目次
PPAPにおける、セキュリティ上および利便性上の問題点・課題などについて
――PPAPが抱える問題点について、セキュリティ性、利便性の2つの観点からお教えください。
丸伊 PPAPは、一見するとファイルを暗号化しているため安全だと思えますが、現代のセキュリティ環境においては複数の深刻な問題を抱えています。まずセキュリティ上のリスクですが、最大の問題は暗号化されたZIPファイルが、多くのセキュリティシステムによるウイルススキャンをすり抜けてしまうという点を挙げることができます。本来ならば、MicrosoftやGoogleなどの優れたSaaS(Software as a Service)のメール製品が、ウイルススキャンできるのですが、暗号化されていることでウイルススキャンが機能せず、悪い状態を保ったまま、つまりウイルスに汚染されている状態を保ったまま、メール受信者に届けられてしまうのです。
ウイルスが潜んだファイルは無検閲で受信者の手元、すなわち企業のネットワーク内の「エンドポイント」にまで到達してしまい、受信者がファイルを開封した瞬間にマルウェアに感染してしまうというリスクが生まれます。暗号化されているがゆえに、必ずダウンロードしなければならず、そのために必ずエンドポイントに届いてしまい、開封した瞬間に、汚染されてしまうというリスクがあるのです。
またPPAPで送付された場合、メールとパスワードさえあれば誰でもファイルにアクセスできるため、メールが転送されれば意図しない相手に情報が渡ってしまうというリスクもあります。つまり、送信者が関知しようがないところで、予期せぬ相手にデータが届けられてしまうのです。
次に利便性の問題ですが、多くの場合、送信側は自動化ツールを活用しているのであまり手間を感じることがないと思います。しかし受信側としては、添付されたファイルを見るために、まず添付ファイルをダウンロードして、かつ別に届くメールからパスワードを確認し、添付ファイルを開くために、当該のパスワードを所定の手順で入力しなければならないわけです。添付ファイルを見たいというだけなのに、これだけの作業手順を強いられているわけです。さらに企業によってはセキュリティポリシーでPCへのファイル保存を禁止している場合もあり、そのような場合にはファイルサーバーへアップロードするなどの手間が増えることもあります。こうした面倒な手続きを暗黙の了解でやっていますが、添付ファイルを見るために、これだけのステップを踏まなければならないのは不便極まりないといえます。
井上 そもそもPPAPは、メールの通信経路上で第三者に盗聴される「中間者攻撃」を防ぐ目的で考案された古い手法です。現代の脅威はより高度化・多様化しており、PPAPはもはや有効な対策とは言えないといっても過言ではありません。むしろ、「暗号化されているから安全だ」という誤った安心感、すなわち「中身はクリーンだという思い込み」が、かえってセキュリティリスクを高めているのが実情だといえると思います。
PPAPに代わる、ファイル共有手法について
――そうした問題を抱えるPPAPの代替手段としてはどのようなものがありますか。
丸伊 PPAPが抱える課題を解決するための代替策として、現在主流となっているのが「オンラインストレージ(クラウドストレージ)」の活用です。これは、共有したいファイルを直接メールに添付するのではなく、まずBoxやGoogle Drive、OneDriveといったオンラインストレージにアップロードし、そのファイルへのアクセスリンク(URL)を相手に通知するという手法です。
井上 この方法の利点は、ファイルの実体がメール経路上を流れないことにあります。リンクを受け取った相手は、指定されたオンラインストレージにアクセスしてファイルを閲覧・ダウンロードします。この際、ストレージ側で「誰が」「いつ」「どのファイルに」アクセスしたかというログを詳細に記録できるので、情報えい時の追跡も容易になります。
さらに、ファイルごとに閲覧のみ、ダウンロード可、編集可といった細やかなアクセス権限を設定できるので、意図しない情報の拡散を防ぎ、より厳密な情報管理が可能となるというメリットもあります。このように、ファイル共有の場をメールから堅牢なセキュリティ基盤を持つオンラインストレージへと移行させることが、PPAPからの脱却における基本的な考え方になると思っています。
PPAP代替策として、優位性の高いmxHERO
――具体的なサービスとして、mxHEROが優れていると伺いました。
丸伊 PPAPの代替策としてオンラインストレージが有効であることは、すでに説明した通りです。しかしその一方、ユーザーが手動で、ファイルをアップロードし、共有リンクを作成し、メールに貼り付けて送る、という作業は、従来のファイル添付に比べて手間が増えるという側面もあります。そこで、そうした課題を解決するのが、メールセキュリティソリューションであるmxHEROです。
mxHEROは、「メールとクラウドストレージを繋げる役割を持つ」SaaSであり、ユーザーの利便性を損なうことなく、ファイル共有のセキュリティを抜本的に向上させることが可能です。
その最大の特長は、ユーザーがこれまでの操作感を一切変える必要がない点にあります。利用者はなんらかのソフトウェアをインストールする必要もなく、ファイル添付のメールを送るにあたって、何か面倒な手続きが必要になることもありません。通常通りのメールソフトで、メール本文を書いて、添付ファイルを添付して、送信ボタンを押すだけでいいのです。
ユーザーが普段使っているメールソフトでファイルを添付して送信すると、mxHEROがそのメールを中継してくれます。添付ファイルを自動的にBoxなどの契約しているオンラインストレージに格納し、元の添付ファイルをそのファイルへの共有リンクに自動で置き換えてから、相手先に送信してくれます。これにより、ユーザーはPPAP代替に伴う新たな作業を覚えることもなく、シームレスに安全なファイル共有へと移行できます。この仕組みはPCだけでなくモバイル端末でも同様に機能するため、場所やデバイスを問わず一貫したセキュリティポリシーを適用することが可能になるのです。
井上 mxHEROの優位性は、送信時だけにとどまりません。他社製品にはない大きな特長として、受信時のファイル処理にも対応している点が挙げられます。外部から添付ファイルのあるメールを受け取った際に、その添付ファイルをローカルに置かずに、クラウドストレージに置いてくれます。mxHEROが添付ファイルを自動で分離し、オンラインストレージに格納してくれるのです。受信者にはリンクが記載されたメールが届きます。セキュリティが担保されることに加えて、メールボックスの容量が添付ファイルによって圧迫されるのを防ぎ、メールサーバーの運用コスト削減にもつながります。特に、容量無制限プランのあるBoxと組み合わせることで、その効果は最大化されるでしょう。メール本文や添付ファイルを半永久的にアーカイブすることが可能となり、情報資産管理の側面からも大きなメリットが生まれます。
このように、mxHEROは単なるPPAP代替ソリューションであるということにとどまらず、企業のメール運用全体のセキュリティ強化、業務効率化、そしてコスト削減にまで貢献する包括的なサービスだといえます。
mxHERO導入におけるパートナー選定のポイント
――mxHEROの優れた点はよくわかりました。しかし、どのパートナーからmxHEROを導入するかも、その後の有効活用に影響すると伺いました。
丸伊 mxHEROの導入効果を最大限に引き出すためには、適切な導入パートナーを選ぶことがとても重要です。mxHERO単体の機能は比較的シンプルに見えますが、その本質はメールシステムとクラウドストレージという2つの異なるシステムを連携させる点にあります。したがって、パートナーにはmxHEROの製品知識だけでなく、メールシステム(Microsoft 365やGoogle Workspaceなど)や当該企業が利用するクラウドストレージに関する深い知見も必要になります。
たとえば、「特定の部署のユーザーだけmxHEROを使わせたい」というケースや、「特定の条件下でのみ添付ファイルをリンク化したい」といった細かいニーズに応える場合には、その制御をmxHERO側で行うべきか、既存のメールシステム側で行うべきかといったことを、状況に応じて最適に判断できる知見・ノウハウ、そして経験などが不可欠なのです。
この判断を誤ると、将来的な運用に支障が出たり、障害発生時の影響範囲が想定以上に拡大したりする恐れがあるからです。また、万が一mxHEROのサービスに障害が発生した場合でも、メールの送受信が完全に停止しないように、事業継続性を考慮した経路設計ができるかどうかも、パートナーの技術力を見極める重要なポイントとなります。そう考えると、単に「導入実績が豊富」というだけでなく、自社の利用環境やセキュリティポリシーを深く理解し、障害時のリスクまで見据えた最適な構成を提案できるパートナーを選ぶことが、mxHERO導入成功の鍵になるということができます。
丸紅I-DIGIOを通じて、mxHEROを導入するメリットについて
――数あるベンダーの中で、なぜ丸紅I-DIGIO(以下、I-DIGIO)がmxHEROの導入パートナーとして選ばれるのか。同社が持つ他社にはない強みなども含めてご説明ください。
丸伊 第一に、I-DIGIOにはメールシステムとクラウドストレージの両方に精通した総合力があるという点です。I-DIGIOは、多くの企業で利用されているMicrosoft製品(Exchange Onlineなど)や、クラウドストレージの代表格であるBoxの正規代理店でもあります。そのため、mxHERO、メール、ストレージという3つの要素を個別にではなく、一つの連携したシステムとして捉え、顧客の環境に最適なトータルソリューションを提案できるという強みがあります。
第二に、開発元との強力な連携体制を挙げることができます。I-DIGIOは、mxHEROの開発元と定期的に直接対話する機会を持っており、日本の顧客からの要望を機能改善や新機能として提案できる強いパイプを持っています。実際に、当社の提案によって日本のユーザー向けの機能が実装された実績もあります。この、メーカーとの連携が強いという事実は、顧客が将来にわたって安心してサービスを使い続ける上でも、大きなメリットとなるものと自負しています。
第三に、一次代理店としての柔軟な対応力を挙げることができます。I-DIGIOはmxHEROの一次代理店であるため、顧客が現在取引しているパートナー企業(二次代理店)を介してmxHEROを導入するといったことも可能です。これにより、顧客は慣れ親しんだ窓口との関係を維持しつつ、その裏でI-DIGIOの高度な専門知識とサポート力で運用を支援することが可能です。
井上 こうした強みによって、当社は単にmxHEROといった特定の製品を販売するだけでなく、顧客のメール業務全体の課題を解決し、セキュリティと利便性の両立を実現するための最適なパートナーとなり得るのです。
――PPAPからの脱却は、多くの企業にとって、喫緊の課題だといっても過言ではない。しかし、対策を実施すればそれで済むということではなく、より総合的にメール運用やファイル共有などを効率化するための契機だと捉えるべきだろう。より適切なソリューションを、より適切なパートナーから導入することによって、企業は高度な安心・安全を確保することが可能になる。
PPAPを撲滅するクラウドストレージ型メールマネジメントシステム
