「脱法」「脱獄」「脱走」そして「脱北」。とかく「脱」がつく言葉にはネガティブなものから逃げ出すイメージが多くの場合伴う。
「脱 PPAP」も同様である。
メールセキュリティ企業の株式会社クオリティアは、「脱 PPAP」ならぬ「卒 PPAP」を打ち出した。彼らが提案するのは、拙速に逃げ出すのではなく、セキュリティの「奇習」とも考えられ、Emotet を操るサイバー犯罪者に悪用されもした PPAP にすら(少なくとも実施されはじめた当初は)ポジティブな意義が充分あったし、それをきちんと評価し学び、そのうえで PPAP から「卒業」する方法を考えるべきである、という正論だ。過去を一方的に否定するのではなく検証する視点である。
記事冒頭なので、ついついビジネスフォーマルな文体で書いてしまったが、要するにクオリティアは、ユーザー企業やセキュリティ企業の皆がうすうす気がついてはいたが、空気を読んで誰もが口をつぐんできた、例の「ふたつの不都合な真実」を講演で言っちゃうのである。
その答をじらして先を読ませるケチくさいやり方は本誌の編集方針ではない。だから冒頭から盛大にネタばらしを行う。
・不都合な真実その 1
世の「脱 PPAP ソリューション」の多くは、単に「パスワード付き ZIP ファイルを送っていないだけ( 1 個めの「P」が無いだけ)」であり、本質的には PPAP から「脱」しきれていない
・不都合な真実その 2
それどころか、メールを送信する側は「PPAP」からエンガチョを決めて自信満々でいるものの、一方の受信する方はと言えば「やれ PDF を開かせられたり」「URL をクリックさせられたり」「ファイルが見つからなくなって再ダウンロードしようとしたら期限が切れていたり」と(最近ようやく慣れてはきたものの)ハッキリ言って煩雑
ここまで直截な言い方はあくまで本誌の理解であり表現だが、同社のいう「卒 PPAP」が内包している問題提起の核心はここにあると思う。
10 月に大阪・東京・名古屋で開催される総合セキュリティカンファレンス Security Days Fall 2024 の講演「~卒 PPAP~ PPAP廃止宣言から4年、ファイル送付の進化について」と題した講演を行う、株式会社クオリティア 営業本部 フィールドセールス部 主任 福山 浩平(ふくやま こうへい)氏に話を聞いた。
--
── デジタル庁が PPAP 廃止を宣言してから約 4 年が経ちました。いま各ユーザー企業はどんなフェーズにあるのでしょうか?
各企業様はいま、第 3 段階目のフェーズにいらっしゃると認識しています。
2020 年の 11 月に「PPAP 問題」が取り沙汰されたのが第 1 段階。
年が明けて 2021 年から、添付ファイルの分離機能やオンラインストレージを使って PPAP 脱却を図る第 2 段階が始まりました。
各社様はしばらくそれで運用をまかなっていましたが、2022 年あたりになってから「この問題の対処方法が本当にこれでいいのか」を再検討する第 3 段階目がはじまり、現在につづいています。
今回の講演では、その先の第 4 段階目の「卒 PPAP」をご提案したいと考えています。
── どうなったとき、第 4 段階目の「卒 PPAP」が達成できたといえるのでしょうか?
TLS(Transport Layer Security)通信によるメールの送受信が社会の 100 %になることが、第 4 段階目の「卒 PPAP」が達成できたときだと定義しています。
── TLS で通信が暗号化されているので、別にパスワードをつけなくても、添付ファイルが盗聴される心配がないということですね
はい。ただし TLS 通信に対応していなければメールシステムの変更が余儀なくされますので、当然すぐ対応ができるものではないことは重々承知しています。ですから卒 PPAP の段階に至るまでの期間は、未対応のメールサーバを介したメール送付に関して「TLS 確認機能」を我々のサービス「Active! gate SS」が提供します。これは現在のところクオリティアだけが提供できる機能です。
── 「脱 PPAP ソリューション市場」には製品やサービスが数多(あまた)ありますが、「既存の技術(TLS 通信)で対応して新しい作業や手順を極力増やさない」という考え方は御社ならではの特徴であり、他社と違うところですね
PPAP 廃止の計画が出された際、社内でさまざまな議論がなされました。我々は最初から PPAP 問題の解決方法とは「送受信者双方にとって良いものを目指すべき」と考えました。送信側が PPAP を脱することだけを重視するのではなく、受信者も幸せになる対策という考えで一歩目を踏み出したところがひょっとしたら違いかもしれません。
── 御社のブログ記事「PPAP 問題を真に解決するための『卒 PPAP』とは」を読みました。一般に企業のオウンドメディアに載る記事というのは、検索順位の高い既存記事をパッチワークのように切り貼りした「検索上位にはなるが誰の役にも立たない薄い一般論」が多いと思うのですが、予想に反して「『卒 PPAP』とは」の記事では「薄い一般論」ではなく「骨太の独自の論理」が展開されていて、非常に読み応えがありました。特に「PPAP には、はじまった当初はポジティブな意義もあった」というのは目からウロコでした。既に PPAP 対策を実施済みの企業にとっても多くの気づきがある記事なのではと思います。
ありがとうございます。もう PPAP 廃止から 4 年も経っていて、これでは時間をかけ過ぎだと思っています。こんな現状は、我々セキュリティサービスを展開している側にも問題があるのでは、と考え、今回新しく「卒 PPAP」という名でご提案していこうとしています。早くこれを終わらせなければいけないと考えています。
── クオリティアは「脱 PPAP」を単に「新しい金儲けのネタ」とは捉えていない数少ない会社だと思います。今後も原理原則に立った価値の提案とその普及活動を期待しています
--
取材で語られた「早くこれを終わらせなければいけない」の「これ」とは、当然「PPAP」を指すのだろうが、記事執筆にあたってメモを見返していたら、「これ」には「PPAP」だけでなく「イケてない(かもしれない)脱 PPAP 対策」をも含むように(あくまで記者の目にだけだが)見えるような気がした。
決してクオリティアの「Active! gate SS」が圧倒的にイケているなどと礼賛するものではないが、IMV株式会社や、レバレジーズ株式会社など、伝統ある製造業や新進ベンチャー企業などが PPAP 対策として導入する例が生まれ始めている。
とりあえず拙速に手は打ったものの、これでいいのかと悩んでいる管理者がいたら、福山氏の講演を聞いてまずは課題を整理してみてはいかがだろうか。もしかしたら「脱」はできていても、まだ「卒」はできていないかもしれない。
なお、講演会場脇のホールでは「Active! gate SS」の展示も行われるので、挙動を確認したり、本誌読者ならではの説明員を青ざめさせ回答に窮する質問などを考えて是非足を運んでほしい。
10.25(金) 12:25-13:05 | RoomA
~卒 PPAP~ PPAP廃止宣言から4年、ファイル送付の進化について
株式会社クオリティア
営業本部 フィールドセールス部 主任
福山 浩平 氏
追伸
福山氏の講演の翌日には、同じクオリティアによる「標的型メール攻撃で狙われる脆弱性『PEBKAC』とその対策について」と題したセッションが行われる。
正直なんと呼称するのかさっぱりわからない「PEBKAC」とは、どうやら「Problem Exists Between Keyboard And Chair」の略語であり、「キーボードと椅子の間に存在する問題」すなわちユーザーである「人間」を指す。人間の脆弱性への対策には教育研修やメール訓練、金のかかるところでは UEBA など多数のアプローチがあるが、メールを中心としたコミュニケーションを軸に、長く日本企業のビジネス慣習に寄り添ってきたクオリティアが、はたして人間の脆弱性へどう切り込むのか地味に関心が持たれる
10.24(木) 14:30-15:10 | RoomC
標的型メール攻撃で狙われる脆弱性「PEBKAC」とその対策について
株式会社クオリティア
営業本部 フィールドセールス部
滝口 卓志 氏
