平井デジタル相は脱PPAPで電話でのパスワード別送を推奨したのか?
要約: していない.記者会見の主眼はPPAP(自動暗号化ZIPファイル)の廃止であり,パスワード別送は限定的な状況を念頭に置いていると思われる(機密性の高い情報).特に電話は別経路の一例に過ぎない.
次のツイートが話題になったことは記憶に新しいでしょう.
暗号化メール、内閣府など廃止 平井デジタル相「対策不適切」https://t.co/MZCOZkp4tI
— 産経ニュース (@Sankei_news) 2020年11月24日
「自動暗号化ZIPファイル」を26日に内閣府と内閣官房で廃止すると明らかにした。
暫定的な対策として「(パスワードを)電話で教える」と例示した。他省庁の状況も実態調査を進める。
このツイートは11月24日に平井デジタル相が開いた記者会見の記事の紹介ツイートですが,「パスワードを電話で教える」という点で急速に拡散しました.
当日の記者会見の書き起こしが内閣府のページにアップロードされたので,この記事ではデジタル相の具体的な発言を見ていきます.
内閣府の対応
記者会見の初めに,デジタル相は次のように述べています(強調引用者).
まず私から、自動暗号化ZIPファイルの廃止について報告します。以前お話ししたとおり、アイデアボックスで投票数が第1位であった自動暗号化ZIPファイルの廃止については、先週17日の会見で、内閣府、内閣官房で廃止する方向で検討を進めているとお話ししましたが、明後日26日に廃止をする予定ということになりました。明後日からということですね。内閣府、内閣官房で採用していたZIPファイル送付と同じ経路でパスワードを自動で送る方式は、セキュリティ対策の観点からも、受け取る側の利便性の観点からも、適切なものではないと考えています。
一方で、個人情報等の気密性(引用注: 機密性の誤字)の高い情報を含むファイルを送信する際には、例えばファイルにパスワードをかけるとともに、全く別の経路でパスワードを知らせるということが、まずは適切な対応ではなかったのかと思います。
他省庁の状況についても、NISCと連携しながら実態調査を進めており、その結果を踏まえて、ZIPファイル送信、送付と同じ経路でパスワードを自動で送る方式については廃止するということを促したいと思っています。
このような取組は、政府内だけでなく、民間にも影響のあるものと考えておりまして、民間企業の対応なども注視しつつ、今後どのようなセキュリティ向上策をとっていくことが望ましいのか、これも実際にいろんなところで仕事をされている民間の方々に、アイデアボックスの中にでもまたアイデアを送っていただきたいと思います。
このような例は利用者目線でデジタル改革を進める、そして国民の利便性を実現していくという意味では重要ではないかと思っています。ZIPファイルは以上です。
つまり,まず内閣府ではメールの添付ファイルを自動的に暗号化ZIPしてパスワードを同じ経路で伝送するシステムが運用されており,それの利用を取りやめるということが記者会見の主要なメッセージであることが分かります.
そして別経路を用いてパスワードを伝送するのは機密性が高い情報(個人情報等でしょう)を送信する場合の方法の一つとして挙げられています.まだ電話の話は出ていません←ここ大事.
また,より望ましい方法を模索している段階であることが伺えます.
では,電話でパスワードを送るという話はどこで出てきたのでしょうか.それは会見後の質疑応答のタイミングです.
(問)冒頭にあったZIPファイルについてお尋ねしたいと思います。26日から廃止ということですけれども、26日以降内閣府と内閣官房からはどういった形式でファイルの送信をされるのでしょうか。
(答)それはまだ決まっていません(引用者注: 今は決まっているのでこの記事も最後まで読むこと)。いろんなやり方を考えなければいけないと思うんですけれども、セキュリティ上、今のZIPファイル、その運用というのは非常にまずいと思います。かえって危険性が高いと思っているので、そこはこれから検討するということですし、お話ししたとおり、実際いろんなファイルのやりとりを民間の方々も頻繁にやっておられますので、民間の方々の知恵も是非投稿していただければありがたいと考えています。(問)やり方が決まるまで、暫定的にパスワードとかを付けずに送るということになるんですか。
(答)それは、パスワードを送るとしても、要するに今は同じルートで送っていましたよね。さっきお話ししたとおり、それは絶対にやってはだめと。ですから電話で教えるとか、そういうことにならざるを得ないんじゃないですか。(問)それか、メールで送るとしても、別のメールとかアドレスとか。
(答)御社は専門家なので、是非アドバイスをください。
というわけで,電話はパスワードを送る必要がある場合の方法の一つとして挙げられているのにすぎず,例えば大部分をパスワード暗号化 + 電話によるパスワード伝送に移行するという話ではないのだと分かります.
実際,ITMediaの記事によると内閣府は自身の運用するストレージサービスを主に用いるようです.
内閣府情報化推進室によると、今後は外部へのファイル送信には内閣府のストレージサービスを活用し、ファイルを共有する。外部の事業者などには内閣府のシステムにアクセスするためのURLとログインパスワードを発行。URLやパスワードは1回限りの使い捨てになるという。
一方、内閣府のシステムにアクセスできない事業者に対しては、メールでファイルを送信するが、プロジェクトの立ち上げ時に決めたパスワードを利用して開封してもらう。単品ファイルの場合は、WordやExcelなどの暗号化機能を使い、複数のファイルを送信する際はZIPファイルでまとめて暗号化する。単発事業の受注者に対しては、例外的な運用として電話などでパスワードを共有するという。
ストレージサービスにアクセスできない事業者*1では暗号化パスワードを別経路で最初に伝えておくという方式とのことです.
あくまでもこれは例外的なケースではないでしょうか.面倒なセキュリティは回避されがち(そして元よりも残念になってしまうもの)なので,パスワード別送が常態化しないようにうまくやってほしいものです.
民間への波及
取引先から本当にパスワードが電話で連絡される運用が始まりました……
— にゃおきゃっと (@nyaocat) 2020年12月1日
内閣府の決定は民間にも波及しているようです.うーん残念.
どのような方法を採用するのが良いのかは以下の記事が参考になりました.ぜひご覧ください.
zenn.dev
以降ではセキュリティ対策よりもなぜ皆さんの心の中に「パスワードの電話伝送が使われていくのだ」という信念が宿るようになったのかを少し考えます.
ツイッターの反応
11月24日から「電話 パスワード」という語を含むツイートかつRTが50以上のものをを検索しました.いくつか取り上げてカテゴリ分けします.
メディア
暗号化メール、内閣府など廃止 平井デジタル相「対策不適切」https://t.co/MZCOZkp4tI
— 産経ニュース (@Sankei_news) 2020年11月24日
「自動暗号化ZIPファイル」を26日に内閣府と内閣官房で廃止すると明らかにした。
暫定的な対策として「(パスワードを)電話で教える」と例示した。他省庁の状況も実態調査を進める。
パスワードが記載されたメールを同じ経路で送ることを問題視。暫定的な対策として「(パスワードを)電話で教える」と例示しました。https://t.co/6Z2Hb6aIdK
— 毎日新聞 (@mainichi) 2020年11月24日
特に産経新聞のツイートが一番最初に来たものであることから,「電話パスワード」の拡散に大きな役割を果たしたように思われます*2.
メディアを批判したくなった人には「〇〇はクソ」って言うけれど… - 井山梃子歴史館をどうぞ.
まとめサイト
平井デジタル相「パスワード付きZIPメール廃止します。対策としてパスワードを電話で教える」 https://t.co/qxqmRssZHn
— Share News Japan (@sharenewsjapan1) 2020年11月24日
インターネットアルファ(疑念系)
PPAP「暫定的な対策として「(パスワードを)電話で教える」」 https://t.co/zP4kABiaz0 (そうじゃない感)
— Haruhiko Okumura (@h_okumura) 2020年11月24日
メールゲートウェイでマルウェアを検出できないからこれ危ないよねという話がウェイト大きいのに『暫定的な対策として「(パスワードを)電話で教える」と例示』
— ktgohan (@ktgohan) 2020年11月24日
NISCは最後の最後に民間にトドメ刺しにきたの? そうなの? https://t.co/qVzvmmcOiw
「暫定的な対策として『(パスワードを)電話で教える』と例示」…パスワードを電話で教える? https://t.co/AHfXzdu4gB
— 橋本麻里 (@hashimoto_tokyo) 2020年11月24日
インターネットアルファ(大喜利系)
「ではzipファイルのパスワードを電話にて通達します。Papa Alpha Sierra Sierra Whiskey Oscar Romeo Deltaです」
— ǝunsʇo ıɯnɟɐsɐɯ (@otsune) 2020年11月24日
霞ヶ関にて。電話 リリリ 職員「もしもし」電話「先ほど送った極秘書類のパスワードを伝える。誰にも知らせるな。そこの部屋にいる奴にもだ」職員「はい!」電話「パスワードは...だ。わかったか」職員「はい復唱します!(大声で)霞ヶ関のk、安倍のa、菅のs、えーとそれから」
— Kan Kimura (@kankimura) 2020年11月24日
「電話パスワード」報道への批判
電話でパスワードを伝える(のが標準)という記事はフェイクニュースでしょ。
— dynamis (でゅなみす/レッサーパンダの人) (@dynamitter) 2020年11月24日
まともな説明書いてるこういう記事だけ拡散されるようになってほしいです。https://t.co/fO3aL9Nhqr
これらの感想ツイートや上で挙げた電話パスワード採用ツイートから分かるように「電話でパスワードを送るようにするべきだと国は考えている」という信念はある程度広まっているようです.
自分はそんなことないんじゃないかなあと思いますが(実際内閣府もストレージサービスがメインのようです),人間はニュースを読まずにリツイートしてしまう存在なので難しいですね.
幸いにして,インターネットのおかげで一般人でも一次情報にアクセスしやすくなっています.例えば記事冒頭の記者会見要旨へのリンクに飛ぶのは一瞬ですし,平井デジタル相は自身のYouTubeチャンネルにも動画をアップロードしています.
www.youtube.com
表面的な情報に対して瞬発的にいっちょ噛みするのはなかなか楽しいのも分かりますが,具体的に起こったことやニュアンスを確認してみるのも健全だと思います.
例えば
ということを自分は心掛けるようにしています.皆さんもぜひ.