パスワードを忘れた? アカウント作成

パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される」記事へのコメント

  • by Anonymous Coward on 2019年12月25日 8時17分 (#3736667)

    PPAP方式の意味はセキュリティの為じゃない。使ってみて以下の意味があることがわかった。

    ・誤送信対策
     添付送付した後、パスワード送る段階で誤送信だと気づいたことがある。
     添付ファイルは届いてしまったが、間違った送付先に添付ファイルを開かれることはなかった。
     もちろん両方のメールを誤送信したらまったく意味はないが。

    ・対外へのポーズ
     PPAP方式はおれも全く意味はないと思っていたが、それに慣れ過ぎたのかパスワードなしで
     添付ファイル送付してくる会社は「大丈夫かな?」と思ってしまう。
     セキュリティしっかりやってますよ!の対外へのポーズとして必要な気もしている。

    よくやり取りする会社であれば最初に共通のパスワードさえ決めてしまえば、そんなに手間ではないし
    最近は肯定派になっている。何よりも誤送信で重大事故にならなかったことが決め手(始末書は書かされたが…)。

    ここに返信
    • by Anonymous Coward

      おれも「ないよりはマシ」程度に思ってる。ほぼ誤送信対策だけかなー。
      叩くほどひどくはない。
      Slackなんかで暗号ファイルとパスワードをベタっと貼り付けるのって、正直もやもやします。

      もちろん専用ツールなりなんなりを整備してくれて、予算使っても元が取れる環境なら
      それの方がいいけど、実際はそんなことはまずないから。

    • by Anonymous Coward

      私もその2点しか意味は無いと思ってるけど、
      システム使ってるのか、添付ファイルとパスワードが別メールかつ同時なところも少なからずある...

      • by Anonymous Coward

        それの場合は、意図しない転送(本文だけ送るつもりで資料は送るつもりがなかった)ときに有効

    • by Anonymous Coward

      1) 誤送信対策なら社外行きのメールを15分くらい滞留させとくシステムを使えばいい。(実在します)どこの会社でも、社外メールの大部分はそれくらい配信が遅れても問題ない性質のものであるはず。本当に急ぎの時は、システムに「滞留させず今すぐ送れ」と指示することも出来る。
      2) PPAP方式でやられると「あー、実際のセキュリティなんてまったく考えてない外面重視の会社なのね」と思ってしまうので逆効果です。

      共通パスワードは全然違う話。メール以外のチャネルでパスワードを事前に伝達しておけば、それはそれなりの防衛になる。

      • by Anonymous Coward

        正直、システム側で滞留させたところで誤送信対策にはならない。(送信者は間違ってないと思って送ってるし)
        その手の滞留システムにはたいていついているダブルチェック(上司承認機能とか)のほうがまだわかる。

      • by Anonymous Coward

        誤送信に気付くのは親切な誤送信先から、宛先間違ってますよメールを受信した時か、セキュリティ事故だゴルァされた時のどちらかなので、そのシステムでは防げませんね。

      • by Anonymous Coward

        > 「あー、実際のセキュリティなんてまったく考えてない外面重視の会社なのね」
        外面が整っていると判断してしまう誰かがいる時点で、ビジネスとしての対外的な効果を認めてしまってますよねー

    • by Anonymous Coward

      いまだにセキュリティ対策だと信じている人たちって何なんですかね。
      セキュリティ対策になっていると思っている人たちと五十歩百歩だと思うのですが。

      あとはマルウェアなどによるファイル流出対策です。
      もちろんパスワードを別系統で送る方が安全ではありますが、
      電子メール以外で手軽かつ(伝達ミスがないという意味で)確実というのはなかなかないでしょう。

      • by Anonymous Coward

        セキュリティ対策だと信じている人たち

        セキュリティ対策になっていると思っている人たち

        五十歩百歩どころか同一グループなのでは?

        • by nunuu. (25261) on 2019年12月25日 12時31分 (#3736825)

          「セキュリティ対策だと信じている人たち」というのが、言葉が足りていないのだと思う。

          本人がセキュリティ対策だと信じて実行しているという意味ではなく、

          やっている人は誤送信対策など別の意図でやっていることに対し、
          「あいつはセキュリティ対策だと思ってやっているんだろうな(ぷ」と信じている人たち

          という事ではないでしょうか?
        • by Anonymous Coward

          前者は

          (やらせている人が)セキュリティ対策だと信じている(と思っている)人たち

          だから微妙に違うんじゃ?

    • by Anonymous Coward

      >パスワード送る段階で誤送信だと気づいたことがある
      新規のメッセージとして送ると、宛先をもう一度入れることになるから、ある意味ダブルチェックにはなってるのかな。
      誤送信を受け取るであろうほとんどの素人は、暗号化ZIPをこじ開けてまで中を見ようとは思わないし。

      でも致命的だなと思ってしまうのは、せっかくメールサーバでもやってるウイルススキャンが機能しなくなることかな。
      暗号化ZIPでウイルス送りつけてきた日にゃ、
      「ああん?わざわざうちのセキュリティ回避してウイルス送りつけるとはどういうつもりだ!」
      と怒鳴り込んでいくよ!

      Gmailさんはいろんな拡張子のファイルを添付禁止にしてうざいので、逆に暗号化ZIPにすれば通るじゃん!と思ったら、
      ファイル名は暗号化されてなくて意味がなかった。

    • by Anonymous Coward

      ・誤送信対策

      ・対外へのポーズ

      承認後は公開される議事録の承認前版とか、対して機密性の高い情報では無いのだが、
      組織のセキュリティポリシーに当てはめると平文で送ってはいけないことになっていることがある。
      PPAPは、そんなときの手段の一つではないのかなと思っている。
      本当に機密性の高いものには適用してはいけない。

      • by Anonymous Coward

        うむ。つまり傷んで危険なので工事中の橋の手前に

        「このはしわたるべからず」

        タテカン掲げていても、小利口な人が
        端じゃなきゃいいんだろw と真ん中を歩く類のアレですね。

    • by Anonymous Coward

      ビジネスメールではないですが、Gmailでファイルを添付するときにGoogleに分析されるのが嫌なのでPPAP方式を使ったりします(悪あがき程度にはなるでしょう)。

    • by Anonymous Coward

      ・ウイルススキャンされない
      暗号化ZIPはウイルススキャンされないのでサーバーに負荷をかけません。

    • by Anonymous Coward

      他にも添付ファイルを見てくれない(確認を忘れる)相手に添付ファイルを忘れずに確認してもらえる効果もあったりと
      セキュリティ面以外でもメリットがあるんですよね

      「セキュリティ対策」だって思い込みで文句言ってる人ほど他のセキュリティで何かやらかしてそう

    • by Anonymous Coward

      まるっきり無意味だと断言してる人って、考えが浅いなと思います。

      上原さんはかつて、地方自治体のセキュリティ強靭化で誤った方向に国政を導いちゃったこともあるし、PPAPが面白いと思う分にはいいけど、彼の話が必ずしも正しいとは言えない。

      私もパスワードZIP付きメールに関して、使っている人の意図する意味での効果はないと思います。
      でも何も意味がないかといえば、例えば神奈川県の転売されたバックアップHDDのように、あれがパスワードZIP付きファイルだったなら漏洩被害はだいぶ防げたと思います。

      つまり、メールのやり取りでの漏洩はともかく、ファイル単体で流出したときは中身の保護くらいの役には立つということ。
      かつてのWinnyで流出したファイルでもパスワード付きZIPで助かったケースも、あるんじゃないかと思います。

      当然ディスク丸ごと暗号化しておくのがベストではありますが。

      • by Anonymous Coward

        >例えば神奈川県の転売されたバックアップHDDのように、あれがパスワードZIP付きファイルだったなら漏洩被害はだいぶ防げたと思います。
        >かつてのWinnyで流出したファイルでもパスワード付きZIPで助かったケースも、あるんじゃないかと思います。
        暗号化したファイルが置いてあって、復号済のファイルがすぐ近くに置いてないケースがどのくらいありますかね…

        • by Anonymous Coward

          ファイルのダウンロードや圧縮ファイルの展開はできるだけRAMディスクを使用してる。

      • by Anonymous Coward

        >でも何も意味がないかといえば、例えば神奈川県の転売されたバックアップHDDのように、あれがパスワードZIP付きファイルだったなら漏洩被害はだいぶ防げたと思います。

        それは「ファイルをパスワード付き圧縮ファイルにする意義」であって、「そのパスワードをファイルと同経路で送ることの意義」ではありません。
        他でも目の付け所が変なヒトがいるけど、パスワード付きzipのメール送付の部分じゃなくて、そのパスワードを同一経路で送ることが悪いんですよ。

        外部クラウドストレージを利用しようが、CDに焼こうが、USBメモリに入れようが、HDDを手渡しで持って行こうが、ファイルにパスワードはかけていた方がベターではある。
        でもそのパスワードをモノと一緒に持ってたら、パスワードをかけてる意味がないことは分かりますよね?
        その「神奈川県の転売されたバックアップHDD」で例えれば、ディスクそのものがパスワードで暗号化されていたのに、そのパスワードを書いた紙も一緒に売られていた、みたいな話。

    • by Anonymous Coward

      某所では、メールの添付ファイルを勝手にランダムな文字列で暗号付きZIPに変換して、
      続いて同じ宛先にそのパスワードを送る機能がメールサーバーに付いてたな。

      添付ファイルが暗号付きZIPファイルでもZIPで二重梱包する感じだった。

      どっちにしろセキュリティ上まったく意味がないと思ったわ。

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...