1996年の創業以来、Eメール配信サービスやSaaS認証基盤を手掛けるなど、時代の流れに合わせて事業を進化させてきたHENNGE。パスワード付Zipファイル、いわゆる「PPAP」のソリューションも長年に渡って提供してきた。
しかしながら、2020年11月、平井卓也デジタル改革担当大臣が内閣府・内閣官房でのPPAPを廃止する方針を発表したことで、国内企業でも脱PPAPの動きが加速している。PPAPを世に広めた会社が脱PPAPを真面目に考えると、どのようなソリューションに行き着くだろうか。同社 West Japan Sales 西日本統括営業部長 斉藤秀樹氏が、8月27日に開催されたビジネスフォーラム事務局×TECH+フォーラム「DX Day 2021 Aug. DXの要は経営者の視座」で紹介した。
-
HENNGE West Japan Sales 西日本統括営業部長 斉藤秀樹氏
PPAPが抱える7つの問題点
取引先からZipファイルがメールで送られてきて、ファイルを開こうとするとパスワードが要求される。しばらくすると2通目のメールが来て、そこにファイル解凍用のパスワードが記載されている——多くの人が経験したことのあるこのやり取りは、P(パスワード付Zipファイルを送ります)、P(パスワードを送ります)、A(暗号化)、P(プロトコル)の頭文字を取って、「PPAP」と呼ばれている。
PPAPはセキュリティリスクを低減するファイル共有方法としてこれまで多数の国内企業で採用されてきたが、2020年11月17日の平井デジタル改革担当大臣の記者会見において内閣府・内閣官房での「脱PPAP」が宣言されたことで、多くの企業や組織もPPAPの廃止へと舵を切った。
PPAPのデメリットとは何だろうか。斉藤氏によると、下記7つの問題点に整理されるという。
-
PPAPの問題点
まずは、送信者側の手間と受信者側の手間だ。特に手動でファイルを送る場合、送信者は送りたいファイルをZip化してパスワードを作成し、パスワードを記載したメールを別に作る必要がある。受け取り側も解凍の手間が掛かる。また、スマートフォンを利用した働き方が普及するなか、Zipファイルはスマートフォンで扱いづらいという問題もある。
さらに、PPAPでは盗聴対策および誤送信対策が十分とは言えない。ファイルが添付されたメールとパスワードが記載されたメールの2通ともが盗聴されてしまったら意味がないうえに、PPAPソリューションを利用して1通目で誤送信してしまった場合、パスワードが記載されたメールも併せて誤送信するという本末転倒の事態が発生してしまう。
コンピュータの性能が年々向上していることでパスワード自体が瞬時に解読できるようになり、攻撃者にとってはパスワードがなくてもファイルを開封することが比較的容易になってきているという問題もある。
そして一番大きな問題点は、マルウェア対策製品ではパスワード付Zipファイルを解凍できず、マルウェアがウイルススキャンを回避してしまう可能性があることだ。近年「Emotet」というマルウェアが流行するなかでは特に、感染の拡大を助長することにもなりかねない。
PPAPのメリットを残しつつ、課題を解決する
HENNGEが2021年初めにSaaS認証基盤「HENNE One」を利用する各企業に対して実施したアンケート調査では、9割以上の企業が「PPAP廃止の方針は未確定」と回答。「オンラインストレージなどの代替手段について情報収集中」「PPAPの廃止を検討しているが、他社状況やベンダーの考え方などを調査中」と、その多くの企業が情報収集の段階であった。斉藤氏は「現在では検討が進み、導入に向けた動きをスタートする時期に来ているのでは」と分析する。
PPAPの課題を解決する鍵となるのが、オンラインストレージの活用である。HENNGEでも、ウイルススキャンが利用できるという点において、Webを通じたファイルのやり取りが有効であるとする議論が行われた。ただ、斉藤氏は「ファイルのアップロード先のURLをメールで送るだけでは、盗聴や誤送信の課題は解決できない。自社のオンラインストレージに対して相手方にアカウント登録を求めることもハードルになってしまう」とそのデメリットを指摘する。
一方で、PPAPソリューションにもメリットはある。斉藤氏は残したい3つのPPAPのメリットとして、「送信済みトレイに残ること」「社内では平文で閲覧できること」「アーカイブによりファイル検索が容易であること」をあげる。
PPAPでは、送信済みトレイにメールが残るため、送信済みのメールやファイルを探すことができる。また、PPAPソリューションは取引先に送るファイルのみがZip化される仕組みであるため、社内ではそのまま平文でファイルを閲覧することが可能となる。さらに、セキュリティが強化されている会社では一般的に、メールはアーカイブ(監査保管)されており、添付ファイルを含めた検索が比較的スムーズに実施できる。外部ストレージ経由でのファイル共有では、URLの有効期限が切れている場合に複数のサービスをまたいだログ検索が必要になってしまう。そのため、上述の3つのメリットは「PPAPを考えるうえでそのままにしたい」と斉藤氏は主張する。
こうした背景のもと、HENNGE社内でファイル共有に関する問題の本質を議論したところ、「ファイルを渡したい相手だけが受け取れる仕組みを構築することが重要である」との結論に至ったという。そして、HENNGEは、「正解を見つけるために100回失敗しよう」という同社のカルチャーのもと、長年に渡ってPPAPソリューションを提供してきたナレッジを集約させ、脱PPAPソリューションの開発に挑むことにした。
HENNGEが考える脱PPAPソリューションとは
脱PPAPソリューションとして、現在HENNGEではHENNGE Oneの機能である「HENNGE Secure Download(β版)」を開発中だ。Exchange Online、Google Workspaceとの連携を想定している。
-
HENNGE Secure Download(β版)
HENNGE Secure Downloadでは、送信者側は従来どおり送信したいファイルをメールに添付するだけでよい。この添付ファイルはメール送信時、自動的にHENNGE Oneへアップロードされ、メール受信者にはメール本文とPDFの添付ファイルが届く。このPDF内にダウンロード用のURLとメールアドレスが記載されており、当該メールアドレスに対して発行された認証コードをダウンロードページで入力することで、受信者はファイルを閲覧できるようになる。仮に第三者がPDFを搾取したとしても、メールアドレス認証によってファイルの閲覧は不可能となる。
-
メールに添付されるPDFのイメージ
-
メールアドレス認証の実施イメージ
添付ファイルは送信者側の送信済みトレイに残り、アーカイブにはメール本文および添付ファイルとも平文で保管される。つまり、社内で平文のままファイルを検索・確認することができるというPPAPのメリットはそのまま受け継がれる。
さらにこの方法では、ファイルのウイルススキャン、スマートデバイスでの閲覧といったPPAPの課題も解消できる。各社のセキュリティポリシによる面もあるが、キャッシュが残っている期間であれば通常、2回目以降のファイルの受け取りは認証不要となり、受信者はURLをクリックするだけですぐにファイルをダウンロードすることが可能となる。送信者側が誤送信をしてしまった場合は、URLを無効にするという対応を取ることができる。ファイルをダウンロードしたユーザーのログを確認することも可能であり、セキュアでスムーズなファイルの受け渡しを実現している。
新しいファイルの受け渡しの世界を作っていくために
今後HENNGEは、メールに添付できるファイル容量の制限を設けられるようにするほか、メールの誤送信・不正アクセス対策として、メール受信時の標的型攻撃対策や不審な転送設定の発見、メール送信時のウイルススキャン、アカウント侵害の検知などへの対応を進めていく考えだ。
HENNGE Secure Downloadは、10月1日に正式リリースを予定しており、現在はHENNGE Oneのユーザー企業がテストに参加しているところだという。斉藤氏は、講演の終わりに「テクノロジーの解放で世の中を変えていく。」というHENNGEのビジョンを紹介したうえで、「新しいテクノロジーを噛み砕いてチューニングし、世の中を変えていきたい。新しいファイルの受け渡しの世界をぜひ一緒に作っていければ」と聴講者へ呼びかけた。
[PR]提供:HENNGE
