日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了
コメント
選択しているユーザー
Kleopatora、というかPGP使えばいいじゃん。
過去にはダブルバイト文字コード(日本語含)の乱立による文字化けやらRSAライセンス料と米国のCOCOM/ワッセナーアレジメント関連による輸出規制からこういう折衷案が広まったのでしょうが、RSA特許は既にパブリックドメイン(RSAが特許放棄、期限切れに非)だし、文字コードもUTF(≒Unicode)で取り回しの問題無くなったし、安保問題は少なくとも表面上は過去の話(米憲法修正1条による印刷出版によって回避、言論と出版の自由は大切)です。
GUIにしろCUIにしろクライアント間に適当なツールを入れてる事が利用前提にはなりますが、ベンダ謹製ソフトを導入する時点で手間は同じだし少なくとも安上がりでより安全。
ツール群の日本語サポートが比較的弱いのと既に収益化してしまってる本邦ソリューションベンダ(SIer)が色々トロいのが普及しない要因と考えてますが、この辺りも自分で翻訳して導入すれば良い話だし。。
国内ではセキュリティアナリストは多くとも暗号/復号化分野の専門エンジニアが少ない(構文読解と論理的解釈で何とかなるPG作業と異なり暗号/複号理論の理解にはある程度の数学と計算機科学の理解が必要、文系エンジニア主流の日本では正確に解釈できる絶対数が少ない)事も普及の障害となってる気がしないでもないですが、ともかくPPAP問題は日本のIT業界七不思議です。
p.s.平文別パスワードはそもそも暗号化の主目的を果たしてないので論外ですが、OS標準搭載で(=シェルスクリプトで触れる≒ベンダの簡易ツールに導入し易い)広く使われているであろうZIPのTraditional PKWAREなんかは実質パスロック機能を提供してるに過ぎず、これもまた適切な知識とツールを備えてれば破れるので市中がイメージしてる暗号化のニーズを満たしていません。
最近現れた第三のアプローチであるクラウドベースのSaaS化というのも、経路とペイロード改変の担保をブラックボックス化してしまうため、理論上はベンダ抜き取りのリスクを排除できません。
(そのサービスがMozilla財団のように非営利,非政府組織による不特定多数によって運用監視されてるならアリでしょうが..)
よって、P2P方式によるPGPエンクリプションが最も確実なソリューションでしょう。
注目のコメント
これは良いニュース。
数年前からIT界隈では常識で、「むしろセキュリティ的に良くない」と言われていたのだけれども、セキュリティを守っている企業であるという証明の「プライバシーマーク」において、PPAPが必要だから、ということで、企業ルールに導入されてたところが多かったのよね。
ところが昨年、プライバシーマーク認証団体が、「以前から推奨していない」って声明を出した
“Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」
https://www.itmedia.co.jp/news/articles/2011/19/news164.html
この流れで、「じゃあ何のためにPPAPをやってるんだ」って流れになってきたところ。この流れを受けて日立が全面禁止に持っていったのは非常に良いこと。他のベンダー企業も続いてほしいし、こういう「お気持ちセキュリティ対策」はどんどん滅んで欲しい
【おまけ】
日立さんにPPAPでメール送ってからNewsPicks開いたらこれがおすすめで届いててめっちゃ焦った>< 4月からを検討中とのことです。このPPAP問題、ずっと気になってるんですが、どなたか良い代替案を教えて欲しいです。
IT系の記事を読んでも代替案が見つからないです。
日本の企業社会で、いまさら裸のままファイルを送信すると相手側から「常識」を問われます。
その発想がIT界隈では非常識であったとしても。秘文は暗号化四天王の中でも最強の方だったと思いますがこれで流れは決まりましたかね。
他、関連記事です。
- 2020-10-24 CISA がEmotet Malwareに対するMitigations の一つとして記載 "Block email attachments that cannot be scanned by antivirus software (e.g., .zip files)."
https://us-cert.cisa.gov/ncas/alerts/aa20-280a
- (2020-11-17) 霞が関でパスワード付きzipファイルを廃止へ
https://news.yahoo.co.jp/articles/53450f94e77428bca505329163d4de2e2fd53a2e
- (2020-11-18) フリー、パスワード付きファイル削除 標的型メール対策
https://www.nikkei.com/article/DGXMZO66373010Y0A111C2XY0000
- (2020-11-19) “Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」
https://www.itmedia.co.jp/news/articles/2011/19/news164.html