2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
リンクをコピー
記事をブックマーク
平野善隆氏(以下、平野):「ここが変だよPPAP」ということで、進めます。まずは登壇者の紹介です。私、平野が株式会社クオリティアから来ました。メールに関しては1900年代後半からいろいろといじっていまして、PPAPを最初に見たのが、2000年前半ぐらいです。
そのあと当社、当時のトランスウェアに入り、いろいろなメールのソフト、サービスを作っていく中で、PPAPをもしかしたら普及させてしまったかもしれない誤送信防止のソフトやツールなどの、プロダクトマネージャーをしていました。
そういう意味で、PPAPの立場としてはなかなか複雑です。しかし、「止めたほうがいいよ」とも、「おもしろいよ」とも、どんな話もできる立場で、このセッションは「ちょっと変だよ」と技術的にディスりながらしたいと思っています。次はVadeの関根さん、お願いします。
関根章弘氏(以下、関根):Vade Secureの関根です。Vade Secureという名前を聞いたことがない方は多いかもしれませんが、フランスに本社のあるセキュリティのベンダーです。PPAPは日本独自の風習じゃないか、という話もあるので、そのへんの情報を話そうと思っています。よろしくお願いします。
平野:北川先生お願いします。
北川直哉氏(以下、北川):国立情報学研究所(NII)の北川です。2020年までは東京農工大学にいましたが、今年度からNIIに移籍しました。PPAPというよりはメールシステムや、メールだけでなく、いろいろなネットワークシステムのサービスや、あとはそのセキュリティ対策について日々広く研究活動をしています。
今回、いろいろなベンダーの方やプロバイダーの方がいますが、アカデミアの立場からいろいろと意見をディスカッションできたらと思っています。よろしくお願いします。
平野:お願いします。最後、森崎さんお願いします。
森崎聡氏(以下、森崎):株式会社オプテージの森崎です。会社は大阪に本社があるISPで、サービスでいうとeoやmineoなど、インターネットの接続サービスを展開しています。私自身はその中で、コンシューマーのユーザーや法人のユーザー向けにメールのサービスを提供して、そのシステムの運用作業を長年やっています。
システム運用とは最近若干手が離れていて、プラス社内のメールの仕組みなどをどう運用していくか。セキュリティの話もそうですが、アドバイス的なことも社内でいろいろやっているのが最近の動向です。その中の1つとして、「PPAPなどもどうしたらいいの?」みたいなことをちょっと考えている状況です。本日はよろしくお願いします。
平野:よろしくお願いします。それではアンケートを利用していきます。このイベントに参加するときに、アンケートがあったと思いますが、そこで答えてもらったのが240件ぐらい。
さらに、メーリングリストに流して、514件ぐらい答えてもらいました。そのアンケートをもとに、このセッションでも話します。数字的に速報版というかたちなんですけど、よかったら見てください。あとでアップデートしていく予定です。
回答者の内訳ですが、メールの利用者、運用、PPAPを運用する立場、助言する立場や、運用を決定する立場と、わりと均等に分かれたアンケートの結果になっています。
ただ、このカンファレンスに参加する人や、メール関係の会社のメーリングリストにいた方なので。わりとメールに詳しかったり、PPAPに詳しかったりで、ちょっと普通の一般人よりは、バイアスがかかっているかもしれません。
日本独自のPPAPがまず変、と冒頭でもありましたが、これについてちょっと調べてみると、どうもアメリカにもあるにはあるらしいです。ただ256bitのエンクリプションがあります。AESですかね。パスワードやパスフレーズは、別のメールで送りなさいよ、となっている。こういうドキュメントがあるみたいで、海外にもあるにはあるらしいですが、実際送っているのは見たことがありません。
2020年、ちょうどアメリカのサンフランシスコで行われたM3AAWGでも、PPAPについて少し紹介しました。しかし、そのときの反応としては「経路で暗号化したらいいじゃない。S/MIMEを使ったらいいじゃない」と。ぜんぜん興味がないような反応だったので、この辺についてフランスに本社をおもちの関根さんに。どういう状況かを、ちょっと話せますか?
関根:そうですね。3分の1と書いていますが、ちょっと何人かに、どういうふうにファイルをお客さんなどと共有しているのかを聞いてみました。まず1人目。プリセールス系の人で、特に外とのやり取りが多い人の回答です。もう最近PowerPointのスライドもサイズが大きいし、それこそ動画で自分のプレゼンやデモの内容を渡したりもするので、ファイルを渡すときには、もう基本的にはクラウドサービスを使って渡しているということでした。
うちの会社ではBoxとか、あとはマイクロソフトのサービスを使っています。ここのBoxは、Google DriveやDropbox、SharePointなどに置き換えて読んでいただいてかまいませんが、そういったクラウドサービスで送っています。そのファイルの重要度に応じて、ファイル単位やフォルダ単位でパスワードを設定することもある、ということでした。
パスワードを設定したときには、メールで送っているのが多いみたいです。何のために質問をしているかと聞かれたので、情報漏洩の話や誤送信防止、情報漏洩、盗聴に対することが懸念していると話ましたが、情報漏洩、誤送信に関しては、相手先を間違えたことに気づいたら、ファイルを消しちゃえば漏洩しないから大丈夫ですよね、と。
あともう1つ。セキュリティとはぜんぜん関係ありませんが、この彼が言っていたのは、メールでファイルを送るとバージョンの異なるファイルが複数できて管理が大変になるので、メールでファイルを送るのは嫌だ、というのが考え方にありました。実際に、私も今日の技術系の議論はセキュリティの話が多いと思いますが、それ以外に運用面というところで、すごくオーバーヘッドになるな、PPAPがつらいな、と私も感じています。
次の人はどちらかというとサポートに近く、より技術に近い人です。この人もクラウドストレージを使って、ファイルを渡しています。この人が注意しているのは、ダウンロードが可能な期間を短く設定しておいて、いつまでもアクセスできる状態で放置しないように気をつけています、と言っていました。
それからBoxのサービスではファイルをダウンロードしたときに通知メールが届くように設定できるので、不審なダウンロードがないかをその通知で管理というか、通知を見るようにして、変なアクセスがあった場合には、すぐに対応できるようにしている、ということでした。
3人目はエンジニアの人で、ちょっと聞く相手を間違えたかなという感じですが。あまりOfficeドキュメントを、外の人とやり取りするということはないという話でした。そのため、純粋に「もしそういうことがあったらこうするだろう」ということで、やはりクラウドストレージのサービスを使うだろうと。それでパスワードを設定して、パスワードは一番連絡取りやすいメールで送る、ということでした。
「自分ではやらないけれど、そんなにセキュリティ、セキュリティと言うんだったら、PGPで署名した暗号メールで送ったらいいんじゃないの?」というようなことを言っていました。
先ほどの2人もパスワードはメールで送ると言っていて、リンクを送って同じ経路でパスワードを送ったら、PPAPと同じ問題がセキュリティの懸念が出て。「じゃあパスワードを送るときに、もうちょっと安全に送る方法を使ったらどうですか?」 と言っていましたが、実際はそこまでやっていないのが現実のようです。
平野:じゃあ、クラウドストレージを使ったPPAPなんですね。
関根:そうですね。そのため、パスワードの送り方としては、プロジェクトなどであれば最初に共有しておいて、メールで送らない、とかがあると思います。あとは重要度の低いものであれば、必ずしも全部パスワードをかける必要はありません。必要に応じて、自分で考えてやりましょうということだと思います。
平野:何段階かあるわけですね。パスワードをメールで送っちゃうのもあれば、PGPでちゃんと相手のキーを使って暗号化したのを送るのもあれば、プロジェクト単位で最初に決めてメールさえ使わないのもあると。
関根:そうですね。
最後にコメントとしてもらったのは、今は3人ともストレージサービスを使ってファイルを共有していますが、フィルターのサイドで見ると実はセキュリティという意味ではパスワード付きzipを送っても、リンクを送ってもあまり変わらないですよね、と。どちらもフィルター時点では中身の解析ができないため、ゲートウェイで中身を解析できないところは一緒です。
どちらもエンドポイントのディスクに書かれている。パスワード付きzipなら解凍したとき、リンクであればダウンロードした時点で、ウイルススキャンされるところはあまり変わらない、ということでした。
ただ違いとしては、そのアカウントなどがハックされたときです。可能な対応に違いがあって、先ほども出ていましたけど「メールは送ったらコントロールはすべて相手に渡してしまいます。リンクの場合は、自分でファイルを削除することで、被害の拡大を止められるところが、一番大きな違いです」と言っていました。
ただ、セキュリティを離れると、一番大きな違いはストレージを無駄に消費しない。大量にメールのコピーを送ると、その分ディスクを圧迫することになりますが、リンクならマスター1個だけなので変わらない。ここがメールシステムというシステム全体で見たときに、一番大きな違いなんじゃないか、というコメントがありました。
平野:エンジニアならではですね。ちょっと質問が来ているみたいです。「Signalというツールが、海外ではよく使われている話がありますが、どうでしょう?」と。実は僕は聞いたことがないんですけど。
関根:そうですね。私も使ったことも聞いたこともないです。3人ともメールの世界で長い技術者でしたが、特にコミュニケーションでふだん使っていると話はありませんでした。
平野:北川先生も知らないですか?
北川:知らないですね。
関根:他の方がしゃべっている間に調べてみます。
平野:どこかで割り込んでください(笑)。
(次回につづく)
2024.12.20
日本の約10倍がん患者が殺到し、病院はキャパオーバー ジャパンハートが描く医療の未来と、カンボジアに新病院を作る理由
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.17
面接で「後輩を指導できなさそう」と思われる人の伝え方 歳を重ねるほど重視される経験の「ノウハウ化」
2024.12.13
ファシリテーターは「しゃべらないほうがいい」理由 入山章栄氏が語る、心理的安全性の高い場を作るポイント
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05