登壇者プロフィール
エヌ・ティ・ティ・コミュニケーションズ株式会社
プラットフォームサービス本部 アプリケーションサービス部
橋田 理佳 氏
法人向けオンラインストレージ「Bizストレージ ファイルシェア」のプロダクト管理、カスタマーサクセス、UXデザインを担当。サービスのあらゆるプロセスにおいて、お客さまとのコミュニケーションを大切にする。
日本ワムネット株式会社 マーケティング部 部長
古谷 太郎 氏
2005年入社。オンラインストレージ黎明期からエンタメ業界を中心に企業間ファイル授受の提案、運用支援に従事。現在はGigaCCプロダクトオーナー、新規ビジネスを担当。現場からは「ワムネットの生き字引」と言われている。
PPAP問題のおさらい
エヌ・ティ・ティ・コミュニケーションズ株式会社 橋田 理佳氏(以下、橋田):
今回のテーマ「PPAP」問題は、企業のセキュリティガバナンス上の課題と言えます。私たちに寄せられるお問い合わせの中でも、現在もっともご相談の多いトピックです。
日本ワムネット株式会社 古谷 太郎氏(以下、古谷):
弊社でも、今お問い合わせの約50%がPPAP関連です。さらに、直近の傾向として中堅・中小企業様からのお問い合わせが増えています。
そもそもPPAPというのは、パスワード付きのZipファイルをメールに添付して送信し、その後別のメールで追いかける形でパスワードを送る、というファイル送受信方法のことです。 この方法は以前から多くの企業に採用されてきましたが、昨年11月にデジタル改革担当大臣の平井大臣が脱PPAPを掲げたのをきっかけに、広く見直されるようになりました。
平井大臣の発言は内閣官房がPPAPを止めるという旨のものだったのですが、右にならえという形で、各省庁や多くの公共団体が従っていくのだろうと想定されています。そして、その流れは役所にとどまらず、民間の中にも同じように脱PPAPを掲げる組織が増えてきました。もっと言えば、PPAP方式に関係するサービスや製品の販売を止める企業さんも増えています。
橋田:
もともとPPAPは誤送信や情報漏洩対策のために採用されてきました。また、プライバシーマーク取得のために必要だと言われることもしばしばありました。ところが、プライバシーマーク制度を運営する団体『JIPDEC(一般財団法人日本情報経済社会推進協会)』は、昨年11月に「従来からこの方式は推奨していない」とこれを否定しています。つまり、今まで多くの企業で採用されてきたPPAPは、意味のないセキュリティしぐさと言えます。
むしろ、PPAPはセキュリティ性を低下させるとも言われています。というのも、Zipファイルの中身はセキュリティソフトでスキャンできないからです。この弱点に付けこむ形で、2020年後半には「エモテット」というマルウェアが世界中で猛威を振るいました。
古谷:
Zipファイルを悪用するマルウェアが登場しているわけですから「Zipファイルを見たらすべて怪しいと思ったほうが良いような世の中になってきているのかな」と、私も日々の業務の中で感じています。
PPAPで今後起こりうること
古谷:
今の例のように巧妙な攻撃手口が増えていますから、セキュリティ意識の高い企業から「PPAP方式をやめる」のも当然の流れかなと思っています。
そうなると、取引先とファイルをやり取りする際、これまでは問題なかったものがある日突然「ごめんなさい、受け取れないんです」となるようなトラブルが生じると想定されます。各企業がセキュリティポリシーをいつ変えるかは分からないので、そういった意味でPPAPは大企業や一部の官庁だけの話ではなく、多くの企業が意識すべき問題と言えます。
橋田:
今古谷さんが仰ったとおり、官庁や大企業と業務上でやり取りする企業様からも具体的なお問い合わせをいただいています。
また、そういった問題が実際に起きてしまった例もあります。取引先に暗号化Zipを添付して送ったところ「うちでは受信できません」と。では別の方法で暗号化しようという話になるわけですが、それが.exeファイルだとやはり受け取れません。そこで、個人で持っているドライブで送る方法を試みるのですが、今度は「そこにはアクセスできません」と言われてしまいます。何をやっても送れないという問題が起きているんです。
古谷:
だからといって今時「プリントアウトして郵送しますか?」というのも、ちょっとね…って感じですよね。
PPAPをどのように防ぐか
PPAP方式から脱却!…なにをすべき?
橋田:
これまでPPAP方式を採用していた企業の方々は、まずそこから脱却しなければなりません。そして、これは適切な代替策の整備とセットで進めるのが一番の近道かと思います。
第一の方法として、サンクションITツールの導入があります。サンクションITとは会社公認のITツールのことで、たとえば Slack や Microsoft Teams などですね。このほか、ファイル共有や転送が可能なオンラインストレージサービスもあります。これらは通信路と保存が自動的に暗号化されるので、手作業で暗号化する必要はありません。
また、招待されたユーザーだけがログインして認証して使うため、無関係な第三者に誤送信する心配も不要です。受信者の指定や有効期間の設定といった機能もありますし、仮に誤送信をしてもURLを無効化すればダウンロードされるのを防げます。
これらのツールのポイントは、ファイルそのものを送らずに済むことです。PPAPより安全に使えます。
古谷:
弊社も以前はPPAP方式を採用していましたが、その大きな目的はやはり誤送信防止でした。日常的な業務の中で膨大な数のメールを扱いますが、その中には取引先に送る大事なメールと社内で気軽に送るメールが混在しているので、誤送信に対する緊張感を維持するのは大変です。そこで、弊社は昨年から社内のやり取りをチャットで行うことにしました。
ただ、取引先企業様も含めてすべてチャットで済ませるのは難しいですね。まだコミュニケーションツールとしてEメールは必要です。そして、だからこそ「PPAPどうするの?」と悩む企業様が多くなっているんじゃないかと思います。
橋田:
今古谷さんのお話にあったとおり、どうしてもメールが必要なシーンはあります。また、操作するとき以外は暗号化して保存することをルールとしている企業もいらっしゃると思います。そういった際は、Zip以外、Zipより強度が高い方法での暗号化がおすすめです。
ただ、暗号化する時点でサンドボックスをすり抜ける可能性は残ります。そのため、エンドポイントのセキュリティ強化が必要です。具体的には、ウイルス検出のリアルタイムスキャンや、振る舞い検知型のセキュリティ製品の併用が不可欠かと思います。
さらに暗号化とは別に、社内でファイルの取り扱いルールを定めるのも非常に重要です。たとえば、更新から3年が経過したファイルは削除するとか、重要度レベルを定義してその定義に応じた管理をするとか、業務フローで上長承認を行うといった方法があります。 ただ、業務効率とセキュリティの両立という観点からはオンラインストレージサービスが良いかと思います。
古谷:
そうですね。私もオンラインストレージが一番効率的かなと思います。一方で、オンラインストレージは無料のサービスから高機能な製品まで多岐にわたります。その中で、どのようなオンラインストレージを選んだら良いのかという点については、橋田さんどうですか?
安心して使える、オンラインストレージのポイントは?
橋田:
結論としては、多要素認証などの認証強化をされているサービスを推奨いたします。これは昨今の不正アクセスの脅威が背景になっています。サービス提供側のセキュリティ強化はもちろんですが、お客様のほうでもID管理をしっかり行い、なりすましを強化していかなければならなくなっています。多要素認証もそうですが、古谷さん、シングルサインオンも有効ですよね?
古谷:
そうですね。利用者側が意識せずに済むという意味で有効かなと思います。
これまでPPAPで社外にメールを送っていた社員の方は、あまり意識しないでそれをやっていたと思うんですね。パスワードも勝手に送られてくるわけですし。ところが、脱PPAPのために新しい手間が増えるとなれば、利用者側は嫌がるはずです。そういった観点から、意識せずに使えるシングルサインオンは良いかと思います。
もう1ついうと、その企業様の独自のドメインでオンラインストレージを使えるのも大事かなと思います。先ほど話にありましたが、せっかくダウンロード方式のURLを作って送っても「そこにはアクセスできません」と言われてしまうケースがあります。なので、ちゃんとホワイトリストに登録してもらえるような独自のドメインでオンラインストレージを運用できるという観点も、サービス選定のポイントになると思います。
海外製オンラインストレージ=ダメ、ではありません
古谷:
さらには海外製なのか日本製なのかという観点も大事かと思います。弊社が提供しているのは日本製のサービスですので、上長承認や不要ファイルの自動削除といった、日本の商習慣に合った機能が盛り込まれています。また、信頼性という観点からも、国内ベンダーのサービスであるというのは1つのポイントかなと思います。
ただ、もちろん海外製がダメという話では決してありません。エヌ・ティ・ティさんは海外製のサービスも扱われているはずですが、橋田さんこのあたりいかがですか?
橋田:
ここ2週間くらいの話なのですが「ファイルはどこに保存されますか」とか「委託先の企業は海外ですか」といった質問をとても多く受けます。来年の個人情報保護法の改正も見据えて、自分たちの大切なデータが一体どこに流通しているかを気にされ始めたのかなと思います。
ただ、海外製がダメということではありません。弊社は海外製クラウドストレージサービスの Box も販売しています。こちらは国際的なセキュリティ規格に準拠しています。グローバルな視点から、強固なセキュリティに対応しているわけです。
私たちが実現したい未来
橋田:
テーマが壮大なので恐縮ですが「企業間取引を安全に活発に」に尽きます。ファイルのやり取りはビジネスの基礎ですので、そこをしっかりとご支援したいと考えております。私自身は、サイトから寄せられる質問にほぼすべて目を通しております。特にPPAPに関係するお問い合わせはとても多く、こうした声に応えていくことが一番という姿勢で臨んでおります。
古谷:
弊社も同じような考えです。企業間でファイルを送受信する際、安全かつ簡単にコミュニケーションが取れるビジネスシーンを作って行きたい、というのが弊社の目指すところになります。僕もそうですが、人は面倒臭がるものです。安全のためとはいっても、面倒だとやらなくなってしまう。それではいけないので、安全かつ簡単というのを突き詰めていきたいなと思っています。
1つ例を挙げると、最近では特定の業務でメールの受取を止めたいというお問い合わせも多いんですね。たとえば、請求書や求職者の職務経歴書をメール添付で受け取るのを控えたいと。だからといって、オンラインストレージで対応するのは困難です。不特定多数の相手からファイルを受け取るため、その相手すべてにIDやパスワードを発行する必要が生じ、やっていられないと。
そんな時のために、弊社はクラウド上にポストを用意するサービスを提供しています。ポストなので、中身を見ることができるのはユーザーの企業様だけです。そして、他の人は投函できる一方、自分以外の人が何を投函したのかは分からない。こういったオンラインストレージの活用も立派な脱PPAPだと思います。こんな形で我々は「黒子」に徹しつつ、簡単で安全な環境を確保して企業さんへのご支援を広げていけたらなと思っています。
おわりに
橋田:
本日、この対談を多くの方々が画面の向こう側で視聴くださっていると伺っております。誠にありがとうございます。何か気に留まるようなことがございましたら、お気軽にお問い合わせいただければと存じます。ありがとうございました。
古谷:
今日は脱PPAPというテーマでお話させていただきました。結論としては、オンラインストレージの活用が良いのではないかというのが我々の提案です。しかし、オンラインストレージといってもたくさんのサービスがあります。やはりいろいろな角度からサービスを検討することが大事だと思いますので、弊社のサービスにもご興味を持っていただけたら嬉しいなと思います。今日はありがとうございました。
登壇企業による提供製品をご紹介!
本セッションにご登壇いただいたエヌ・ティ・ティ・コミュニケーションズ株式会社様、日本ワムネット株式会社様が提供するオンラインストレージサービスをご紹介します。オンラインストレージにご興味を持たれた方、脱PPAPに向けた取り組みを行いたい方はぜひお問い合わせください。
GigaCC ASP
- 「パスワード付きZIPファイル送信(PPAP)」の代替手段に最適
- ファイル送信とファイル共有をひとつのプラットフォームで提供
- 柔軟なセキュリティポリシーの設定、詳細なログ履歴管理に対応
橋田様、古谷様、ご登壇いただきありがとうございました。
ITトレンドEXPO次回もお楽しみに!
当日のセッションでは、登壇者が視聴者の皆さんからの質問にリアルタイムで答えてくれます。ぜひ次回のITトレンドEXPOへのご参加お待ちしております!(参加無料)
▽ITトレンドEXPOの開催情報はこちら
