Limitless/圧縮パスワード別送運用無意味論争

圧縮パスワード別送運用無意味論争 †

基本的に無意味。
暗号化圧縮メールを盗聴して，パスワードメールを同様に盗聴することは容易。
そもそも暗号化圧縮ファイルを単体で解析することも可能。
正直ITのプロフェッショナルの対応の主流がコレって言うのが残念でならない。

フリーソフトでも復元が可能だし極めて危険な方法。
内閣官房情報セキュリティセンタでは，
「庁舎内におけるクライアントPC利用手順」として以下の記載がある。

「行政事務従事者は、保護に用いたパスワードについては、
あらかじめ受信者と合意した文字列を用いるかあるいは、
電子メールで送信せずに電話などの別手段を用いて伝達すること。」 

じゃーどうして流行ってるの？ †

この日本独自のガラパゴスルールが広がった背景には，
『Pマーク』の添付ファイルの取り扱いに関する具体的な例の悪影響がある。
Pマークだか，ISMS認証を取得するためのガイドライン作成時に
既存の運用に影響を与えずに導入できる対策として苦し紛れに作られたからで，
こんなことをしたところで，
作業者にかかる工数をペイできるほどの効果が無いことは誰もが知っているのに
やめることができずに生き残っている。

プライバシーマークの現実 †

正直俺は下らない制度だと思ってる。
ある程度政府がお墨付きを与えている感じが立ち悪い。

結局は，コンサルタント会社に頼んで，この審査が通るように関係するものを改善する。
結果としては，ほとんどマニュアル化された作業を進めるだけ。

取ってるからOK。皆と同じだからOK。
何かと認定資格があるけど団体側はそれらを取り締まる事はない。
認定コンサルがいて，お金さえあれば認定される。
何もないよりは良さそうに見える。

じゃあ何のためにあるのか？
問題が起きた時にちゃんとやってるし第三者にお墨付きもらってます。って言える。
これだけでしかない。

取引先を選ぶ時もそう。Pマークの会社だからきっと大丈夫。
本当は，問題が起きても俺たちはPマーク持ってる会社さんを選んだんです。
って言いたいだけ。ユーザのためとかではなく自己の保身のためでしかない。

問題はマークがどうのじゃなくてちゃんとやっているかどうかなんだけどね。

本当に効果はないのか？ †

実は，情報漏洩はヒューマンエラーが6,7割と言われているので，
1通目送信後に，誤送信に気がつく場合もあるので
誤送信対策と言う意味では効果が無いとは言い切れない。
ソーシャルワークや人為的過誤への対策だとすれば確かに効果が無いとは言い切れないが，
慣れによるミスなので，2通送ってミスに気が付くことも多く
Gunzとしては，やはりこの方法を押すことはできない。

文句は良いから対応はどうなのよ †

GPGを使えと言う話。それだけでメール自体を暗号化できる。
他にも色々あって事前に取り決めを行って古代からの暗号を使えば良い。
置き換え式と言うか換字式暗号とか転置式暗号を使っても良いし，
単純な暗号を組み合わせても良いと思う。
まぁやろうと思えばどうにでもなるけど，
この国ではどの企業もろくな対応をしてないのが残念でならない。