10月に東京と大阪で開催されるセキュリティカンファレンス「Security Days Fall 2022」で株式会社クオリティア 営業本部 フィールドセールス部 主任 福山 浩平 氏が行う講演「『クラウドストレージ』も『Webダウンロード』ももう不要 対症療法ではないPPAPの解決策【TLS確認機能】のご紹介」は、国産メールセキュリティ企業が業界とユーザー企業へオピニオンを発信するという点において、今回の Security Days の目玉の講演のひとつと言っていいだろう。
テーマはズバリ「脱PPAP」である。デジタル庁の判断によって、廃止と別方法への変更が求められているこの問題に、国産メールセキュリティ専業企業であるクオリティアが、現状分析と解決策の提言を行う。
まず講演の前半、現状分析パートでは、脱PPAPとして市場で提供されているサービスを「Webダウンロード方式」や「Webダウンロード + ワンタイムパスワード」等々、都合4つの方法を、A社 B社式に網羅的に挙げ、それぞれの方法の運用上の負荷や、排除できないリスクなどの懸念点を丁寧に分析する。
脱PPAPにこれから取り組む企業はもちろんのこと、既に4種類いずれかの方式を採用している企業のセキュリティ担当者や情報システム部門にとっても、ここで改めて懸念点をおさらいしておけば、きっと今後の安全な運用のヒントが得られ、万が一のケースの備えをなすことができるだろう。
講演後半の、クオリティアからの解決方法の提案パートだが、実は拍子抜けするほど普通である。講演タイトルにすでに「TLS確認」とあるとおり、送信先が暗号化通信であるTLSを採用しているかどうかを事前確認し、TLSが使えるのならファイルを生のまま送付、TLS通信ができなければクオリティアの方法(ちなみにWebダウンロードの一方法)で送る。たったそれだけ。
本講演は新しいソリューションの発表ですらない。このTLS確認機能はすでに、同社製品の「Active! gate SS(アクティブ ゲート エスエス)」に実装済み。しかもユーザーは追加料金なしで利用可能だ。
「グローバルを見ても、通信経路が暗号化されているならファイルはそのまま送る。あたりまえのことに過ぎない(福山氏)」
とはいえ、脱PPAPという文脈に、この「ごくあたりまえ」を位置づけて見せたのは、クオリティアの仕事であり意見表明であろう。日本のビジネス慣習を知り、特にメールの運用管理の現場の苦労を誰よりもよく知る同社だからこそだ。
今年6月に開催した、TLS確認機能を脱PPAPの方法として提案・紹介するオンラインセミナーには、定員300名に407名の申し込みがあったという。ユーザーの負荷を減らせるという点が特に管理者から評価されたそうだ。
何か新しいセキュリティの対策や方法の実装がなされれば、必ずコストも管理工数も増えるのが定石である現代において、ユーザーの工数を減らし、しかも(クオリティア製品の既存ユーザに関して言えばだが)1円も追加コストがかからないというのは痛快ですらある。これは「冴えたやり方」と言わざるを得ないだろう。
日本のビジネス習慣から生まれた「奇習」であるPPAPが、「国産」のメールセキュリティ専業企業のクオリティアによって、こうも軽やかにとどめを刺されようとしているのを眺めるのは、胸がすくような思いすらしてくる。本講演、必聴である。
追伸
国産メールセキュリティ専業企業であるクオリティアは、日本のメールの奇習だけでなく、もう一つのメール領域の難問Emotetにも正面から取り組んでいる。Emotet対策について語られるもうひとつの同社講演「もはや他人事ではない『Emotet対策』検知・ブロックの実例で説明する具体的な対処方法」では、早期に検知しブロックできた事例が多数語られる予定だ。
自分の会社の社員の名を騙り、過去のメールを引用して、大事な取引先に拡散メールを送りまくるという、日本のサラリーマン的「恥の文化」の痛いところを突いてくるEmotetだが、クオリティアはいったいこれにどう対処するのか。凡百のEmotet対策を謳うソリューションとは一味違う何かが必ずあるはずで、ぜひこちらもお見逃しなきよう。メールの問題はクオリティアのようなメール屋に聞くのが吉である。
10.7(金) 13:10-13:50 | RoomA
「クラウドストレージ」も「Webダウンロード」ももう不要 対症療法ではないPPAPの解決策【TLS確認機能】のご紹介
株式会社クオリティア 営業本部 フィールドセールス部 主任 福山 浩平 氏
10.7(金) 14:45-15:25 | RoomB
もはや他人事ではない「Emotet対策」 検知・ブロックの実例で説明する具体的な対処方法
営業本部 フィールドセールス部 アカウントマネージャ 篠原 健吾 氏
