PPAP는? 의미와 암호를 사용하여 ZIP 파일 폐지의 혜택

PC의 보안

PPAP는 암호로 ZIP 파일을 메일에 첨부하여 전송 한 후 다른 메일로 개봉 비밀번호를 보내 일본에서 많이 볼 수있는 정보 보안 대책을 의미합니다.

일반 재단법인 일본 정보 경제 사회 추진 협회 (JIPDEC)에 소속되어 있던 대 타이지 장 (오 태자 아키라) 씨가 문제 제기를 위해 다음 문장의 머리 글자를 따서 명명 한 말입니다.

  • Password 대해서 zip 암호화 파일을 보냅니다
  • Password를 보냅니다
  • A응 호 화 (암호화)
  • Protocol (프로토콜 / 지침과 표준의 수)

세계적으로 유행 한 피코 타로 씨의 재료 인 PPAP (펜 빠이낫뽀 · 앗뽀 펜)에서 영감을받은 것으로 알려져 있습니다.

요즘은 PPAP 가진 다양한 단점에 주목이 모여 2020 년 11 월에는 히라이 타쿠야 디지털 개혁 담당 장관이 중앙 부처의 사용을 폐지 할 방침을 밝히고, 히타치도 2021 년도에는 사내 PPAP 를 전면적으로 금지 할 방침 인 것으로 밝혀진다 등 탈 PPAP의 움직임이 진행되고 있습니다.

이번에는 그 PPAP 대해 어떤 혜택 지금까지 사용되어 온 것인지, 무엇이 단점으로 폐지되는 방향이 있었는지, 그리고 대안에는 어떤 것이 있는지 등에 대해서, 소개 할 ​​수 있으면이라고 생각합니다.

목차

보시고 싶은 항목을 클릭하여 해당 위치로 이동 할 수 있습니다.

PPAP의 장점

PPAP 정보 보안상의 이점으로는 다음 두 가지가 있습니다.

  1. 발신자 측 으로서는 비교적 손쉽게 전송 정보를 암호화 할 수있다
  2. 보낸 사람이 ZIP 파일을 첨부 한 메일을 잘못된 상대에게 잘못 전송했다하더라도 2 통째의 개봉 암호 통지 메일을 수동으로 쓰기 작업이면 2 통째 보내기 전에 실수 주의 기밀 정보의 유출을 미연에 방지 할 수있다 (2 통째를 동일한 대상에 자동 전송하는 시스템을 채용하고있는 경우는 의미가 없다)

PPAP의 단점

한편, PPAP에는 다음의 단점이 지적되고 있으며, 폐지를 향한 움직임이 가속화되고 있습니다.

  1. 수신자로 파일을 개봉하기 위해 다른 이메일을 찾는 시간이 걸릴
  2. 원래 은닉 성이 낮은
  3. 수신자가 준비하고있는 악성 필터를 빠져 버린다
  4. 스마트 폰 단말기에서 볼 수 나쁜
  5. 위의 단점이 있음에도 불구하고, 정보 보안 대책을 충분히하고 있다는 자만심을 낳는다

각각에 대해 자세히 살펴 싶습니다.

1. 다른 이메일을 찾는 시간이 걸릴

PPAP 의해 보내왔다 ZIP 파일을 개봉하기 위해받는 사람은 매번 개봉 암호가 적힌 편지를 찾는 수고가 필요합니다.

약간의 수고일지도 모르지만 그다지 효율적인 방법이라고는 할 수 없습니다.

2. 원래 은닉 성이 낮은

정보를 훔치려는 공격자가 암호화 된 파일이 첨부 된 메일을 구할 수 있다면, 당연히, 이후 개봉 암호가 포함 된 메일도 사용할 수 있습니다.

개봉 암호 통지에 전화 등의 이메일이 아닌 다른 수단을 사용하지 않는 한, 정보 보안 대책으로는 미흡하다고 말할 수 있습니다.

또한 암호로 ZIP 파일은 암호를 여러 번 시도 할 수 있기 때문에 무차별 암호 입력을 반복 해가는 전용 소프트웨어 등을 이용하면 쉽게 개봉 할 수 있습니다.

원래 Windows에서 암호를 입력하지 않아도 파일 구성 및 파일 이름을 볼 수있는 등의 암호화로는 어중간한 구조라고 할 수 있습니다.

또한 앞서 언급했듯이, 2 통째의 개봉 암호를 메일을 한 통 번째 동일한 대상에 자동 전송하는 시스템을 사용하는 경우 오 송신 방지의 의미도 없습니다.

만약 수동 전송였다해도, 인간이면 중 기계적으로 동일한 대상에 쓰기 운용되는 것이 자연이기 때문에 어느 쪽이든 오 송신 방지에 그다지 효과가 없다고 말할 수 있습니다.

3. 악성 필터를 빠져 버린다

이제 많은 기업들이 외부에서 수신 한 메일을 자동으로 검색하여 악성 악성 코드가 가르쳐지고 있지 않은지를 확인하는 방법을 소개하고 있습니다.

그러나 메일에 첨부 된 ZIP 파일에 암호가 설정되어 있으면, 그 파일의 내용까지 검색하여 확인할 수 없으며, 결과적으로 악성 코드를 놓칠 가능성이 높아지고 버립니다.

마찬가지로 샌드 박스 형으로 불리는 안전한 격리 된 환경에서 의사 적으로 파일을 개봉하여 문제가 없는지를 확인하는 방법도 적용 할 수없고, 악성 코드에 그냥 지나침되어 버릴 가능성이 높아집니다.

4. 스마트 폰 단말기에서 볼 수 나쁜

코로나 재난에 의한 텔레 워크 (원격 작업)의 일반화 등으로 스마트 폰 비즈니스 활용 장면도 많아지고 있습니다.

그런 상황에서 스마트 폰으로 업무 메일을 확인하는 데 문제가되는 것이 ZIP 파일의 열람 성 행동입니다.

스마트 폰에서 ZIP 파일을 압축 해제하려면 전용 응용 프로그램이 필요한 OS도 아직 많은 수신자로 불편을 느끼기도 적지 않습니다.

5. 정보 보안 대책을 충분히하고 있다는 자만심을 낳는다

전술 한 바와 같이 정보 보안 대책으로 PPAP의 기밀성은 지극히 낮습니다.

그러나 회사는 PPAP을하고있는 것으로 "우리는 정보 보안 대책을 충분히 실시하고있다"고 착각 해 버립니다.

이로 인해 본래 수행 할 대책을 할 수있는 기회를 놓치고 수행해야 할 투자하지 않고 자사와 고객의 민감한 정보를 위태롭게 계속 버립니다.

PPAP 대안

수많은 단점을 지적되고있다 PPAP의 대안으로 다음의 것을들 수 있습니다.

  1. 온라인 스토리지 활용
  2. S / MIME 사용

각각에 대해 자세히 살펴 싶습니다.

1. 온라인 스토리지 활용

온라인 스토리지는 인터넷에 파일을 업로드하고 다른 사람들과 공유 할 수있는 Web 서비스입니다.

다운로드에 필요한 암호를 설정하거나 검색 및 다운로드를 할 수있는 사람을 제한하는 등 기본적인 보안 기능을 갖추고있는 것이 일반적입니다.

PPAP와 달리 파일 다운로드시에 회사가 제공하는 악성 필터를 통과시킬 수 있으며, 권한 설정에서 다운로드 할 수있는 상대를 지정해 두는 것이 오 송신 방지의 역할도 완수합니다.

2. S / MIME 사용

이메일 자체를보다 안전한 상태로 하자는 S / MIME입니다.

S / MIME (에스마이무)는 "Secure / Multipurpose Internet Mail Extensions"를 생략 한 말로, 신뢰할 수있는 제삼자 기관의 인증 기관이 발급 한 전자 인증서를 이용하여 전자 메일 암호화 및 전자 서명 를 가능하게하는 구조입니다.

이 기술은 메일 도청과 스푸핑을 방지 할 수 있다고되어 있습니다.

일본의 경영진은 PPAP를 폐지 할 수 있는지

그럼 일본의 민간 기업의 경영진은 다양한 단점이 지적되고있다 PPAP의 폐지로 방향을자를 수 있을까요.

불행히도 일본 기업의 경영층의 대부분은 정확한 판단을 빠르게 할 능력이 결여되어 있습니다.

경영진뿐만 아니라 조직 전체로 보더라도 모두가 자신이 책임을 취하지 않아도처럼 여기 저기 돌아 다니는 위해 기존의 구조 관행을 바꿀만한 사건은 좀처럼 진행되기 어려운 것이 현실입니다.

그러나 그런 게으른들도 "다른 사람이 이미하고있는"상황은 의외로 약한 것입니다.

새로운 것은하고 싶지 않지만, 「타사보다 늦게 싶지 않은 자신 만 손해 싶지 않아 ""그것이 표준이되었다고 말한다면 그렇게 할 책임은 발생하지 않을 것이다 "라는 심리가 작용한다.

그 점에서도 이번 정부가 앞장서 서 폐지에 나섰다 ​​것은 크다고 말할 수 있습니다.

PPAP에 한하지 않고, 전례 답습 이루어왔다 비효율적 인 업무 흐름의 개선을 일본의 경영진이 적극적으로 추진해 나갈 것을 바라 마지 않습니다.