登壇者の紹介 平野善隆氏(以下、平野):「ここが変だよPPAP」ということで、進めます。まずは登壇者の紹介です。私、平野が株式会社クオリティアから来ました。メールに関しては1900年代後半からいろいろといじっていまして、PPAPを最初に見たのが、2000年前半ぐらいです。 そのあと当社、当時のトランスウェアに入り、いろいろなメールのソフト、サービスを作っていく中で、PPAPをもしかしたら普及させてしまったかもしれない誤送信防止のソフトやツールなどの、プロダクトマネージャーをしていました。 そういう意味で、PPAPの立場としてはなかなか複雑です。しかし、「止めたほうがいいよ」とも、「おもしろいよ」とも、どんな話もできる立場で、このセッションは「ちょっと変だよ」と技術的にディスりながらしたいと思っています。次はVadeの関根さん、お願いします。 関根章弘氏(以下、関根):Vade Secure
「Pマーク取得に必要だから」は都市伝説? “PPAP”をめぐる謎を、名付け親に聞いた:パスワード付ZIPメール(1/3 ページ) 11月、平井卓也デジタル改革担当相が、中央省庁でのパスワード付きZIPファイルの使用を廃止する方針を打ち出しました。これを機に、パスワード付きZIPファイルをメールに添付して送り、その直後にやはりメールで解凍のためのパスワードを送る「PPAP」──すなわち「Password付きZIPファイルを送ります、Passwordを送ります、An号化(暗号化)、Protocol」と呼ばれる方式に反発する声があちこちで沸き起こっています。 PPAPは多くの企業で「プライバシーマークの取得やISMS認証に必要だから」といった理由から横行してきた、といわれています。しかし後述する通り、この理由には明確な根拠が見つかりません。その上、セキュリティの効果はあまりないにもかかわらず、メ
メールでZipファイルを送って次のメールでパスワードを送るという無意味より悪いセキュリティ対策が問題になっている。なぜ無意味より悪いかというと,Zip暗号化は強度が十分でない上に,次のメールで送るパスワードは無意味で,さらにゲートウェイでのウイルス対策ができなくなるのでウイルス送付に利用されやすいためである。 PythonでZipファイルを展開する方法は文字コードのところに書いたが,同様にしてパスワードをブルートフォースで破ることも原理的には可能である。4桁数字のパスワードで暗号化した test.zip をクラックするには次のようにすればよいであろう: from zipfile import ZipFile with ZipFile('test.zip') as z: for i in range(10000): pw = f'{i:04d}' try: z.setpassword(pw.
平井卓也デジタル改革担当相は24日の閣議後会見で、省庁職員がメールにファイルを添付して送信する際に、暗号化した上でパスワードを別のメールで送る「自動暗号化ZIPファイル」を26日に内閣府と内閣官房で廃止すると明らかにした。パスワードが記載されたメールを同じ経路で送ることを問題視し「セキュリティー対策としても、受け取る側の利便性の観点からも適切でない」と説明した。 デジタル政策へのアイデアを募る「デジタル改革アイデアボックス」に多くの意見が寄せられ、対応を検討していた。 代替策は決まっておらず、民間企業の動きも参考にしながら望ましいセキュリティー向上策を検討するという。暫定的な対策として「(パスワードを)電話で教える」と例示した。他省庁の状況も実態調査を進める。
PPAP(ピーピーエーピー)はコンピュータセキュリティの手法の一つ。 名称[編集] 「Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)Protocol(プロトコル)」の略号である[1]。 日本情報経済社会推進協会に所属していた大泰司章(おおたいし あきら)(現・PPAP総研)が問題提起し命名した[2]。ピコ太郎の『PPAP』(ペンパイナッポーアッポーペン)の響きが「プロトコルっぽい」と言う人がいたことから大泰司が命名のヒントを得た[3]。PPAPという用語は『日本情報経済社会推進協会』の発行する文書にも使われている[4]。 具体的な方法[編集] PPAPによるファイルの送受信は、次のような段階によって行われる。 送信者は、ファイルをパスワード付きzipファイルで暗号化し、メールに添付して送信する。 送信者は、1.で送信した添付ファイルのパスワ
井二かけるの追い解説 今回の漫画のテーマは、ITエンジニアの間でしばしば批判される「後続メールでのパスワード別送」です。 ここでいう「後続メールでのパスワード別送」とは、メールで添付ファイルを送付する際、添付ファイルをパスワード付きzipとし、後続メールでパスワードを送付するという方式です。 現在、情報セキュリティ対策の一環として、「後続メールでのパスワード別送」を採用する企業が数多く存在します。漫画のようにパスワード別送をシステムで自動化している企業も少なくありません。 では「後続メールでのパスワード別送」は何が問題なのでしょうか。代表的な2つの点を挙げます。 1.後続メールでパスワードを別送しても、セキュリティはほぼ向上しない 電子メールはその仕組み上、基本的に相手に届くまでに複数のサーバを経由します。メール送信にTLS/SSLを用いても、暗号化が保証されるのは自分が使用しているメール
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く