専門家が語る「脱PPAP」の最適解 ‐ DXの土台となるメールセキュリティー

DX化の進行に比例し、セキュリティ面での対策に課題を抱えている企業も増加している。特に、メールは重要なデータやファイルを送ることも多く、情報漏洩のきっかけになる可能性が高い。また、メールをきっかけにしたウイルス感染も少なくない。
メールセキュリティの重要性を今一度考えなければならない現代の日本で、従来よりその重要性を提唱し、取り組んできた企業がアイマトリックス株式会社だ。
今回は、同社の代表・小島氏と、シニアリサーチャー・岡氏に話をうかがった。

DXを意識するなら考えるべき「情報の安全な交換と保全」

――昨今のビジネスのキーワードとして「DX（デジタルトランスフォーメーション）」が大きく注目を集めています。セキュリティーのプロとも言える御社は、今のDXの波におけるセキュリティーをどのように見ていらっしゃいますか？

＜小島氏＞

最近「DX」という言葉が特別視されるようになっていますが、そもそもIT技術を利用した企業の業務改善や効率化が「DX」なのではないでしょうか。私たちは無意識のうちに何十年も前からDXに取り組んでいたのではないかと思っております。とはいえ、多くの人がコンピューターやIT技術に興味をもち、近年著しく進歩したインターネットやAI技術を用いてビジネスや社会を改善しようと人々が意識するようになったことは、一つのムーブメントとして大きな意味をもっていると感じています。
ただし、新たなDXを意識するなら、まず考えなければならないのは、扱われる情報の安全な交換と保全です。現在進行形のグローバルな情報セキュリティーリスクを見過ごして、「新しいシステムを構築、業務効率化を進めよう」ということに意識が向きすぎている企業も多く見られます。例えば、既に数年前にその危険性が指摘された安易な情報ファイル交換手法・PPAP運用を続けている、DX推進企業も少なくありません。
新たなDXを行っていくには、情報の安全な交換と保全を可能とするセキュリティー環境の見直しや投資に、先駆けて取り組むべきだと考えています。

――今お話にもあがったPPAPについてですが、PPAPのセキュリティーについて教えていただけないでしょうか。

＜岡氏＞

PPAPの具体的な意味は、以下の通りです。

P：パスワードつきZipファイルを送る
P：パスワードを送る
A：暗号化
P：プロトコル

つまり、ファイル添付のメールを送信する際に、まずはパスワードつけたZipファイルを添付したメールを送り、次にそのZipファイルを開けるためのパスワードも同じくメールで送る方法です。この方法で運用している企業が非常に多いですが、実は大きなセキュリティーリスクがあります。
送信者は「ファイルにパスワードをつけているから安心」と思っているかもしれませんが、同じ経路でファイルとパスワードが送られているため、悪意のある攻撃者からすると「同じ経路で待ち構えていれば、ファイルもパスワードも簡単に手に入る」という構造になってしまいます。
そもそも、ZIPファイルの暗号化使われるZipcryptというアルゴリズムは総当たり攻撃で簡単に解読できてしまうので、パスワードをメールで送る以前の問題でもあります。
情報漏洩や悪用のリスクに加えて、ファイルをダウンロードし、同じメールまたは異なるメールからパスワードを探し出し、解凍して内容を確認する手間が生まれます。これは、業務効率化やビジネスの加速を謳うDXに反するのではないかと、当社は問題視しています。

――代替案としてクラウドストレージをファイル共有のプラットフォームとして活用している企業もいらっしゃいますよね。

＜岡氏＞
クラウドストレージ自体は、非常に便利なツールですよね。しかし、外部の人と重要なファイルを共有することに関しては、少し問題点もあるかと思っています。
ひとつは、クラウドストレージでファイルを共有する場合、通常のメールでの送信に比べてユーザの手間が増えてしまいます。多くが、ファイルをアップロードし、適切な権限設定を行い、メールにURLを張り付けて送付するといった手順を踏むことになります。これはPPAPや普通のメール送信にはなかったコストです。
さらに、クラウドストレージでのファイル共有の場合も、まずはメールでクラウドストレージのURLを送って次にパスワードを送るという、PPAPと同じようなフローを行っている企業もいらっしゃいます。これでは、PPAPの代替策としてクラウドストレージを導入するコストを払ったうえで、PPAPと同じセキュリティーリスクを抱える事態に陥りかねません。

――クラウドストレージを活用することは良いことですが、メールでの送り方が問題なのですね。

matriXagneで実現する新しいDXの世界

――こうした問題への対策を、貴社が取り組んでいるのですね。

＜岡氏＞

はい、当社の「matriXagnet（マトリックスエージェント）」は安全性と利便性を両立した脱PPAPを目的としたセキュアファイル・メール配信サービスです。メールゲートウェイに設置するシステムなので、受信者側・送信者側ともに、利用しているメールソフトやメール配信ツールなどの種類を問わずご利用いただけます。送信者はいつものようにメールにファイルを添付して送るだけです。

matriXagnet分離サーバーがファイルを自動的にメールから分離し、ファイル転送とユーザ認証を担うので、メールソフトを変更したりネットワーク構造を作り替えたりする必要もありません。

――新たなシステムを導入すると社内教育が必要になりますが、ゲートウェイ型のmatriXagnetなら教育の必要なく利用できますね。ほかにも、matriXagnetの導入メリットはあるのでしょうか。

＜岡氏＞
PPAPやクラウドストレージを使ったファイル共有の場合、「このファイルはパスワードなしで送っても大丈夫だ」「こっちのファイルはPPAPで送ろう」「あのファイルは一旦クラウドストレージに保存したほうが良さそうだ」など、個人が適切な判断をしなければなりません。しかしこうした属人的な判断は、人によって基準がブレたり、重要なファイルを間違ってパスワードをつけずに送ったりするなど、ミスや手間につながります。また、こうした責任が個人に降りかかることによる心理的な負担も、効率の低下につながり、場合によっては人材の定着にも影響する可能性があります。
しかし、matriXagnetはすべてのファイル添付メールに対してルールに基づいて自動で対応するため、人間による判断や作業がなくなります。

＜小島氏＞
PPAPのような、手間がかかり実効性に疑問のある運用を未だに実行しているのは、世界的に見ても日本くらいかと思います。海外では、暗号化ZIPファイルの受信ブロックを政府機関が推奨している国もあります。日本においても2020年の秋に内閣府より、PPAPのセキュリティー面のリスクと運用方の改善の指針が発表されていますが、安易なファイル共有システムの利用にとどまっているのではないでしょうか。
実際、ここ数年で、PPAPやクラウドストレージ、ファイル共有システムのリスクやコスト気づき始めている方も増えています。
matriXagnetを活用することで、情報の安全な交換と保全を可能とし、新しいDXの本質ともなる業務効率化を実現できます。

――matriXagnetの導入によって、さまざまな効果が期待できますね。

現代に必要な情報セキュリティを広範囲でカバー

――matriXagnetは、御社の他製品と組み合わせて利用できるとも聞きましたが、ほかにどのような製品があるのでしょうか。

＜岡氏＞
「imatrix Security Platform」と称し、matriXagnetのような送信時のセキュリティーだけでなく、受信時のセキュリティーに対応している製品を組み合わせて利用できます。アンチウイルス、アンチマルウェア、メール無害化（画像化・マクロ除去）、送信遅延、上長承認、個人情報流出防止フィルター、Webフィルタリングなど、必要に応じて機能を追加して、自社にフィットしたメールセキュリティーの環境を構築できます。
いずれの製品も、ゲートウェイ型となっています。エンドポイント型のセキュリティーサービスが重要視されがちではありますが、そもそも「悪意のあるファイルやメールを送らない・受け取らない」ということが対策の第一歩だと考えております。

――最後に、御社ならではの強みを教えていただけないでしょうか。

＜小島氏＞

当社は過去20数年間、おおよそ5年間隔で新しい技術と経験に基づいたセキュリティー製品を開発し市場に提案してきた、柔軟性とスピード性が強みの、いわばシリアルベンチャー企業です。　こうした取組みを評価していただき、今では、中小企業から従業員10万人以上の大企業、さらには官公庁や自治体まで、非常に多くの企業・組織に導入していただいています。

日本ではここ数年でDXが促進されていますが、セキュリティーに関しては日本国内だけの話ではなく、世界的なセキュリティーリスクにも対応していかなければなりません。当社はこれからも、グローバルかつ先鋭的なIT・セキュリティー技術をもつ数少ない日本の企業でありたいと思っています。

――今後ますますサイバー攻撃が巧妙化していくと予想されているので、御社の取り組みに期待しております。この度は貴重なお話、ありがとうございました。