■Pマークが何故批判されているのか分からぬ

パスワード付きzipのメール添付の件。

Pマーク(or ISMS)が批判されているが、皆どんなチェックがされるのか知ってるの？ 内容を知らないのでイマイチ批判の波に乗れないんだよね。自分の検索能力が低いだけかも知れないけど、公開されていないようで文書が見つからず真偽を確かめられないし。

なので、ここから先は自分の推測。間違っていたら指摘して欲しい。

PマークやISMSの認定では「パスワード付きzipしろ」と明言されているわけではなく、「メールでファイルを送るなら暗号化しなさい」くらいの話だと想像している。

もちろん、「パスワード付きzipで送付します！」に対してダメと言わないPマークが悪いとも言えるが、以下が担保されればセキュリティとしては問題ないように思う。

• 強い暗号化アルゴリズムであること
  • ZipCryptを使ったらダメだと思うけど、7-zipなどではAES-256が使える。審査時に「AES-256使います！」って言えばPマーク側はは文句言えないよね。
• 通信経路がTLS等で暗号化されること
  • MTA↔MTA間まで確認しているのかは激しく疑問だけど、「暗号化されているので問題ありません」で通ってしまいそう
• パスワードは別経路で相手に知らせる（もしくは既知である）こと

審査がザルなんだろうとは思うけど、受ける側が嘘ついてたらどうしようもないし、PPAPが手間が掛かる/非効率である点はPマーク側がどうこう言う話ではない（本当はコストを考慮した上でのセキュリティであって欲しいけどね）。

あと、別ソリューションとしてよく挙げられる外部ストレージサービスの活用について、Pマーク側が禁止しているわけじゃないよね？ 禁止していないなら、それを採用しないお宅が悪いのであってPマークを批判するのはお門違いなのでは？と思っている。

とりとめもなく書いたが、思っていたことをぶち撒けられてスッキリした。

じゃあな。

Permalink | 記事への反応(0) | 11:52

ツイートシェア