル」26日廃止 - 磯津千由紀(寫眞機廢人)@ProOne 600 G1 AiO(Win10Pro64)
2020/12/16 (Wed) 01:20:53
<平井大臣が廃止求めた「PPAP」、クラウド移行の壁を突破するには(日経クロステック Activeメール、11月30日)>
こんばんは。
電子メール中の短縮URLは展開してあります。
> ここ最近「PPAP」という言葉が流行中だ。4年前に大ヒットしたピコ太郎の「ペン
> パイナッポーアッポーペン」ではない。「Password付きZIP暗号化ファイルを送り
> ます・Passwordを送ります・An号化(暗号化)・Protocol」の略だ。パスワード付き
> ファイルをメールで送り、パスワードを別送する――という効果が薄いのに日本の職
> 場にはびこる“セキュリティ対策”を揶揄(やゆ)している。
> PPAPが注目を集めたのは、平井卓也デジタル改革担当相が11月17日に「中央省庁で
> パスワード付きZIPファイルのメール送信(PPAP)を廃止する」との方針を表明した
> のがきっかけ。同26日には、内閣府と内閣官房でPPAPを取りやめた。代替手段となる
> のが、ストレージサービスでのファイル共有だ。
> 今後、民間企業も同様の流れになっていくはずだ。中央省庁がどのサービスを使う
> のかは明らかにしていないが、民間企業ではクラウドサービスを使うのが現実的だ。
> ただ、クラウドサービスの導入では
> ◆机上検証は済んだのに、PoC(概念実証)やパイロット導入に着手できない
> ◆ベンダーへの依存度が高く、プロジェクトを進めるのに時間がかかる
> ◆セキュリティ面でのリスク判断がつかない
> といった壁にぶつかり、プロジェクトが停滞してしまうケースが多い。以下の記事で
> はクラウド導入の阻害要因を10個に分類し、解決する方法論を解説する。
> ●戦略的クラウド移行の「10の阻害要因」と、それを解決する具体策とは?
https://active.nikkeibp.co.jp/atcl/sp/b/20/10/08/00341/?n_cid=nbpnxta_mled_pls
> ★デジタル変革、クラウド移行、データ活用のヒントが満載!ほかの記事はこちら
https://active.nikkeibp.co.jp/ft/aws01/?n_cid=nbpnxta_mled_pls
Re: 内閣府が「自動暗号化ZIPファイル」26日廃止 - 磯津千由紀(寫眞機廢人)@ProOne 600 G1 AiO(Win10Pro64)
2020/12/16 (Wed) 02:36:16
ぎょうむれんらく:
最後のURLの上に挿入された空白行を削除願います。
Re: 内閣府が「自動暗号化ZIPファイル」26日廃止 - シバケン
2020/12/16 (Wed) 07:53:05
ハイ、
しかるべくの、処置致しましたです。