わかっちゃいるけど止められない
ちょうどPPAPネタでコラムを書こうと思っていたところに、Ahfさんに先を
越されてしまったので、乗っからせてもらうことにしました。
いうまでもありませんが、メールで添付ファイルを送る際、パスワード付zip
で暗号化して送信。次にそのパスワード別のメールで送信。受信者は先に届
いたzipを次に届いたパスワードで解凍。
「Password付zipファイルを送ります。Passwordを送ります。暗号化プロ
トコル」略してPPAP。
何年か前に流行り始めて、最近では暗号化とパスワード送信を自動化するツー
ルで送られてくるメールも増えてきました。一方で、PPAPはセキュリティを
高めるどころか、手間をかけて危険度をあげている、という批判も多く聞か
れるようなりました。そしてようやく一昨年、官庁がPPAP廃止の方針を発表
し、Pマーク制度運営機関であるJIPDECも非推奨である旨公式見解をだして
いるので、この方法はいずれなくなってゆくことでしょう。
自身、PPAPが流行りはじめたころから意義を見出せずにいたので、悪しき風
習が撤廃のながれは大いに賛成なのですが、一方でこんな話も聞きました。
とある中小IT企業がセキュリティ委員会なる機関を設置し、セキュリティチェ
ックと称したアンケートを社員に実施したころ、PPAPが徹底されていないこ
とが判明したので、PPAPツールを導入したというのです。最近。
大手などISMSなどをしっかり運営している企業が、なかなか今までやってき
たことを急に変えることができないことはAhfさんも言われている通りだと思
うのですが、他よりセキュリティ知識があるはずのIT企業が何故今さらPPAP
ツールを導入したかというと、どうも周囲に対する体裁を繕ったようなのです。
ツール導入の目的が体裁を繕うため、と言われれば別に不満はないが、セキュ
リティ委員会なる権威が、PPAPを徹底するようにと上から目線で押し付けて
くる。しかもツールは安物を使っているが為に、パスワードは自分でつけて、
別途通知しないといけないから手間が増えただけ。通知忘れのやり取りや、あ
まりに面倒なので、通常のテキストメールを使っていた社員が、わざわざHTML
メールに変えてファイルを埋め込んで送る者もでてきて本末転倒だ、と教えて
くれた友人がぼやいておりました。
当然、セキュリティはコストと安全性のバランスを考えることが重要です。
本来ならばそのバランスを真剣に考えないといけないセキュリティ統括部署が
保身と欺瞞に走ると、かなり多きな損害が出てしまいます。例えば、自動でパ
スワードをつけて通知までしてくれる便利なPPAPツールを導入している企業
では、そのツールの導入を決定した人がいるはずです。それが今さらムダだっ
たと言われてしまうと、その決定は間違いだったのか、責任の所在は、等々言
われかねません。また、勇気を振り絞ってそのツールをやめたとして、もしそ
のあとでもし事故が発生したら...。
ちょっぴり捻くれた私としては「わかっていても簡単じゃない」というより
「わかっちゃいるけど止められない」なのではないか、と思ったりしています。