『秀丸メール』にPPAP廃止を支援する機能が追加 34
ストーリー by nagazou
追加 部門より
追加 部門より
窓の杜の記事によると「秀丸メール」に、いわゆる「PPAP」の廃止を支援する機能が搭載されたそうだ。この機能は、OneDriveとの連携で実現されている。「添付ファイルをOneDrive経由渡し-パスワード別便通知」というマクロを使用して実現しているという(窓の杜)。
新規メールにファイルを添付して宛先を設定したうえで、このマクロを実行すると、添付ファイルを「OneDrive」へアップロードし、アップロードしたファイルに強力なパスワードを自動設定。添付ファイルを「OneDrive」のダウンロードリンクに自動で差し替えという動作をおこなってくれるとしている。
新規メールにファイルを添付して宛先を設定したうえで、このマクロを実行すると、添付ファイルを「OneDrive」へアップロードし、アップロードしたファイルに強力なパスワードを自動設定。添付ファイルを「OneDrive」のダウンロードリンクに自動で差し替えという動作をおこなってくれるとしている。
例えば…… (スコア:2)
・パスワード連絡メールを暗号化して送るとか(最初から暗号化しろ)
ちなみに、秀丸メール自体は、S/MIME と PGP に(GnuPG でもOK)両対応しているので、重宝しています。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
マクロ前提の機能ってことは秀丸用のマクロウイルスで全部台無しっていう
名前が悪い (スコア:1)
PPAPと言えばこれ [youtu.be]なので紛らわしい
Re: (スコア:0)
紛らわしいも何も、それに由来する命名だろ。
なんか疑問 (スコア:0)
メールに添付するのをOneDriveへアップロードするのは良いけど、パスワードをメールで送るのは問題だと思うのですが…
Re: (スコア:0)
共有を、「送り先のメアドのMicrosoftアカウントでOneDriveにアクセスした時のみ見れる」に設定すれば、多少はマシになるようなならないような。
送り先の人が既にそのメアドでMicrosoftアカウントを作って使っている→Microsoftアカウントへのログインが乗っ取られていなければ安全。
まだ作っていない→ファイルにアクセスするためにMicrosoftアカウントを作成する必要がある→登録の際にあれこれチェックされるから安心、と思いきや、「メールに書いたパスワードが流出しうる環境」=「メールが他人に読まれうる環境」、なので攻撃者が勝手にそのメールアドレスのMicrosoftアカウントを作ることもできそう、なので意味が薄い。
Re: (スコア:0)
> まだ作っていない→ファイルにアクセスするためにMicrosoftアカウントを作成する必要がある
メールアドレスを確認(受信したコードを入力)後に、アカウントなしでアクセスできます
Re: (スコア:0)
いや、今は大抵のメールのやり取りがプロトコルベースの経路暗号化・署名でかなりの部分安全確保されてるので、そこの所のPPAPが出始めの頃にあった問題はかなり解消されてるんですよ。
だからこそ、その頃には「背に腹は替えられない」的に見逃されてた「単純パスワードを破られるリスク」「サーバ上でセキュリティチェック出来ない事のリスク」がクローズアップされてるわけで。
Re: (スコア:0)
パスワードはFAXで送るに決まってるじゃないですか。
# 決まってません
## という前にOneDriveとか仕事で利用可な会社って結構あるんだろうか?
## うちの会社はMicrosoft 365入れてるけどOneDriveは禁止になってる…
Re: (スコア:0)
ただし、社外には公開不可(ルールだけでなく、実際に不可)
ですね。
プライベートな(会社契約以外の)アカウントのOneDrive は、はじかれます。
でも、DropBox は平気です。
見方による (スコア:0)
PPAP廃止のリテラシのつもりがURL入りフィッシングメール製造機能実装みたいな
根本的には無意味なのよね
この手の文化って現場離れたえらいひとの流儀なので
現場のツールを小手先に変えたところでどうにもならない
「え?まだメールでパスワード送ってるの!?」
とか
「え?まだメールにURL入れてるの!?」
とか
ウザイ記事を上位に上げて
えらいひとが踊らされるのを待つしかない
みたいな
Re: (スコア:0)
まだPPAPで消耗してるんですか?!
これからの時代は伝書鳩
Re: (スコア:0)
ジョークだと思うけど念のため・・・
伝書鳩の方式はネットワークインフラが無い環境で低コストで構築できるという利点はあるけど、誤送信を防ぐ方法はない。
これは使うべき鳩を間違えるという単純な話ではなく、鳩を正しく選んだとしても、
・稀に迷子になり、別の送信先に到着することがある
・途中でタカによる攻撃によりパケットロスする。パケットは第三者が拾う可能性がある
と通信方式自体に誤送信の可能性という欠陥がある。
特定旅館 (スコア:0)
何が起きているんだろう
脱PPAPとISMSの相性が悪い (スコア:0)
ISMSの監査で脱PPAPしてると、監査人からパスワード付きzipファイルの送信に戻せって言われるんだよね。
無視すれば良いんだけど、更新のたびに言われるから面倒になって戻しちゃった。
Re:脱PPAPとISMSの相性が悪い (スコア:1)
組織でPPAPやめるって決めてなくて、自分で勝手にやってるって事なら
監査人はそう指摘せざるを得ないんじゃないかと思うけど
組織の決定でPPAPやめますってのを監査人が口出ししてくるなら、
その人がちょっとおかしいと思う
自分もちょっと関わった事あるけど、ISMSってそういう風に
特定の手法を強要するような制度じゃなかったはず
Re:脱PPAPとISMSの相性が悪い (スコア:3, 興味深い)
はい、ISMS(ISO27001)に限らずQMS(ISO9001)、EMS(14001)はプロセス改善のための認証なので、特定の手法を強要するようなことはありません。(法令遵守項目があるので、その国の法律に定められているものがある場合は除く)
それにも関わらず特定の手法にしなければならないと指摘される場合は、ご推察の通り、単に「組織で定めた業務標準(ルール)文書があり、それから逸脱していると認められた場合」になります。
なので、ISMSとしての脱PPAPへ向けた正しいステップは、「業務標準文書を改定する」→「改定されたことを周知しその業務標準文書通りに運用を開始する」です。
それをやらないといつまでも監査人に逸脱指摘され続けることとなります。
ちなみに、外部監査で複数回同じ指摘がされ続ける場合は、監査毎に1段階警告レベルが上がって、最終的に監査不適合(=認証取消)になるのでご注意ください。
Re: (スコア:0)
まあたしかに、監査を無視すれば良いと思ってる奴とISMSの相性は悪いだろうな
PPAPの本来の目的 (スコア:0)
ファイル誤送信に対応できないじゃん。
(ファイル誤送信してもパスワード送らなければ見られずに済む)
Re: (スコア:0)
誤送信先に悪意があったら対策としてはほぼ無意味なんで。
(そこらに転がってる一般的なPCの処理能力でもパスワード総当たりで現実的な時間内にクラックされる上に、送信側からは「クラックしようとしている事」すら判らない)
Re: (スコア:0)
とは言っても、それをやれる人はごく限られており、やれる人でもそんなダルい事してまで見ようとは思わないけど、クリック一つで見られるなら見ちゃうんだよな。
Re: (スコア:0)
ボタンクリック1つで解析するツールは普通にあるのも事実ですが、それ以上に「そのZIPがどこかに保存された時点で、暗号化していようがいまいが『データの流出リスクに晒されている状況』がいつまでも終わらないことになる」って事態そのものが最悪ですね。
Re: (スコア:0)
2通目のパスワードだけのメールなんて、機械的に送ってしまうから、御送信対策としては意味が無なそうな。
相手が受信した時点で、送ったファイルの管理権が移ってしまうのを、
相手がダウンロードするまで送ったファイルの管理権を保持しできるから、
御送信が発覚した時点で送ったことを無かったことにできることと、
なおかつ誰がダウンロードしたか少なくともIPベースでは確認できる、
というメリットがあるはずなのに、
業界の人達はPPAPは駄目と言うだけで、他の送信方法のメリットを全然言わないというのが問題。
Re: (スコア:0)
>業界の人達はPPAPは駄目と言うだけで、他の送信方法のメリットを全然言わないというのが問題。
パスワード付加されたZIPとパスワードを別送したことによる送信者側の安心感よりも
パスワード付加された為に双方のアンチウィルスのチェックをすり抜ける危険性が無視できない事が一番かと
別の送信方法を説いて危険性を隠してもしょうがない
Re: (スコア:0)
ほとんどの場合連続で送信するだろうから、ファイルを誤送信しておいてパスワード送る前に気づくとかパスワードだけ正しい宛先に送るシチュエーションの方が考えにくい。
Re: (スコア:0)
ツールで自動的に分割したメールが連続送信されて、ユーザーの操作は送信ボタン1回だったりね。これこそ本来の目的がどっか行ってる
Re: (スコア:0)
そうだよ。
お付き合いのあった某社のメールサーバーは添付ファイルがあると自動的にPPAP化する機能が付いてて
資料や見積のファイルは全て暗号化されてた。
あるとき、その会社の営業から製品の原価表が送られてきた。
Re: (スコア:0)
親切な営業ですね。
Re: (スコア:0)
そもそもファイル誤送信云々自体も、暗号化が意味をなしていない指摘を受けたあとに見出した、苦しい言い訳の為の別のメリットでしょ。
まずは最大の問題点である、暗号化が意味を成していないことを解決しなきゃ。
PPAPやめた相手先の多くがノーガード戦法になってる件 (スコア:0)
少なくとも「みんながセキュリティを気にしなきゃいけないんだ」っていう空気は作ってたと思う。
平文での添付が常習化するのにくらべたらマシな気がするんだが。
「PPAPはダメだからPGP的な仕組み使いましょうね」って方向にはまるでならんし。
#某通信機器メーカーから来るメールのDMARCが毎度failしてて萎える。p=noneなので届いてはいるが。
Re: (スコア:0)
メールで送るなって言っているんだぞ。
暗号化されていてもパスワードもメールで送っていたら意味がない。
あげくに暗号化されてしまうと添付ファイル内のある悪意あるソフトの内部への侵入を許してしまう。
だから相手に渡すならばメールでなく別の手段にしろって話を皆がしてる。
Re: (スコア:0)
まともな別の手段なんて本当にあるのか考えもせず無責任に言うからノーガードになるんだろ
Re: (スコア:0)
別にメールを否定する必要はないじゃん。
PGPで十分でしょ。
Re: (スコア:0)
メールを否定する必要は無いが(メール添付)ファイルのフォーマットにセキュリティ強度を依存するな、とは言われてるんだ。