劇場型セキュリティと PPAP

no extension

最近セキュリティ関連で PPAP なる謎の隠語を聞くのだが,どうも「情報処理」2020年7月号の特集記事が発端らしい?

命名の元ネタはもちろんアレである(笑)

PPAP(Pen-Pineapple-Apple-Pen Official)ペンパイナッポーアッポーペン/PIKOTARO(ピコ太郎) - YouTube

PPAP については特集記事を見ていただくとして,簡単にいうと,暗号化 zip ファイルとその復号パスワードを相手に電子メールで送りつける日本独特の商慣行(笑)を揶揄した言葉のようだ。

つか,今だにこんなことやってる企業あるの? ホンマに?

劇場型セキュリティ(Security Theater)

「情報処理」2020年7月号でも説明されているが, security theater というのはゼロ年代初頭に起きた同時多発テロ(9.11)を受けて打ち出されたセキュリティ対策の間抜けさ加減を指した言葉で, Bruce Schneier さん著作の『セキュリティはなぜやぶられたのか』にも登場する。

セキュリティは、ある程度、どう感じるかという問題だと第1章で説明した。そうであるなら、実体だけでなく守られているという感覚も得られる対策が望ましい。しかし実際には、実体がなくて感覚だけの対策もある。それでは単なるセキュリティ芝居である。言い訳にすぎないのだ
via セキュリティはなぜやぶられたのか

最近でも COVID-2019 絡みで

As scientists and health care professionals in general agree, thermal imaging systems are an inappropriate and ineffective strategy for identifying individual cases of Covid-19 and preventing its spread. Beyond the wasted costs, installing thermal scanning as part of a “back to work” process might create a false sense of security that convinces some to prematurely return to their jobs and emboldens others to relax more effective strategies, such as social distancing and responsible contact tracing efforts.
via The Public Is Being Misled by Pandemic Technology That Won’t Keep Them Safe

なんてな話もある。 PPAP とか典型的な security theater と言えるだろう。

暗号化 zip とか使うな!

そもそもの話として,暗号化 zip ファイルを解読するツールはそこらに普通に出回ってるけどね(笑)

まともな暗号化圧縮が使いたいなら gpgtar を使いましょう。

Windows 環境に限定するなら「アタッシェケース」等を使う手もあり(パスワード配布の問題は残るけど)。

電子メールとか使うな!

電子メールはよく葉書に喩えられる。 例として,年賀状に厨二病的な文言を書いて相手に「それ」が渡るまで,どれだけ見られる可能性があるか想像したら軽く死ねるだろう。

いわんや,国家権力をや,である。

大昔,電子メールは重要なメッセージング基盤だった。 だから PGP をはじめとして安全でない電子メールの内容をいかに安全に相手に届けるか,を真剣に考える必要があった。 しかし今日においては,苦労して電子メールなんか使わなくても秘密を安全に配信する手段はあるのだ。

むしろ電子署名をちゃんとしようよ

私は GnuPG を日常的に使ってるが git commit 時の電子署名が主な使い道である。 職業エンジニアだった頃も機密文書の共有は Box や Dropbox 等のクラウド・ストレージを使うのが当たり前だったし,そこで暗号化が必要なら LibreOffice 文書に GnuPG で署名・暗号化すればよかった。

大袈裟な基盤は必要なく OpenPGP の peer-to-peer で緩やかな信用モデルの下に運用できていれば通常業務には十分である。

最近

のようなニュースを見かけるようになり「リモートワークがメインになれば要るよなぁ」と思った一方で,よりにもよって「情報処理」みたいな雑誌が PPAP がどうのとか言ってるのを見るとガッカリしてしまう。 日本の企業はどこまで周回遅れなのか。

もはや暗号化なんてどうとでもできるけど,ゼロトラスト云々な時代なら「そのデータは本当に『正しい』よね?」ってのがより重要なんじゃないのか。

とっとと次に行こうぜ。

参考図書

photo
情報処理 2020年7月号
情報処理学会 (著)
2020-06-15 (Release 2020-06-15)
Kindle版
B089N3VX86 (ASIN)
評価     

PPAP 特集(笑)

reviewed by Spiegel on 2020-06-25 (powered by PA-APIv5)

photo
セキュリティはなぜやぶられたのか
ブルース・シュナイアー (著), 井口 耕二 (翻訳)
日経BP 2007-02-15
単行本
4822283100 (ASIN), 9784822283100 (EAN), 4822283100 (ISBN)
評価     

原書のタイトルが “Beyond Fear: Thinking Sensibly About Security in an Uncertain World” なのに対して日本語タイトルがどうしようもなくヘボいが中身は名著。とりあえず読んどきなはれ。ゼロ年代当時 9.11 およびその後の米国のセキュリティ政策と深く関連している内容なので,そのへんを加味して読むとよい。

reviewed by Spiegel on 2019-02-11 (powered by PA-APIv5)

photo
暗号化 プライバシーを救った反乱者たち
スティーブン・レビー (著), 斉藤 隆央 (翻訳)
紀伊國屋書店 2002-02-16
単行本
4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN)
評価     

20世紀末,暗号技術の世界で何があったのか。知りたかったらこちらを読むべし!

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)