無料オンライン講座の告知です。

埼玉県のデジタル育成事業のひとつであるDX推進講座で
オンライン講座の講師をさせていただくことになりました。

9/21(水)、9/22(木)の2日間にわたり、
「中小企業のデジタル化推進のための環境整備」をテーマに
3時間×3講座をさせて頂きます。

埼玉県内の中小企業の従業員限定の無料講座です。
対象の方でご興味のある方は、ぜひ下記サイトよりお申し込みください。
https://www.pref.saitama.lg.jp/a0811/digital_startup.html

リアルタイムの講座実施後、
しばらくの間はアーカイブ動画も配信されるようなので
当日のご都合がつかない方も是非どうぞ。(講座申込は必要です。)

「脱PPAP」??

PPAPでネット検索すると、2016年にYoutubeで1億回以上の再生で一世風靡したピコ太郎さんの「ペンパイナッポーアッポーペン」が真っ先にでてきますが、もちろんそれとは別の話です。「メールで添付ファイルを送る際に、パスワード付き圧縮を行い、パスワードを別メールで送る」セキュリティ対策のことを最近はPPAPと呼ぶらしいです。

P: Password付きZIPファイルを送ります、
P: Passwordを送ります、
A: Angouka（暗号化）
P: Protocol（プロトコル）

よくあるIT略語ぽい響きのPPAPですが、Angouka(暗号化)などは完全に日本語で「えっ?」と思ってしまいました。どうやらピコ太郎さんのPPAPから着想を得て命名されたようです。

PPAPはメール誤送信による情報漏えい対策としてかなり普及した手法ですので、現在も行っている企業も多く、取引先からパスワード付きZipファイルを受け取ったことがある方は非常に多いことでしょう。このPPAPについて、2020年11月に平井卓也デジタル改革担当大臣が中央省庁で廃止を宣言したことから「脱PPAP」に追随する企業が増えてきているとのことです。その大きな理由は、パスワード付きZipファイルが「セキュリティ対策効果が低い」「ウイルス感染のリスクを増やす」「企業の生産性を低下させる」ということになっています。

パスワード付きZipファイルをメール添付することのセキュリティ対策効果が低いことは多くの人が気づいていましたが、これまで見て見ぬふりをされてきていました。お上が公言したことから今後この動きは加速していくことでしょう。パスワード嫌いの私にとっては大歓迎です。

そこで、今回は「パスワード付きZipファイルのパスワードを解析には、どの程度の時間が必要なのか?」を実験・検証してみました。

また、社内・部署・グループなどで共通パスワードを決めて機密情報の管理を行う場合に、どのようなパスワードを使うべきかも併せて考えていきます。

パスワード解析実験

パスワード付きZipファイルを作成し、無料で利用できるパスワード解析ツールを使って実験を行いました。

準備

パスワード付きZipファイルの作成には「7-zip」という無料ツールを使用しました。(Windows10では標準機能でパスワード付き圧縮ができなくなっているようです。今回初めて気がつきました。)

5桁と短くて記号も含めた複雑なパスワードと、アルファベットと数字のみを使用した6桁パスワードのどちらが強いかを比較するため、下記2種類のパスワード付きZipファイルを用意しました。(あと、オマケで4桁のごく短いパスワード(D6#c)についても実験しています。) 使用する文字種のうち、記号については16種類のみ検索対象としました。

パスワード付きZipファイルの解析には、PikaZip(Ver1.17)というフリーソフトを使用しました。最新版が2003年と古いソフトですがWindows10でも使用可能でした。Vectorなどから現在でもダウンロード可能です。

パスワード解析の方法は、総当たり方式で行っています。総当たり方式というのは、ダイヤル錠の数字をひとつひとつ試して解錠するように、全ての文字パターンを順番に試行し正解に当たるまで繰り返す方法です。

実験結果

 まずは、オマケの4桁パスワードの解析について

結果は２秒でした。ほぼ一瞬です。パスワードにトライする回数に制限がなければ、コンビューターにとって４桁のパスワードはないのと同じです。

続いて、５桁で、大文字・小文字・数字・記号ありのパスワードについて

結果は、１分８秒でした。多少の時間はかかりますが、記号を含めたランダムな文字列であっても５桁程度のパスワードでは、セキュリティ的な意味はほとんどないことがわかります。

最後に、６桁のパスワードですが、アルファベットと数字のみで作られたものです。

結果は、３１分２３秒でした。記号を使わない前提であっても、５桁から１桁増やすだけでパスワード解析にかかる時間は大きく増加します。しかし、普通に市販されているPCを使って30分で解析できるとなると、６桁程度のパスワードではセキュリティ対策としてはほぼ無意味といえます。

パスワード解析時間に関する考察

実験結果は、あくまで一例であり、総当たり解析では全てのパターンを網羅する前に正解にあたればそこで終了となるため、パスワードの文字の並び方でも結果は変わってきます。(今回の例では、検索順番の遅い数字や記号から始まるパスワードであれば、解析時間は長くなります。)

しかし、情報漏えい対策としてファイルにパスワードをかけたとしても、6桁以下のパスワードでは特別な機材を必要とせず簡単に解析できてしまうことが分かりました。

今回の実験では、毎秒約1000万通りのパスワードを試行したという結果になりました。この数字はパソコンの性能や使用するソフトウェアによって変わります。下表は、パスワードの桁数と記号を使用するかどうかで、総当たり解析にかかる時間をまとめたものです。

実際には全てのパターンを網羅する前に正解にたどり着くため、上の表の時間より短い時間で解析完了することを考えると、７桁以下のパスワードはセキュリティ対策としての意味はほとんどないことがわかります。

パスワードの桁数が同じ場合、記号を含めたパスワードを使用した方が解析により時間がかかりますが、６桁で約４倍、８桁で約６倍、10桁で約10倍の効果です。一方、桁数を増やした場合は、7桁から8桁にすることで、記号なしで62倍、記号ありで78倍と大きな効果が得られます。

ただし、桁数が大きくても辞書に登録されている文字列をパスワードに使用した場合は、辞書攻撃といわれる手段で一瞬のうちに解析されてしまうため、使用する文字列はランダムなものにする必要があります。

PPAPツール(メールの添付ファイルを自動でパスワード付きZipファイルに変換するツール)では、通常１０桁以上で英数字・記号をランダムに配列しているため、パスワードの強度的には現時点では実用的だといえます。(ただし、PPAPそのものが有効かどうかは別の話です。)

共通パスワードの決め方

情報セキュリティ対策として、会社内、部署、取引先などと共通のパスワードを決めてファイルの暗号化を行っている場合は、以下のことに注意しましょう。

ランダムな文字列はパスワード生成サイトなどを利用すると簡単に作成可能です。(「パスワード生成」で検索すると無料で使えるサイトがたくさん出てきます。)

ただし、完全にランダムな文字列を暗記するのは非常に大変ですので、内輪のメンバーにとっては覚えやすく外部の人からは推測されにくいパスワード作成方法についてひとつ紹介しておきます。

ファイルにパスワードを書ければセキュリティ対策は十分ということにはなりませんが、ご参考になれば幸いです。
冒頭で触れたPPAPの問題についても、また別の機会に考察してみたいと思います。

SECURITY ACTIONとは

SECURITY ACTIONとは、IPA(独立行政法人情報処理推進機構)が運営する中小企業の情報セキュリティ対策を推進するための取り組みです。2017年2月にIPAと中小企業関連団体(中小企業診断協会、全国商工会連合会など9団体)が創設しました。

詳しくは「SECURITY ACTIONホームページ」をご覧ください。ここではポイントを説明していきます。

• セキュリティ対策の「認定」精度ではなく、「自己申請」制度です。情報セキュリティ対策に取り組むことを企業自らが自己アピールすることで、情報セキュリティ対策の浸透を目指す制度です。したがって「認定されました」や「取得しました」はNG表現となります。
• SECURITY ACTIONの宣言はWEBサイトから行います。自己宣言を行うことでSEURITY ACTIONのロゴマークを自社のポスター・パンフレット・名刺・WEBサイトなどに掲載して、セキュリティ対策の取り組みをアピールすることができます。
• SECURITY ACTIONには「★一つ星」と「★★二つ星」の2段階があります。「★一つ星」は企業の情報セキュリティ対策として基本中の基本の対策実施宣言ですぐに実施可能な対策が要件となっています。「★★二つ星」には「5分でできる！情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティ基本方針を定めて外部に公開するといった対応が必要です。
• IT導入補助金2021の公募要領では、申請要件として「★ 一つ星」または「★★ 二つ星」いずれかの宣言を行うこととなっています。(「★★二つ星」申請に加点があるような記載は見られません。)情報セキュリティ基本方針の策定などをまだ行っていまい場合は、まずは「★一つ星」を宣言して、社内での対策を進めて改めて「★★二つ星」の宣言を行うといったことも可能です。

 ★一つ星

IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」は全60ページの読み応えのある資料ですが、そのうちの付録1「情報セキュリティ5か条」に取り組むことを宣言したことを示すものです。付録1の5か条は以下の5つです。

1. OSやソフトウェアは常に最新の状態にしよう!
2. ウイルス対策ソフトを導入しよう!
3. パスワードを強化しよう!
4. 共有設定を見直そう!
5. 脅威や攻撃の手口を知ろう!

付録1「情報セキュリティ5か条」は両面チラシの体裁で、具体的な対策方法も含めて記載されたものですので、このチラシを社内で配布して周知徹底するところから取り組みをスタートすることができます。

★★二つ星

中小企業の情報セキュリティ対策ガイドラインの付録3「5分でできる！情報セキュリティ自社診断」を使い、自社の情報セキュリティの対応状況を把握し、情報セキュリティ基本方針を定め、外部に公開するところまでが取り組みの内容です。

情報セキュリティ自社診断の診断項目は、「基本的対策」「従業員としての対策」「組織としての対策」の3パートで合計25項目あります。

チェクシートの各項目について「実施している」が4点、「一部実施している」が1点、「実施していない」が0点、「わからない」が-1点で、全25項目について診断を行います。最高点が100点ですが、何点以上が合格という基準はありません。

事故診断結果について宣言申請時に報告する必要もありませんが、「SECURITY ACTION ロゴマーク使用規約」には「事務局は(ロゴの)使用希望者に対して、情報セキュリティポリシー（基本方針）の公開の事実を確認したり、「５分でできる！情報セキュリティ自社診断」の実施結果の提出を求めたりする場合があります。とあるので、診断記録については残しておくのが良いでしょう。

自社診断において重要な点は、情報セキュリティの対応が不十分な項目について把握し、その改善活動を行うことです。チェックシートの後にある「解説編」が参考になります。

もう一つの要件である「情報セキュリティ基本方針を策定し外部に公開する」について、すでに策定済みの場合、あるいは策定して公開済みの場合は、★★二つ星の宣言申請時に改めて何か行う必要はありません。

情報セキュリティ基本方針を定めていない場合は、SECURITY ACTIONホームページの★★二つ星ロゴマークの説明のところに、サンプルがあるので、これを参考に策定すると良いと思います。

SECURITY ACTION宣言してみる

当事務所の開設以前は、セキュリティ関連の仕事をしていたこともあり、情報セキュリティ関連については日頃から注意をしておりますが、一人事務所で組織としての対策などはないため、今回は「★一つ星」の宣言を行ってみました。

① SECURITY ACTIONホームページの自己宣言事業者の申込方法のタブをクリックします。ロゴマークの使用規約や情報セキュリティ5か条のチラシダウンロードなどのリンクがあるので、一通り確認しておきます。ページ下方にある「SECURITY ACTION自己宣言者サイト」のボタンをクリックすると、申請サイトへ移動します。

② 「自己宣言する」ボタンをクリックします。

③　ロゴマークの使用規約が表示されるので内容を確認し、「使用規約に同意する」ボタンをクリックします。(使用規約を最後までスクロールして読まないとボタンは有効化されません。)

④　事業者情報を入力し、「次へ進む」をクリックします。

⑤　入力内容の確認画面が出てくるので、確認して問題なければ次へ進みます。

⑦　入力したメールアドレス宛に受付確認のお知らせが送られてくるので、メールに記載されたURLをクリックします。

⑧　自己宣言が完了し、利用者番号と自己宣言IDが発行されます。(しばらくするとメールも送信されてきます。)
ひとまずこれで自己宣言作業は完了ですが、ロゴマークのダウンロードができるようになるまで1～2週間ほどかかるので、使用可能になるまで待ちましょう。

SECURITY ACTION ロゴマークのダウンロード

2021年4月12日に宣言の申請を行い、4月25日に「申込受理のご連絡」というメールが届きました。きっかり2週間かかりました。メールに記載されているSECURITY ACTION自己宣言<TOP>のURLをクリックし、申請時に通知された「利用者番号」(11桁の数字)と申請時に設定したパスワードを使ってログインします。

ログインすると「ロゴマークダウンロード」のボタンが表示されます。これをクリックすると注意事項として使用許諾と使用ガイドラインを確認するように書かれていますので、これらのボタンをクリックするとロゴのダウンロードボタンが表示されます。

Zipで圧縮されたダウンロードファイルの中にはカラーとモノクロのロゴがJPEG形式とPNG形式で収録されていました。使用ガイドラインに従ってパンフレットや名刺などにロゴマークを載せて、社内の情報セキュリティ意識の向上や対外的なアピールに活用していくと良いでしょう。

まとめ

IT導入補助金の申請要件になっているSECURITY ACTIONの宣言ですが、宣言すること自体は簡単です。

しかし、情報セキュリティ対策において最も重要なことは、「継続的な取り組みと見直し」です!
これをきっかけとして社内のセキュリティ方針や対策を見直してみてはいかがでしょうか。