地方エンジニアが感じる地方・中小企業での悩み

わかっていても簡単じゃない

»

 メールに添付したファイルを自動でパスワード付きで圧縮し、別のメールでパスワードを送付する仕組みは長い事多くの企業で利用されているものです。PPAP と言われて揶揄されているこの仕組みですが、実際にこれを切り替えようとすると多くの問題を解決する必要があり、一筋縄ではいかないのが現状です。

 セキュリティ的な視点で見ると、ほとんどといっていいくらいには効果がないのは周知のとおりです。メール誤送信な点から見ても、多くの場面では宛先を気にせずにパスワードが記載されたメールを送ってしまうため、言われているような誤送信した際の防御とはあまりなりません。間違った相手に、暗号化されたファイルとそのパスワードが別々に送付されているだけです。確かにこれでは、効果がないので入れ替えを求められるのも不思議ではないでしょう。

 世の中の多くの人が、この仕組みに対して疑問を感じつつも入れ替わらない現状には、技術的な面以外での問題が多く絡まっているからです。例えば ISMS などで、車内にセキュリティルールを定義して運用している企業の場合、何かしら変更が発生し適用しようとしたときにかかる時間とコストは馬鹿になりません。企業の規模にもよりますが、この部分だけを見ても既存の仕組みを変更するのがためらわれるくらいです。

 PPAP の対応策として、オンラインストレージから共有リンクを送る方法が手っ取り早いと言われていますが、この方法も一筋縄では導入できないものです。企業としてオンラインストレージをそもそも禁止していることが多かったり、利用シーンをかなり狭めている企業も多いです。メールはある意味でザルな運用ですが、それ以外のサービスに対しては厳しいルールを適用している企業も多いのではないでしょうか。そのような企業では、先の ISMS などで定義したルールを変更してからでなければ、ストレージ経由でのファイル共有は行えないので、やはり簡単には切り替える事が出来ません。

 また、利用者の IT リテラシーの問題は最も大きい問題点とも言えます。オンラインストレージで共有する方法を言われている方は、多くがリテラシーの高い人たちです。そのような人たちだけであれば方法を切り替えるにしても十二分に可能なのですが、言い換えるとそのようなリテラシーの高い人たちであれば、恐らくどの方法を採用しても大きくは違いがないとも言えます。

 ですがリテラシーの低い人では、そうも簡単に切り替える事はできません。しかも現時点ではある程度自動的に対応してくれていて、手間はもう一通のメールを転送するだけな現状と比較して、ひと手間増えてしまう方法では恐らく利用してもらう事が難しいでしょう。たったひと手間と思われがちですが、そのひと手間の違いがミスを生み出す可能性を大きく増やします。このような人たちを想定していない、想定が足りていないのが多くの意見で散見されてしまっているのが残念なところです。

 実際の所、セキュリティの技術的な面で難しいというケースは殆どなく、それを導入しようとしたときに考えられる現場への負担やコストというのが、PPAP な方法を使い続けている側の一番の問題点になっているとも言えます。このあたりの認識がずれているのか、色々なメディアや SNS でも話がかみ合わない状態で今に至っているのではないでしょうか。

 新しく何かを導入する事よりも、既存の仕組みを切り替える事の方が難しい点は多く存在します。特に今回のような技術的ではなく導入する部分が難しいものが、数多く潜んでいます。そういった部分にも目をやりつつ議論ができるようになれば、それぞれの企業もよりよい状態へ変化できていくのではないでしょうか。

 個人的には PPAP な仕組みは早く廃止して切り替えて欲しいと考えていますが、では実際にどのような体制を敷いて行動に移していけばいいのかは、正直なところ見えていません。一応技術者側な立ち位置でもあるので技術的な話で物事が進められればいいのですが、なかなかそれほど簡単に物事は進んでくれません。本気でこういったことに取り組もうとすると、残念ながら上層部の説得や各現場の負担を軽減する策をもろもろ含んだ形で提案できなければ、判断を下す経営者側まで話が届かないものです。

 技術的に正しいから、セキュリティ的に正しいから進めたい気持ちはあります。でもそれだけでは世の中回らないな、と考え込んでしまう程度には自分も年を取ったんだなぁと思う最近です。ですがそこで諦めてしまうのではなく、少しずつでも切り替えないともっと危険だ、というような情報をせっせと流布して目的を達成させたいものです。

Comment(2)

コメント

山無駄

そうそう。この粗悪な風習は早めに駆逐してほしいものです。

大手企業がなかなか変われないのは事実ですが、それ以上にこの問題に触れたく
ない人が多くいることも、その原因ではないかと思います。
セキュリティ的にという性質上、それなりの人が決定し、強制的に運用をしてい
るはずです。それが急に意味がないものとなると、その人の権威に傷がつきます。

また、悪習に便乗したベンダーが自動で添付を暗号化し、かつパスワードも送信
するツールをつくり、それを導入している企業も多く見受けられます。このツー
ル導入を決定した人も、なかなか撤廃を言い出せないでしょう。

IT業界は業界として過ちをみとめ是正に努めるべきだと思うのですが、このPPAP
問題を知っているにも関わらず、セキュリティが徹底されていないと最近ツール
を導入したIT会社もあります。
IT技術者はPPAPの問題は理解できるわけなので、そういう不見識な決定を下す
会社には優秀な技術者から見切りをつけるのではないかと思います。

あと、社内ですね。

>例えば ISMS などで、車内にセキュリティルールを

リテラシーの多様性

PPAPのままセキュリティ強化される技術・・・とどっちが難しいでしょうね^^;
ようやくここまで普及していたのに。
いまだに素のままメール添付される方も多々おります。

コメントを投稿する