2024.12.10
“放置系”なのにサイバー攻撃を監視・検知、「統合ログ管理ツール」とは 最先端のログ管理体制を実現する方法
リンクをコピー
記事をブックマーク
平野善隆氏(以下、平野):「ここが変だよPPAP」ということで、進めます。まずは登壇者の紹介です。私、平野が株式会社クオリティアから来ました。メールに関しては1900年代後半からいろいろといじっていまして、PPAPを最初に見たのが、2000年前半ぐらいです。
そのあと当社、当時のトランスウェアに入り、いろいろなメールのソフト、サービスを作っていく中で、PPAPをもしかしたら普及させてしまったかもしれない誤送信防止のソフトやツールなどの、プロダクトマネージャーをしていました。
そういう意味で、PPAPの立場としてはなかなか複雑です。しかし、「止めたほうがいいよ」とも、「おもしろいよ」とも、どんな話もできる立場で、このセッションは「ちょっと変だよ」と技術的にディスりながらしたいと思っています。次はVadeの関根さん、お願いします。
関根章弘氏(以下、関根):Vade Secureの関根です。Vade Secureという名前を聞いたことがない方は多いかもしれませんが、フランスに本社のあるセキュリティのベンダーです。PPAPは日本独自の風習じゃないか、という話もあるので、そのへんの情報を話そうと思っています。よろしくお願いします。
平野:北川先生お願いします。
北川直哉氏(以下、北川):国立情報学研究所(NII)の北川です。2020年までは東京農工大学にいましたが、今年度からNIIに移籍しました。PPAPというよりはメールシステムや、メールだけでなく、いろいろなネットワークシステムのサービスや、あとはそのセキュリティ対策について日々広く研究活動をしています。
今回、いろいろなベンダーの方やプロバイダーの方がいますが、アカデミアの立場からいろいろと意見をディスカッションできたらと思っています。よろしくお願いします。
平野:お願いします。最後、森崎さんお願いします。
森崎聡氏(以下、森崎):株式会社オプテージの森崎です。会社は大阪に本社があるISPで、サービスでいうとeoやmineoなど、インターネットの接続サービスを展開しています。私自身はその中で、コンシューマーのユーザーや法人のユーザー向けにメールのサービスを提供して、そのシステムの運用作業を長年やっています。
システム運用とは最近若干手が離れていて、プラス社内のメールの仕組みなどをどう運用していくか。セキュリティの話もそうですが、アドバイス的なことも社内でいろいろやっているのが最近の動向です。その中の1つとして、「PPAPなどもどうしたらいいの?」みたいなことをちょっと考えている状況です。本日はよろしくお願いします。
平野:よろしくお願いします。それではアンケートを利用していきます。このイベントに参加するときに、アンケートがあったと思いますが、そこで答えてもらったのが240件ぐらい。
さらに、メーリングリストに流して、514件ぐらい答えてもらいました。そのアンケートをもとに、このセッションでも話します。数字的に速報版というかたちなんですけど、よかったら見てください。あとでアップデートしていく予定です。
回答者の内訳ですが、メールの利用者、運用、PPAPを運用する立場、助言する立場や、運用を決定する立場と、わりと均等に分かれたアンケートの結果になっています。
ただ、このカンファレンスに参加する人や、メール関係の会社のメーリングリストにいた方なので。わりとメールに詳しかったり、PPAPに詳しかったりで、ちょっと普通の一般人よりは、バイアスがかかっているかもしれません。
日本独自のPPAPがまず変、と冒頭でもありましたが、これについてちょっと調べてみると、どうもアメリカにもあるにはあるらしいです。ただ256bitのエンクリプションがあります。AESですかね。パスワードやパスフレーズは、別のメールで送りなさいよ、となっている。こういうドキュメントがあるみたいで、海外にもあるにはあるらしいですが、実際送っているのは見たことがありません。
2020年、ちょうどアメリカのサンフランシスコで行われたM3AAWGでも、PPAPについて少し紹介しました。しかし、そのときの反応としては「経路で暗号化したらいいじゃない。S/MIMEを使ったらいいじゃない」と。ぜんぜん興味がないような反応だったので、この辺についてフランスに本社をおもちの関根さんに。どういう状況かを、ちょっと話せますか?
関根:そうですね。3分の1と書いていますが、ちょっと何人かに、どういうふうにファイルをお客さんなどと共有しているのかを聞いてみました。まず1人目。プリセールス系の人で、特に外とのやり取りが多い人の回答です。もう最近PowerPointのスライドもサイズが大きいし、それこそ動画で自分のプレゼンやデモの内容を渡したりもするので、ファイルを渡すときには、もう基本的にはクラウドサービスを使って渡しているということでした。
うちの会社ではBoxとか、あとはマイクロソフトのサービスを使っています。ここのBoxは、Google DriveやDropbox、SharePointなどに置き換えて読んでいただいてかまいませんが、そういったクラウドサービスで送っています。そのファイルの重要度に応じて、ファイル単位やフォルダ単位でパスワードを設定することもある、ということでした。
パスワードを設定したときには、メールで送っているのが多いみたいです。何のために質問をしているかと聞かれたので、情報漏洩の話や誤送信防止、情報漏洩、盗聴に対することが懸念していると話ましたが、情報漏洩、誤送信に関しては、相手先を間違えたことに気づいたら、ファイルを消しちゃえば漏洩しないから大丈夫ですよね、と。
あともう1つ。セキュリティとはぜんぜん関係ありませんが、この彼が言っていたのは、メールでファイルを送るとバージョンの異なるファイルが複数できて管理が大変になるので、メールでファイルを送るのは嫌だ、というのが考え方にありました。実際に、私も今日の技術系の議論はセキュリティの話が多いと思いますが、それ以外に運用面というところで、すごくオーバーヘッドになるな、PPAPがつらいな、と私も感じています。
次の人はどちらかというとサポートに近く、より技術に近い人です。この人もクラウドストレージを使って、ファイルを渡しています。この人が注意しているのは、ダウンロードが可能な期間を短く設定しておいて、いつまでもアクセスできる状態で放置しないように気をつけています、と言っていました。
それからBoxのサービスではファイルをダウンロードしたときに通知メールが届くように設定できるので、不審なダウンロードがないかをその通知で管理というか、通知を見るようにして、変なアクセスがあった場合には、すぐに対応できるようにしている、ということでした。
3人目はエンジニアの人で、ちょっと聞く相手を間違えたかなという感じですが。あまりOfficeドキュメントを、外の人とやり取りするということはないという話でした。そのため、純粋に「もしそういうことがあったらこうするだろう」ということで、やはりクラウドストレージのサービスを使うだろうと。それでパスワードを設定して、パスワードは一番連絡取りやすいメールで送る、ということでした。
「自分ではやらないけれど、そんなにセキュリティ、セキュリティと言うんだったら、PGPで署名した暗号メールで送ったらいいんじゃないの?」というようなことを言っていました。
先ほどの2人もパスワードはメールで送ると言っていて、リンクを送って同じ経路でパスワードを送ったら、PPAPと同じ問題がセキュリティの懸念が出て。「じゃあパスワードを送るときに、もうちょっと安全に送る方法を使ったらどうですか?」 と言っていましたが、実際はそこまでやっていないのが現実のようです。
平野:じゃあ、クラウドストレージを使ったPPAPなんですね。
関根:そうですね。そのため、パスワードの送り方としては、プロジェクトなどであれば最初に共有しておいて、メールで送らない、とかがあると思います。あとは重要度の低いものであれば、必ずしも全部パスワードをかける必要はありません。必要に応じて、自分で考えてやりましょうということだと思います。
平野:何段階かあるわけですね。パスワードをメールで送っちゃうのもあれば、PGPでちゃんと相手のキーを使って暗号化したのを送るのもあれば、プロジェクト単位で最初に決めてメールさえ使わないのもあると。
関根:そうですね。
最後にコメントとしてもらったのは、今は3人ともストレージサービスを使ってファイルを共有していますが、フィルターのサイドで見ると実はセキュリティという意味ではパスワード付きzipを送っても、リンクを送ってもあまり変わらないですよね、と。どちらもフィルター時点では中身の解析ができないため、ゲートウェイで中身を解析できないところは一緒です。
どちらもエンドポイントのディスクに書かれている。パスワード付きzipなら解凍したとき、リンクであればダウンロードした時点で、ウイルススキャンされるところはあまり変わらない、ということでした。
ただ違いとしては、そのアカウントなどがハックされたときです。可能な対応に違いがあって、先ほども出ていましたけど「メールは送ったらコントロールはすべて相手に渡してしまいます。リンクの場合は、自分でファイルを削除することで、被害の拡大を止められるところが、一番大きな違いです」と言っていました。
ただ、セキュリティを離れると、一番大きな違いはストレージを無駄に消費しない。大量にメールのコピーを送ると、その分ディスクを圧迫することになりますが、リンクならマスター1個だけなので変わらない。ここがメールシステムというシステム全体で見たときに、一番大きな違いなんじゃないか、というコメントがありました。
平野:エンジニアならではですね。ちょっと質問が来ているみたいです。「Signalというツールが、海外ではよく使われている話がありますが、どうでしょう?」と。実は僕は聞いたことがないんですけど。
関根:そうですね。私も使ったことも聞いたこともないです。3人ともメールの世界で長い技術者でしたが、特にコミュニケーションでふだん使っていると話はありませんでした。
平野:北川先生も知らないですか?
北川:知らないですね。
関根:他の方がしゃべっている間に調べてみます。
平野:どこかで割り込んでください(笑)。
(次回につづく)
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
2024.12.09
10点満点中7点の部下に言うべきこと 部下を育成できない上司の特徴トップ5
2024.12.09
国内の有名ホテルでは、マグロ丼がなんと1杯「24,000円」 「良いものをより安く」を追いすぎた日本にとって値上げが重要な理由
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.12.10
職場であえて「不機嫌」を出したほうがいいタイプ NOと言えない人のための人間関係をラクにするヒント
2024.12.12
今までとこれからで、エンジニアに求められる「スキル」の違い AI時代のエンジニアの未来と生存戦略のカギとは
PR | 2024.11.26
なぜ電話営業はなくならない?その要因は「属人化」 通話内容をデータ化するZoomのクラウドサービス活用術
PR | 2024.11.22
「闇雲なAI導入」から脱却せよ Zoom・パーソル・THE GUILD幹部が語る、従業員と顧客体験を高めるAI戦略の要諦
2024.12.11
大企業への転職前に感じた、「なんか違うかも」の違和感の正体 「親が喜ぶ」「モテそう」ではない、自分の判断基準を持つカギ