「PPAP」代替策の急先鋒、クラウドストレージサービスの課題とは?
ネットワークサービスプロバイダーのIIJは、2021年6月30日に発行した定期レポート「Internet Infrastructure Review(IIR)Vol.51」の中で、急増する迷惑メールやマルウェア添付メールの観測結果とともに、PPAPの課題に触れています。 IIJは同レポートの中で、PPAPの課題としてメール受信時にウイルススキャンを実施できないことを挙げています。メールは主なマルウェア侵入経路の一つですが、ゲートウェイでこれをチェックできないのは大きなリスクと言えます。レポート中では「ウイルススキャンできない暗号化zipファイルは受信拒否することがリスクの緩和策」という文言も出てきています。 一般に代替策として提案されるクラウドストレージサービスの活用、つまり共有リンクのワンタイムURLを送る手法について、IIJは同レポートの中で下記のように述べています。 一方で、内部統制の観点では、これが弱点になり得ますので両手を上げて飛びつくのは禁物です。 (中略) しかし、添付ファイルがURLになってしまうと、どのようなファイルが送受信されたか追跡しにくくなる恐れがあります。 (出典:IIJ「Internet Infrastructure Review(IIR)Vol.51」から抜粋) 上記の引用部分は、内部監査上の「記録」を考えると、メールの外でファイルをやりとりすることは記録の一部が欠損することであり、内部統制が必要とされる多くの企業ではこの手法もリスクがある、という指摘です。 確かに、筆者もDropbox Transferで原稿送付後に、原稿を見直し修正してしまうと、どのバージョンを送ったのか、履歴がきれいさっぱりなくなっていることに気が付きました。これでは「あのときのバージョンを送ってほしい」と言われても対応できません。 原稿であれば謝れば済むかもしれませんが、内部犯行によって共有ストレージの中身まで削除されてしまうと、監査としては極めて大きな問題になるはずです。 このような課題がある中、同レポートは「PPAP」の代替策について以下の提言をしています。 筆者としては、今まで無駄なことをしていたのだから、単純にそれをやめれば良い、つまり、本当にその情報を添付ファイルとして送る必要があるのか再考し、それでも必要であるのならば、そのまま添付ファイルとして送信し、リスクに応じて一時保留システムや監査システムと組み合わせるのが現実的な落としどころになると考えています。 (出典:IIJ「Internet Infrastructure Review(IIR)Vol.51」から抜粋)
からの記事と詳細 ( 「PPAP」の代替策、クラウドストレージサービスは万能か? IIJのレポートから考える(ITmedia エンタープライズ) - Yahoo!ニュース - Yahoo!ニュース )
https://ift.tt/3eEDQ3w
0 Comments:
Post a Comment