Blog
ZEROTOPブログ

株式会社ZEROTOPのスタッフブログです

パスワード付きZIPファイルは廃止へ…なぜダメなのか、その代替案は?

PPAP(パスワード付きzipファイル)というのはメールで添付ファイル送信時に、ファイルがZIP化され、直後にパスワードが送られるシステムで、官民問わず多く利用されています。しかし、2020年11月17日に平井卓也デジタル改革担当相が、中央省庁でのパスワード付きZIPの使用を廃止する方針を打ち出しました。平井氏は会見で、PPAPについて「セキュリティ対策や受け取り側の利便性の観点から適切ではない」と明言しました。本記事では、なぜPPAPはダメなのか、何か代替できる方法はないのか、ということについて解説します。

なぜパスワード付きZIPファイルはダメなのか?

ファイルにパスワードを掛ければ誰にも見られませんし、受信者しかパスワードを認証できません。多くの企業で使われているからという点で問題はないように思えます。しかし、パスワード付きファイルの運用には、下記2点のようなセキュリティ上の欠点が挙げられます。

①マルウェアの拡散を助長

例えば「Emotet」(エモテット)です。Emotetは主にEメールを感染経路とするマルウェアです。受信者が添付ファイルを開くと、Emotetがダウンロードされます。当初はオンラインバンキングのアカウント情報を窃取することを目的としたマルウェアとして報告されていましたが、最近では主にEメールによる感染が報告されており、日本国内の組織へ広く着信しています。本来メールサーバーにセキュリティ対策製品が施されていれば、基本的に自動検知・防御することができます。しかし、添付ファイルが暗号化されているとこれらのシステムが機能できなくなります。それを利用して「Emotet」は、Word形式のファイルをパスワード付きZIPにして添付し、パスワードを記載した偽装メールを送り、ユーザーに解凍させてマルウェアに感染させようとします。
一旦Emotetに感染すると、個人情報の流出や重要なデータの窃取、Eメールによる更なる拡散などの被害が発生する可能性があります。

②「二要素認証」ではないため、攻撃者から奪取しやすい

近年「二要素認証」をよく聞くようになりました。「二要素認証」とは、本人確認に2つ以上の異なる要素を組み合わせることで、セキュリティを強化する認証方式です。例えばSNSやインターネットバンキングなどのクラウドサービスにログインする時、従来のパスワード認証に加え、スマートフォン宛に送られてきたワンタイムパスワードを利用する方式となります。攻撃者にとっては、パスワードとスマートフォンの両方を奪取していないと突破できないことから、認証強度を高める事が可能です。

一方、パスワード付きzipファイル+パスワード別送というPPAPの運用は、結局同じ経路で送信してしまうので、攻撃者はメールという単一の要素を攻撃すればよくなります。わざわざ手間をかけて作ったzipファイルなのに、結局セキュリティの観点からあまり意味がないというわけです。

代替案は?何か選択肢があるのか?

では、パスワード付きzipファイルを廃止する理由が分かりますが、ファイルを安全に送るには代替できる方法はないのでしょうか。

① 外部オンラインストレージ

現在よく見られるPPAPの代替案は、オンラインストレージサービスを利用することです。つまりオンラインストレージ(クラウド)にファイルを置き、そこにパスワードと有効期限を設定してメールで通知する方法です。第三者のクラウド運営者からストレージを購入し、クラウドにデータを置くと、どこからでもアクセスできるという魅力があります。また万が一、デバイスが故障した場合にもオンラインストレージ上のデータに影響はないため、安心してデータ管理ができます。


一方、外部オンラインストレージは100%安全なのかというと、リスクがゼロというわけではありません。外部オンラインストレージを使うと、企業の外部にデータを保有することになるので、さまざまなリスクが懸念されます。例えば、障害によるデータ消失、情報漏洩のリスク、管理の手間、サービスそのものがハッカーに狙われて情報流出するなどの可能性があります。また、クラウド運営者からデータは見ることができる状態なので、重要なデータが見られてしまうかは正直不透明です。

② 自社のオンラインストレージを設置

外部のオンラインストレージサービスを利用することも良いですが、自社にオンラインストレージを立てたら、セキュリティやプライバシーなどの心配はありません。株式会社ZEROTOPでは「Waffle Cell」という小型サーバーを提供しています。その中には「Nextcloud」というプライベードクラウドがあり、より安全に簡単に自社にオンラインストレージを作ることができます。データはクラウド上ではなく「Waffle cell」内にあるので、情報流出の心配もありません。写真や動画などの大容量データを共有したい場合、一時的に共有URLを発行し、パスワードや有効期限を設定してクライアントや制作会社などと安全にデータをやりとりすることができます。

Waffle cellにデータを保管すると、クラウドと同様にネット環境さえあれば、どこからでも、どんなデバイスからでも、データやアプリケーションへのアクセスが可能です。クラウドと異なりデータはWaffle cellの中にあるので、誰からも見られることはありません。フォルダ自体を暗号化することも可能なので、万が一、不正なアクセスがあった場合でも、情報流出を防ぐことができるので、より厳格な管理が必要な特定個人情報であるマイナンバーや大切な顧客の個人情報など、重要なデータの管理にも有効です。

また、「Waffle cell」の導入には初期サーバーの購入費用だけで、保守・運用面でのコストがかからないのも大きなメリットだと言えます。全体的にインフラにかかる経費が削除できます。

まとめ

情報通信技術の発展に伴い、サイバー犯罪は増加し、多様化し続けています。データアクセスの利便性とセキュリティ強化を如何に両立させるかは、企業の多くが抱える課題だと言えます。中央省庁では「パスワード付きzipファイル」の運用を廃止する方針を打ち出しました。この機会に、民間企業でも自社の運用状況を見直しつつ、セキュリティに優れた対策を検討しましょう!

Waffle Cell

ZEROTOPはお客様のニーズに合わせて、最適な解決策をご提案いたします。
ぜひお気軽にお問い合わせください。
詳細はこちら⇒https://wafflecell.i-seeds.ne.jp/

テレワーク助成金について

平成28年度もテレワーク助成金が確定しており、その詳細が出ています。

震災から5年が経過した今年は、テレワーク実施1人あたり最大15万円の助成金と拡大されましたので、満額受け取るために実施する要因の数を大幅に減らすことができるようになりました。
非常にありがたいですね。

大手企業でも在宅勤務を広げる動きが多くみられるようになり、テレワークという言葉の認知度が上がってきたように感じます。

弊社ではテレワークを導入するための格安のシステムを販売しております。
是非ご覧ください。
テレワーク助成金について

最強の迷惑メールフィルター

長年さらされている会社の代表メールアドレスなどは徐々にスパムメールが増えてきて困っている方も多いと思います。
そんな方におすすめなのが、gmailを通してから受信するという方法です。

gmailの迷惑メールフィルターが世の中で最強だと思います。

実際に99%を超えるレベルでgmailの迷惑メールフォルダーに直行してくれるので、ほとんどスパムを受け取らずに済みます。

ただ、受け取らなければならないメールが迷惑メールフィルターに引っかかることもあります。
お客さんのメールとかで起こることもあるので、その場合にはたまにチェックが必要です。

チャットツールについて

弊社では社内のコミュニケーションにSlackを使っております。
Slackは連携可能なサービスが多く、RedmineやTrelloといったツールを更新すると自動でメッセージが出たりなど、IT企業では最も使い勝手がいいチャットツールだと思います。

クライアントからはチャットワークやSkypeを指定されることが多いのですが。。。

ユーザ数は圧倒的にSlackが多いですが、チャットワークはメイドインジャパンなので、使いたいのですが、Slackの利便性を採用しています。

新人ディレクター着任

新年スタートから新たに大規模サイトの開発に携わるディレクターが仲間に加わりました。

昔から女性比率の高い我が社ですが、またしても女性です。

保育園に通う小さな子供を持つ母親ですので、週30時間程度の稼動となり、お子さんの体調次第で急な休みもありますが、そのような事情を会社全体でカバーできるように努力しています。

自宅作業のシステム環境と制度を整えていますので、自宅作業は全く問題ありません。

震災以降、政府はテレワークを推進しており、システム導入に75%もの補助金を出してくれる太っ腹な政策を実行しています。

弊社ではテレワーク導入を支援しておりますので、ご興味ある方は下記ページをご覧ください。

テレワーク助成金について

中国からインターン生が来ました!

中国から半年間だけインターン生がやってきました。

とても優秀な女性で、日本に来たことがないにもかかわらず、既に日本語会話が全く問題ないレベルで驚きました。

英語、ハングルも堪能で驚くばかり。

海外向けのマーケティング業務についてもらうことになっています。

これからの活躍が楽しみです。

多言語サイトを正規化する言語アノテーションの設定方法

genngo

多言語で同一のコンテンツを掲載しているサイトや、各国の地域ごとにコンテンツを掲載しているサイトでは、言語アノテーションタグを使用することで、ページが正規化されます。正規化されたコンテンツは、googleの検索結果で最適化され、SEOに効果的です。

 

今回は、ヘッダーのHTMLリンク要素での言語アノテーションの設定方法について紹介します。

■言語アノテーションタグ

rel=”alternate” hreflang=”x”

 

考え方としては、基本となるページの言語を定め、他言語のページはこのページに対応している旨の記述を行います。

スマートフォンページなどの正規化で使用する”alternate”と言語の属性を指定する” hreflang “を組み合わせます。

 

例えば、日本語がメインのサイトで、同じ内容の英語ページと中国語ページを持っている場合下記のように記述し、このタグを3つのページ全てに埋め込みます。

 

<link rel=”alternate” hreflang=”ja” href=”https://XXXXXX /” />

<link rel=”alternate” hreflang=”en” href=”https://XXXXXX/英語URL” />

<link rel=”alternate” hreflang=”zh” href=”https://XXXXXX/中国語URL/” />

 

Hreflangでの言語の指定は ISO の規格に基づいて行います。

代表的なものをご紹介します。

■言語コード 

日本語 ja

英語 en

中国語 zh

ドイツ語 de

スペイン語 es

フランス語 fr

イタリア語 it

ロシア語 ru

 

また、言語と合わせて地域の指定も可能です。同じ言語でも異なる地域のユーザーにコンテンツを提供する場合、言語の後に地域コードを加え、下記のように記述します。

 

<link rel=”alternate” href=”XXXXX/カナダ向け英語URL” hreflang=”en-ca ” />

 

このように地域と言語を組み合わせることで、「オーストラリア向け英語ページ」や「イギリス向け中国語ページ」のような指定が可能になり、より細かい正規化が可能となります。

【ためになるPPC広告知識】インフィード広告ってなに?

みなさんご存知でしょうか?
2015年5月20日(水)から、スマートフォン版Yahoo! JAPANとYahoo! JAPANアプリのトップページのデザインが変わったことを。
それにより、広告も見直され、新しい広告サービスの提供がスタートされました。
その中の一つが「インフィード広告」です。

20150526014350

インフィード広告とは?

インフィード広告は、FacebookやTwitter、ブログなど、タイムライン型で上から下にコンテンツを読み進めていくタイプのアプリやサイトによくある広告で、コンテンツとコンテンツの間に表示されるのですが、
その広告は形式や色合いなどをサイトに合わせているため、まるでコンテンツの1つかのように表示されます。
簡単に言ってしまうと、「広告っぽくない広告」です。
Yahoo! JAPANでも、リニューアルされたスマートフォン向けのトップページのニュース配信の形式に合わせたタイムライン型で広告を配信できるようになりました。
ニュース記事と同じ形で記事と広告が違和感なく並ぶため、ユーザーに不快感を与えずに情報を届けることができます。
Yahoo!ディスプレイアドネットワーク(YDN)の機能を活用すれば、商品・サービスにあったターゲット層へ、的確にアプローチしていくことが可能になります。

20150526014405

とにかく多くの人にアプローチしていきたい場合には、向いていると思います。

まだ開始したばかりのこの広告は、これから入札価格が上がっていくことが予想されますので、
始めるなら今が狙い目かもしれません。

インフィード広告よりもリスティング広告は大丈夫?

現在運用しているリスティング広告、うまくいっていますか?
基本的な3つのポイントをチェックするだけで、成功へと繋がるかもしれません。

リスティング広告運用で重要となる基本的な3つのポイント

①キーワードの見直し

検索数の多いビッグキーワードばかり出稿していませんか?
あるいは、キーワードがニッチすぎて、検索数自体が少ないということはありませんか?
ビッグキーワードの費用対効果が悪いようだったら、ニッチキーワードで数の勝負に出るのも一つの手です。
運用結果は宝です!キーワードタブから「検索クエリの詳細」を見て、実際のユーザーの検索キーワードを追加していきましょう。

②広告文は適切か

広告文でクリック率が変わります。クリック率が変わると広告品質、掲載順位に影響を与えます。
必ず2パターンくらいの広告を出して、どちらが効果的かを常にテストしてみてください。
クリックが極端に低い広告は止めてしまいましょう。

③リンク先ページの内容

ユーザーは広告をクリックするとリンク先ページに着地します。
そのページのファーストビューで広告に記載していない内容や広告と少し違った表現などがされていると離脱されてしまいます。
同じ表現などで違和感無く自然と広告から流れられるようなページを用意してあげること、そして、求めている情報がきちんとあるページへ誘導してあげることが重要です。

 

これらは、読んでいる分には簡単なことだと思えますが、自社で運用しているとどうしても後回しになったり、なかなか気付けずにいたりしがちです。
見直す時間が取れない、見直したけれど改善されない・・・そんなお悩みをお持ちの方は是非一度、お気軽にご相談ください!

WordPress【NEW 】無料テーマ6選

無料で使えるWordPressのテーマを新作の中から6つ選びました。
テーマを着せ替えて、サイトのリニューアルなどいかがでしょうか?

画像をクリックするとデモをご覧いただけます。

Cyanotype

お好きな色や写真を背景にできます。シンプルですが目立ちます。
cyanotype_2

Lingonberry

すごく見やすいブログになりそうです。
lingonberry

Saga

写真や画像をたくさんアップされる方にはおすすめです。かっこいいサイトになりそうです。
saga

Resonar

写真や画像が大きく表示されます。
resonar

Scrawl

まとめやすく見やすいサイトになりそうです。
scrawl

Hew

イエローがとても映えています。写真の魅力も倍増しそうです。
hew

気軽にサイトの印象を変えられるテーマってやはり便利ですね!

エイプリルフールにみる企業の遊び心

4月1日、エイプリルフール。一年で唯一嘘をついてもいい日。
なぜ4月1日がそんな「嘘をついてもいい日」になったのか、暦を改定しようとしたフランスのシャルル9世に対する抗議活動の一環だという説。
インドの悟りの修行が春分から3月末まで行われるため、4月1日は気が抜けがちだからという説。
イングランドの王政復古の記念祭であるオークアップルデーが起源という説。
諸説様々ありますが、実は何がエイプリルフールの起源で、そもそもいつ、どこで興ったかも全くの不明なのです。

とはいっても、そんな嘘をつける日につくなら、人を困らせる嘘より、人を笑顔にさせる嘘の方が気持ちがいいですよね。
世界のサイトたちもそんな考えを持っているようです。

 

グーグルマップ(https://www.google.com/maps/@-22.975078,-43.1923318,18z)
マップの左下の怪しげなサムネイルをクリックすると、なんとパックマンがプレイできる。
マウスでパックマンをプレイするのはなかなか難易度が高いです

 

グーグル × Youtube(https://www.youtube.com/watch?v=hydLZJXG3Tk)
グーグルの新商品!その名も「Smartbox」。コンセプトは持ち運べる郵便受け。
労力とお金がかかっているプロモーションビデオ。スタイリッシュに見えますが所々シュール。

 

Clicktofriend(https://www.clicktofriend.co/)
ボタンを押すだけで友達ができる!売り文句は「殺されないバー(カフェ)を提供します」
スポンサー企業も名だたる大企業・・・と思いきや全部ちょっと惜しい。

 

なぞのホームページ(https://www.kadobijabo.nl/cadeau/tablet/1april/)
英語ではないので何がホームページに書いてあるのか解読できませんでしたが、解読できないのにはもうひとつ理由が(※乗り物酔い注意)

 

このようにたくさん趣向を凝らしたホームページが存在します。こういった興味をひくようなコンテンツを提供するとおのずとホームページのビューアーも増えることになるのかも知れませんね。