新型コロナウイルス感染症(COVID-19)は私たちの生活を大きく変えました。いや、現在進行形で変えている最中かもしれません。これを面倒なことだと思うか、それとも降ってわいた有史以来のチャンス(?)と思うかはその人次第。ならば、これを機に一気に生活を変えるとまではいかなくても「変えることを考えるきっかけの検討」程度でも始められれば、それは非常に大きな一歩なのではないでしょうか。
とはいえ「何を変えるのか」を考える段になると、一体何をどう変えればいいのか戸惑う人もいるでしょう。この際、今まで当たり前だったプロセスをどう効率化できるかを考えてみましょう。つまり、そこから「何を捨てるか」「実はムダだったものは何か」を考えるのです。今回はセキュリティ記者として個人的に「この際捨てるべし!」と考えるもの2つを紹介します。
この際捨てるべし 〜1つ目〜 ハンコを何とかしよう
1つ目は、テレワークが始まったときに“最大の敵”とも考えられた「ハンコ(押印)」文化です。書類になつ印するためだけに、感染のリスクを覚悟しながら泣く泣く出社したり役所に出かけたりした方は多いと思います。とはいえ、さすがにハンコをいきなり職場や生活から捨てることは難しい――と考えていたら、これに関しては大きな援護射撃が法務省から出てきました。
同省は2020年6月19日、その名も「押印についてのQ&A」という文書を公開しました。法務省自ら「今般、テレワークの推進の障害となっていると指摘されている、民間における押印慣行について、その見直しに向けた自律的な取組が進むよう」公開したとしています。
同文書の冒頭には「ハンコをなくす」ことを考えたとき、誰の頭にも浮かぶだろう懸念事項――「契約書に押印をしなくても、法律違反にならないか」という項目が出てきます。
同項目には、契約書はあくまで「当事者の意思の合致により成立」するもので、押印は「必要な要件とはされていない」とあります。契約書に押印が必須でないのなら、社内文書にだって同じことがいえるはずです。
実際、私が2000年ごろに外資系の企業にいた当時、回ってくる社内文書のチェックと決裁は、それぞれの責任者が登録した手書きのサイン(それも、崩すどころではなく、ほとんど記号にしか見えないようなもの)で実施していました。日本の商習慣に慣れていた私は、初めてそれを見たときびっくりしたのを覚えています。しかし、冷静に考えれば、当事者同士で「意思の合致」さえ確認できれば決裁書類はやりとりできるのです。その後すぐに書類の決裁は電子化されましたが、基本的な考え方は変わりません。
恐らく、いきなり日本の職場からハンコを全てなくすことは不可能でしょう。しかし、「法務省も認めている」「アフターコロナに向けて慣行を変えよう」という流れを作れれば、意外に早く“ハンコのない未来”実現できるかもしれませんよ。
チェックしておきたい人気記事
この際捨てるべし! 〜2つ目〜 みんな知ってる「PPAP」を何とかしよう
次は「PPAP」です。ここでいうPPAPとは、ピコ太郎さんがミームとして全世界に広げた“ペンパイナッポーアッポーペン”ではありません。PPAPとは、日本情報経済社会推進協会(JIPDEC)の大泰司章氏が取り上げたプロトコルで、皆さんが職場で身近に感じていて、「アレ、本当に効果あるの?」と思っているITしぐさです。
職場から今すぐなくしたい「PPAP」とはすなわち、
- P:パスワード付きZIP暗号化ファイルを送ります
- P:パスワードを送ります
- A:暗号化
- P:プロトコル
というもの。さて皆さん、心当たりはありましたか。普段職場でメールをやりとりしていると、「PPAP」方式で添付ファイルが送られてくるケースがいまだにあると思います。
一見、このやり方は非常に手軽に実現できる“セキュリティしぐさ”のようでしょう。しかし、実はセキュリティ面でリスクをはらむだけでなく、非効率な部分もあるのです。
例えば、添付ファイルにパスワードがかかっていると、職場で運用されているマルウェアフィルターをすり抜けてしまいます。また、攻撃者がターゲットにした企業のメールを盗聴していた場合、添付ファイルの付いた1通目、パスワードを記した2通目の両方が見られている可能性が高く、そもそも秘匿効果は薄いとされています。また、このメールを「iOS」などで動くiPhoneやiPadで受信すると、ZIPファイルを開くのに一苦労しますよね。その点でもこの仕組みはちょっと何とかできないかなあ、と思うわけです。
ではなぜ、「PPAP」はなくならないのでしょうか。恐らく、多くの組織では運用ポリシーで推奨されているからではないでしょうか。また、企業のセキュリティを評価する指標に採用されている場合もあるようです。誰が始めたかは分かりませんが「それをやれと言われたから、皆が疑問を差し挟まずに従ってしまう」――PPAPがはびこるのは理由はその程度のはずです。中には、添付ファイルをメールに付けて送信すると自動で暗号化し、パスワードを別送する“PPAP自動化”の仕組みを採用している企業もあるはずです。
PPAPだけではありません。職場にいつの間にか浸透し、誰も疑問に思わないけれど、実は無意味に近い施策――。これこそ、今のタイミングでしか捨てられないものなのではないでしょうか。
どうすれば、職場から“PPAP”をなくせるのか?
では、PPAPを本気でなくしたい場合はどうすべきでしょうか。今のタイミングでメールやファイル保護のシステムを新たに内製する方法は、さすがに現実的ではありません。最も効率的なやり方は、クラウドサービスを使う方法でしょう。電子決裁システムとしてグループウェアを利用できるでしょうし、PPAPに関してはオンラインストレージをフル活用することが解決策になり得るはずです。
そもそも、職場にPPAPが導入された理由の一つは、メールの誤送信対策のはずです。つまり、パスワード付きのファイルを本来送ってはいけない相手に誤っておくってしまっても、2通目のパスワードを誤送信しなければ情報漏えいとはならない……はずです(弱いパスワードであればそうはならないでしょうが)。
クラウドストレージを使った誤送信対策は簡単です。まず、これまでメールに添付していたファイルをクラウドストレージにアップロードします。その上で共有権限を設定し、リンクをメールで適切な相手に送信するのです。万が一間違った送信先にメールを送ったとしても、共有権限をオフにすることで閲覧できなくなります。もっと手軽に送信したい、クラウドストレージ契約するにも時間がかかるというならば、以前の連載記事で紹介した「Firefox Send」を活用するのもいいでしょう。少なくとも、PPAPよりは細かいコントロールが可能になると思います。
セキュリティに精通した読者には「まだこんなことをやっているの?」と言われそうですが、実はPPAPは情報処理学会の「情報処理 7月号」でも特集が組まれるほどの話題になっています。みなさんもこの際、現場から「ハンコやPPAP、何とかしませんか?」という声を上げてみてはいかがでしょうか。時間はかかるかもしれませんが、いまこそ“検討の”“準備の”第一歩を踏み出すときです。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。
関連記事
チェックしておきたい人気記事
"それを見て" - Google ニュース
June 23, 2020 at 05:00AM
https://ift.tt/2Ym5pH8
セキュリティ的に意味なし “旧ノーマル”な職場にはびこる習慣、その名も「PPAP」を知っていますか - ITmedia
"それを見て" - Google ニュース
https://ift.tt/380rBsi
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment