民間企業の取り組み
セキュアなWebダウンロード形式
「脱PPAP」の新たな手段となる、端末認証つきパスワードという発想
常務取締役 坂田 英彦
開発部 部長 尾形 賢
※下記は自治体通信 Vol.36(2022年3月号)から抜粋し、記事は取材時のものです。
パスワードつきZIPファイルをメール添付で送付する、いわゆる「PPAP*1」の手法が問題となっている。令和2年11月、当時デジタル改革担当大臣だった平井卓也氏が「『PPAP』を内閣府、内閣官房で廃止する」と発表して以降、官民において「脱PPAP」の動きが活発化している。自治体向けに情報セキュリティ支援を行っているプロットの担当者2人に、解決法も含めて詳細を聞いた。
マルウェアの隠れ蓑となり、運用面にも問題が
―「PPAP」はどういった点が問題視されているのでしょう。
坂田 まずは近年、「Emotet」というマルウェアがパスワードつきZIPを隠れ蓑にして、感染を拡大させている点です。そしてもう一つが、パスワードつきZIPファイルを送ったのと同じ経路でパスワードを送っている運用面の問題。パスワードつきZIPファイルの使用目的は、メールの盗聴や誤送信による情報漏えいを防ぐことです。ただ、この運用では、ファイルと同じくパスワードも盗聴される可能性が高まるほか、誤送信の場合もファイルとパスワード両方を受け取れるので、意味がない。パスワードだけ、電話やFAXなど別の手法で伝えればセキュリティは担保できるものの、手間がかかってしまいます。そのため、「脱PPAP」の動きが活発化しているのです。
―「脱PPAP」に向けて、自治体でどのような動きがみられますか。
坂田 新たな対策として、サーバにファイルを置いて解凍用パスワードをメールで送るWebダウンロード形式を採択するケースが一般的です。ただ、これでマルウェアの隠れ蓑になることは防げますが、盗聴や誤送信の問題は残ったまま。ほかにも、メールを暗号化するといった各種対策はありますが、送る側、受け取る側に手間が発生し、メールを送るだけですむ利便性は損なわれてしまうのです。
尾形 そこで当社は、Webダウンロード形式でも、情報が漏えいしない仕組みを開発し、提供しています。それが「端末認証つきパスワードプロトコル」、通称「DAPP*2」で、特許も保有しています。
カギが発行された端末でのみ、パスワード入力が可能
―詳細を教えてください。
尾形 まず送信者が、当社のファイル転送&共有システム『Smooth File』にファイルをアップロードすると、受信者あてにダウンロードURL記載メールが届きます。そして、受信者がURLのアクセス先で「パスワード発行ボタン」をクリックすることで、パスワードがメールで受信者に送られます。それと同時に、端末専用のカギが自動発行されるのです。これで、クリックした受信者の端末でしかパスワードの入力ができなくなり、それ以外の端末からURLにアクセスできなくなるという仕組みです。
―誤送信はどのように防ぐのでしょうか。
尾形 当社の誤送信防止システムとの連携で、送信者数の制限をかけたり、送信を保留して間違っていれば取り消したりといった対策が可能です。また、お客さまの要望に応えるカタチで、さらなる誤送信防止機能を拡張中です。
自治体に対する今後の支援方針を教えてください。
坂田 「DAPP」で、利便性と安全性を担保させた自治体業務の支援を行っていきます。また当社では、ニーズや用途にあわせて「DAPP」を含めたファイル送受信の各種提案を行っているので、気軽に問い合わせてほしいですね。
| 設立 | 昭和55年7月 (創業 / 昭和43年1月) |
|---|---|
| 資本金 | 3,000万円 |
| 売上高 | 10億円 (令和元年9月期) |
| 従業員数 | 93人 (令和3年5月26日現在) |
| 事業内容 | 企画・制作・デザイン、セキュリティシステム開発、クラウドサービス運用、ネットワークおよびサーバ構築・運用 |
| URL | https://www.plott.co.jp/ |
| お問い合わせ電話番号 | 03-5730-1400 (平日 9:00~18:00) |
| お問い合わせメールアドレス | sales@plott.co.jp |
ソリューションの資料をダウンロードする
からの記事と詳細 ( 「脱PPAP」の新たな手段となる、端末認証つきパスワードという発想 - 自治体通信オンライン )
https://ift.tt/FvNYAgw
No comments:
Post a Comment