1
/
5
Wantedly
About 株式会社オルターブース
株式会社オルターブース
https://www.alterbooth.com

福岡県

【オルタナティブなKojima log 】PPAPは踊らない

楊 睿之さんのプロフィール
小島 淳さんのプロフィール
楊 睿之, 小島 淳
ライター, インフラエンジニア
楊 睿之さんのプロフィール
楊 睿之
株式会社オルターブース / ライター
フォロー
小島 淳さんのプロフィール
小島 淳
インフラエンジニア
フォロー
on 2020/10/13

◯ピコ太郎とは関係ありません

こんにちは、オルターブースの小島です。

前回はゼロトラストセキュリティのことを話しましたけど、同じくらい凄い大事な問題があって、

巷で「PPAP」って言われているやつですね。

ピコ太郎じゃなくて、別の話です。

それは何かというと「パスワード付き暗号化Zipのメール添付」を指します。


なぜPPAPなのかと言うと、頭文字なんです。

P=Password付き暗号化Zip

P=Passwordを別メールで送ります

A=暗(A)号化します

P=Protocol

これをPPAPって言うみたいです。

茶化した言い方で、実にくだらないなと思いながらも、真面目に考えて欲しい問題なんですよね。

「PPAPはセキュリティ的にどうなの?」という話です。

僕に言わせるとPPAPってセキュリティ的にほとんど意味がないです。

まず暗号化Zipをメールに添付されるとPC側でウイルスチェックができなくなるんですよ。

暗号化されているから。

結局中身を開かなきゃ分からないっていう代物なっちゃう。怖いですよね。

もう一つは、暗号化Zipはパスワード付いてますから、当然スマホとかから確認できない。

これも最悪ですね。

リモートワークに変わりつつある今の御時世で、携帯からファイルを確認できないとか最悪じゃないですか。

そして一番大きな問題は、こういったリスクを全部受信者側が持たなきゃいけないってことですね。

送り手側にそういう認識がないから、受信者側がすべて脅威のリスクを負わなくちゃいけない。

これほど失礼な話はないと思うんですよ。

こんなズダボロなセキュリティを未だにやっている会社さんっていっぱいいるんです。

そうした会社さんは私たちに身近にもいますけど、いちいち伝えてトラブルになるのも嫌だし、言えないんですよね。少しずつ啓蒙していかなくちゃいけないなって。

分かっている方は分かっていると思うんですけど、変えていかなくちゃいけない文化だと僕は思います。


◯PPAPを撲滅しませんか?

具体的にどうやって変えていくのか?

色んなやり方がある中で、僕が一番の安全だと思っているのがクラウドストレージ経由です。

例えば僕らの場合はOffice365を使っていて、その中にOneDriveっていう機能があるんですね。



そのOneDriveを使って受信者にファイルを送るんです。

メール添付じゃなくて、OneDrive経由でリンクを送る。そのリンクを踏んでダウンロードして頂く。

そうするとダウンロードした時に受信者のPCのウイルスチェッカーが走って添付ファイルを診断できますし、さらに通信も暗号化されています。

ただこれだけだとあまり意味がなく、最も大事なのは受信者が絞られていることです。

これってゼロトラストセキュリティにもすごく近い仕組みではあるんですけど、

Zipファイルにパスワードをかけていると言っても、そのパスワードを知っている人なら誰でもファイルを開けられちゃうわけです。

そういうのはよくない。

だから受信者のメールアドレスでなければダウンロードできない仕組みにしてしまえばいいんです。

OneDriveでは送りたい人のメールアドレスを指定できます。クラウドストレージなので公開する期限も決められます。

ちゃんと期限を設定して、場合によってはクラウドストレージのアクセスにパスワードをつけることもできるので、パスワードをつけて相手に送信してあげる。

そこでまでやれば完璧です。

Zipでファイルを固めて送るより圧倒的に安全で、受信者側も楽です。


◯自動化もしましょう

この一連の作業が意外と手間なんですが、じゃあどうやってその手間をなくすかというと、ここで出てくるのがIntegration Platform as a Service (iPaaS)って言われているサービスです。

僕らの場合、Office365とAzureをメインで使っているのもあって、iPaaSが2つあります。

Logic AppsとPower Automate、この2つを使っています。

今回の話は組織のIDに紐付いたメールなので、Logic Appsというより、どっちかというとPower Automateの方が向いていると思います。

Power Automateを使ってこの一連の流れを自動化してあげるんですね。

このようにすればPPAPを完全に省くことができるから、受信者に優しく、送信者も安全にファイルを届けることができるようになります。

PPAPを撲滅するのであれば、やるべきことはクラウドストレージでのファイルの受け渡しです。

それに応じて社内のセキュリティポリシーをより良い方に変えていって、クラウドストレージ利用を促進していく。

以上、クラウドストレージを使ってPPAPを撲滅しようという話でした。

こういう話はご希望あれば頂けると、僕の方でどんどん解説していきたいと思っています。

それではまた次回の配信もお楽しみに。

☆本記事は2020年5月20日に配信された弊社代表・小島のVlogをもとに再構成しています

☆配信動画をご覧になりたい方はこちらから!

株式会社オルターブースからお誘い
この話題に共感したら、メンバーと話してみませんか?
株式会社オルターブースでは一緒に働く仲間を募集しています
転職 クラウド セキュリティ 社長ブログ マイクロソフト
株式会社オルターブースの会社情報

株式会社オルターブース

1. GitHubを中心とした開発プロセスの最適化コンサルティング オルターブースはGitHub Certificate Programのパートナーとして、GitHubを中心とした開発プロセスの最適化コンサルティングを行っています。 GitHubの導入支援、ActionsやAdvanced Securityの設計・実装、利用ポリシーの設計などエンタープライズ組織で利用するための支援をしています。 https://www.alterbooth.com/products/github/enterprise/ 2.クラウドネイティブ化に伴う開発とAzureサブスクリプションの提供 お客様がクラウドネイティブ化するにあたって、開発環境の構築からAzureの各サービス設計、実装、継続的改善を生むSRE(Site Reliability Engineering)を提供しています。 3.企業のクラウドネイティブ化のためのコンサルティング 主に大企業を対象として、クラウドネイティブ化のためのシステム設計や開発のコンサルティングを行っています。 4.社内勉強会や社外でのテックコミュニティ/テックメディア活動 社内でテック系勉強会を開催するのはもちろんのこと、社外においてもテックコミュニティ活動や、テックメディア活動を活発に行なっています。 ※弊社テックメディア AADOJO https://aadojo.alterbooth.com/ ▼オルターブースの強み ・日本IT業界の最先端を行く技術力の高いエンジニア陣 ・マイクロソフトRegional Director, MVP, Top Engineer Award受賞者が在籍 ・クラウド事業の安定的な収益構造 ・創業以来連続黒字 ・マイクロソフトの数少ないTier1パートナーとして認定 ▼受賞実績 2023年の実績 ・Microsoft Digital & App Innovation (Azure) ソリューションパートナーを取得 ・Microsoft Japan Partner of The Year 2023受賞(通算5回目の受賞) ・Microsoft Top Engineer Award 2名受賞 ・Microsoft Advanced Specialization認定(DevOps with GitHub on Microsoft Azure) ・Microsoft Regional Director, MVP, Top Engineer Award受賞者在籍

もっと見る

同じタグの記事

#転職
もっと見る

今週のランキング

ランキングをみる
楊 睿之さんにいいねを伝えよう
楊 睿之さんや会社があなたに興味を持つかも