PPAPを何とかしたいがPHSも何とかしたい（PDF版）

PPAPを何とかしたいのだが
PHSも何とかしたい
テツ太郎@CSSx2.0 in CSS2019
Produced by 上原哲太郎@立命大

Ｐasswordつきzip暗号化ファイルを送ります
Ｐasswordを送ります
Aん号化
Ｐrotocol

今月テツ太郎が受信したPPAP
某新聞社（全国紙）
某私立大学
某私立大学その2
某独立行政法人（2通）
別の某独立行政法人
某ITベンダ（SI）
某IoTセキュリティ企業（4通）
某セキュリティベンダ（6通）
別の某セキュリティベンダ
某NPO（10通くらい？）
他でもない自分の勤務先（3通）
ほぼ
毎日来る

PPAPに意味はない!!
暗号化ファイルが受信できる攻撃者は
パスワードも受信できる
パスワードが運良く漏れなくても
パスワードによるファイル暗号化は
オフライン攻撃に弱すぎる
そもそもメール盗聴は通信路よりも
アカウント窃取で行われている

PPAPには害がある!!
メールサーバでの
マルウェア対策を阻害
ひたすら受信者に
無意味な作業を強いて
生産性を落としている

https://www.facebook.com/groups/AntiPPAP/
Facebookグループ「くたばれPPAP！」

Email Security Conference 2019
「くたばれPPAP!」パネル
2019.10.11 @ 東京KITTE

遂に情報処理技術者試験に登場
令和元年度秋期情報セキュリティマネジメント試験午後問2
グループチャット版PPAP
②チャットで送るファイルはパスワードで暗号化する
⑤そのパスワードはチャットのメッセージで送信する

PPAPを
自組織から
辞めさせよう送信者に辞めるインセンティブはないのです…

事務文化との闘い
「何だか心配」「他でやってる」
監査基準との闘い
「形式的に基準を満たす」

政府機関等の情報セキュリティ対策の
ための統一基準の改定
7.2.1 電子メール遵守事項
「情報システムセキュリティ責任者は(略)
電子メールのサーバ間通信の暗号化の
対策を講ずること。」 SMTPのTLS化

①S/MIMEかPGP
②Webストレージ
③ユーザは何もしない
④SNS/Chat送信
どうするのが良い？

ちゃんとした
解決策を
考えませんか
我々はセキュリティのプロのはず！
みんなの幸せと働き方改革のために

メールに添付したファイルを
Printしてから
Hanko押して
Scanして
送って下さいプロトコル

2つの問題は相似形
PPAP
PHS
S/MIME
PGP
文書への
電子署名
理想現実

楠正憲氏
『業務のデジタル化が進まないのは（略）
未熟なデジタル技術が、今なお様々な観点から
紙を使った業務フローと「はんこ」に負けている
からに他ならない』
https://comemo.nikkei.com/n/n6137c309ec1c

ちゃんとした
解決策を
考えませんか
我々はセキュリティのプロ以下略

今はチャンス?ピンチ?
https://www.huffingtonpost.jp/entry/story_jp_5d7b46b3e4b077dcbd5b

2020年7月末
PHSサービス終了
ハンコPHSの方も
来年で終わりに!
したいナァ…

PPAPを何とかしたいがPHSも何とかしたい（PDF版）

More Related Content

More from UEHARA, Tetsutaro

Recently uploaded

PPAPを何とかしたいがPHSも何とかしたい（PDF版）