Pages

Monday, February 20, 2023

「脱PPAP」を業務変革の“きっかけ”に 代替策と情シスのうまい立ち回りを考える - ITmedia エンタープライズ

kuncikn.blogspot.com

 パスワード付きZIPファイルを電子メールに添付して送り、その後ZIP展開用のパスワードを別送する、いわゆる「PPAP」と呼ばれる商習慣の廃止を表明する企業が増えてきた。しかし取引する企業間の力関係や組織習慣を変えることの難しさを理由に、PPAPをやめられない企業もいまだに多く存在する。

 「輝ける情シスになるためには何が必要か〜求められる人材に変化しよう〜」の第5回の本稿は、PPAPの名付け親である大泰司 章氏(PPAP総研 代表社員)に、PPAPの何が問題なのか、PPAPの代替策はどうあるべきかを尋ねた。

自分でも面倒だと思って提唱した脱PPAP あれよあれよと廃止の流れに

PPAP総研の大泰司 章氏

 「こちらの添付ファイルに記入をお願いします、パスワードは別途お送りします」――そんな電子メールを受け取って「面倒だな」と感じた人は多いはずだ。

 大泰司氏もその一人だった。受信側としてパスワード付きZIPファイルと別送されてくるパスワードの扱いに以前から面倒だと思っていた同氏は、2016年当時に流行していたピコ太郎氏の楽曲に引っかけ「パスワード付きZIPファイルを送ります(P)、パスワードを送ります(P)、暗号化(A)、プロトコル(P)」の略として「PPAP」を提唱し、廃止すべきではないかと問題提起した結果、大きな反響があった。

大泰司氏の定義によれば、暗号化する対象が全ての添付ファイルであって、パスワードを同じ経路で送るとPPAPに該当する(出典:大泰司氏の提供資料)

 「賛同してくれる方がどんどん増えていきました。周りにいた情報セキュリティ専門家の方々も『同感だ。反対だ』と声を上げ始めてくれました」(大泰司氏)

 もちろん大泰司氏が「脱PPAP」を提唱するのには理由がある。同氏は「PPAPにはセキュリティの観点で主に2つの問題がある」と指摘する。

 一つは電子メールという同経路で同じ宛先にパスワードを送るため、情報漏えい対策としては効果がないということだ。PPAPはもともと、誤送信や電子メールの盗聴によって本来受け取るべきではない相手にファイルを見られてしまうことを防ぐ、広義の情報漏えい対策という位置付けで広まった。

 そもそも、電子メールの盗聴は通信経路というよりはメールアカウントのクレデンシャル情報を窃取されることで起こると考えられる。また、一通目が盗聴されたら二通目も同様に盗聴されると考えるのが自然であるため、通信経路で講じる対策としては無意味だ。誤送信対策についても、一通目を送った直後に誤送信に気が付き二通目のパスワードを送らなかったとしても、一通目のファイル自体は既に漏えいしておりパスワード解析ツールなどを利用すれば解読することは可能だ。

 もう一つは、暗号化されたZIPファイルに悪意あるプログラムが含まれていたとしてもマルウェア対策ツールでフィルタリングできないという問題だ。マルウェア「Emotet」などはこれを悪用して感染を拡大した。

 こうした問題が注目を集めて「PPAP廃止論」は盛り上がっていった。大きな契機は2020年の秋に政府の「デジタル改革アイデアボックス」でPPAP廃止が挙げられ、多くの投票を集めて1位になったことだ。これを受け、当時の平井卓也デジタル改革担当相が「Twitter」で「PPAPやめます」とツイートし、官公庁と取引のある企業でも脱PPAPに向けた動きが進んだ。

 それから2年以上が経過し、PPAP廃止の流れは確実に進んでいる。JIPDECが2022年4月に公表した「企業IT利活用動向調査」によれば、PPAPを利用していない、あるいは禁止している企業は送信側で17.9%、受信側でも14.4%となっており、32.6%の企業が「受信を禁止する予定」と回答した。その他、日立製作所やソフトバンクといった大手企業がPPAPを廃止する方針を公表するなど状況は確実に進展している。

 「自社のために受信しませんと公表するだけでなく、取引先のために送信もしないという決断を下し、それを外に向かって公表する動きは素晴らしいと思います」(大泰司氏)

企業文化や状況に合わせて考えたいPPAPの代替策

 ただし情報システム部門は、PPAPに代わる手段を提示しなければならないという新たなプレッシャーにさらされている。大泰司氏は「PPAPの廃止と解決策は一対一で対応するものはなく、正解のない問題だと思います」と述べつつ、幾つかの代替案を薦めた。

 一つは電子メールを使わずにオンラインストレージサービスを活用して関係者とファイルを共有する方法だ。

 「いわゆるシャドーITを介して社外の関係者とファイルを共有する事態を避けるためにも情シスで管理しているオンラインストレージの利用は有効です。ファイル共有のための環境を整えることが、後々の情報システム部門の手間を減らすのではないでしょうか」(大泰司氏)

 その他、電子メールの利用を前提にした解決方法も幾つかある。

 1つ目は添付ファイルの分離だ。利用者はこれまで通りファイルを添付するが、メールソリューション側で添付ファイルを分離してオンラインストレージに保存し、一時的なURLを発行してそれを共有する。ただし「URLにアクセスするためのパスワードに加え、元の添付ファイル自体もわざわざ暗号化しているとパスワードが2つに増えるのでさらに面倒になる恐れがあります」と大泰司氏は指摘する。

 2つ目はサーバ間の通信経路を暗号化する技術STARTTLSの導入だ。受信側と送信側双方のサーバがSTARTTLSに対応している必要があるが、電子メールを暗号化できる。「PPAPを受け取りたくなければ受信側もSTARTTLSに対応することになるため、バランスの取れたソリューションだと思います」(大泰司氏)。ただ、電子メールがきちんと暗号化できているかどうかを簡単に確認する方法がない点には注意したい。

 3つ目は古くからある署名および暗号用プロトコルであるS/MIMEの導入だ。ただし、署名は送信者だけが電子証明書を持てば実現できるのに対し、暗号化の場合は受信者が証明書を持たなければならないため、その手間とコストがかかることが課題になる。

 PPAPの代替策は複数考えられるが、正解として一つのソリューションを提示するのは非常に困難だと大泰司氏は話す。チャットでの迅速なやりとりを重視する企業かどうか、従来通りに電子メールでのやりとりを重視する企業かどうかなど、企業の状況やカルチャーによって答えは異なる。

 大泰司氏は「企業や情報システム部門それぞれに事情があるので、一律の正解はありません。『ウチの会社としてこうする』と方針を立てたのなら、自信を持って進めるしかないでしょう」と語る。

 その中で「PPAPを使い続ける」という選択肢もあり得るだろう。「やめられなければそれは仕方ありません。ただし受信者のことを考えれば、少しでもPPAPのメールを減らす方がいいでしょう。全部の添付ファイルを暗号化するのではなく、機密性の高いファイルとそうでないものをきちんと仕分け、重要なデータについてはPPAPで送信するというルールを設けるなどが考えられます。PPAPを使っている以上、送信側の自己満足にすぎませんが、受信側の被害が少しでも減るのは良いことです」(大泰司氏)

PPAPを続ける場合の代替案(出典:大泰司氏の提供資料)

PPAPを廃止するだけでなく、既存業務の在り方にメスを入れる

 大泰司氏はPPAPの廃止が難しい企業の特徴を以下のように指摘する。

 「何かをやめたらそれに代わる対策を講じなければならず、しかもそれは『完璧な正解』でなければならないといった発想をしがちな企業ではPPAPからの脱却は難しいかもしれません。一つの正解を求めるあまり、ベンダーから提示された提案に何も考えずに飛び付いてしまうと、かえって受信者の負担を増やす恐れもあります」(大泰司氏)

 逆にPPAPの廃止に成功した企業の特徴としては何が挙がるのか。大泰司氏は「『100点満点でなくてもいいので、今より少しでもいい方向を目指そう』というマインドを持つ企業は確実に変革が可能です。トップダウンの号令があれば動きはさらに活発化するでしょう」と分析する。

 大泰司氏が示した選択肢も含めてPPAPの代替策はどれも一長一短であり、「完璧」なものは存在しない。時には複数の方法を組み合わせて補ったり、割り切って一部ではPPAPを続けたりするといった具合にさまざまな方法が考えられる。その中でも同氏はさらに一歩踏み込んで、PPAP廃止を業務の在り方そのものを見直す契機にすべきだと提言する。

 「オンラインストレージやチャットといったツールを活用すれば、社外とのコラボレーションがPPAPと比べて大幅にスピードアップします。情報システム部門にとっては少し面倒かもしれませんが、密接な取引先との間では業務のやり方自体を見直して『もう電子メールでファイルを送るやり方はやめよう』と提案するのもありでしょう」(大泰司氏)

 この変革を実現するには新しいやり方を説明し、アカウント管理方法を検討し、付随する社内ルールを変える……といった取り組みを進める必要があり、当初は情報システム部門の手間が増えてしまうのは事実だ。「ただし、それによって社外の人たちとの仕事のやり方が変わるというメリットに注目してほしいと思います」と大泰司氏は語り、PPAP廃止の機運が高まっていることを、新たなコラボレーションツールの導入に向けた「チャンス」として前向きに捉えてほしいと話す。

 「PPAP廃止は今まで情報システム部門がやりたいと思いながらできずにいたことを実現するきっかけと捉えてください。PPAP廃止とやりたいことをセットにすれば、経営者を説得するときの大義名分にもなります。『情報システム部門の予算や人を増やしてください』といった普段であればなかなか言えないことを切り出し、社内の働き方を変えていく契機として脱PPAPを使っていきましょう」(大泰司氏)

大げさなDXをうたう前に目の前の「商習慣」の見直しを

 PPAPは特に送信者にとっては大して手間がかからず、自動化もできるソリューションだった。その手軽さや便利さが、PPAPがここまで広がった要因の一つでもある。そんな中でPPAPを廃止して業務の在り方を見直すとなると手間がかかるのは事実だ。加えて、取引先や発注者である大企業に「PPAPはやめてください」と言うのは、企業間の力関係も絡むという難しい事情もある。

 それでも「これを機に業務の在り方を変えられれば、会社や取引先にとって、ひいては日本全体にとってメリットのあることです。ぜひそのひと手間を惜しまずにかけてほしい」と大泰司氏は述べ、DXなどをうたう前にできることがもっとあるはずだと呼び掛ける。

 日本の商習慣の中にはPPAPだけでなく、立命館大学の上原 哲太郎先生が提唱した「電子メールに添付したファイルをPrintしてから、Hanko押して、Scanして送ってくださいプロトコル」、通称「PHS」や、「ネ申Excel」といった謎の「なんちゃってDX」が深く入り込んでいる。何のための処理か、どうすれば本質的に業務をデジタル化、効率化できるのかをしっかり検討していくことが、情報システム部の本当の役割かもしれない。

大泰司氏が新たに提唱する「なんちゃってDX三兄弟」(出典:大泰司氏の提供資料)

Adblock test (Why?)


からの記事と詳細 ( 「脱PPAP」を業務変革の“きっかけ”に 代替策と情シスのうまい立ち回りを考える - ITmedia エンタープライズ )
https://ift.tt/XE1CTiP

No comments:

Post a Comment