FGLグループのセキュリティ領域の守護神！？　FGLテクノソリューションズ社とのセキュリティ対談！PPAPに変わるこれからのソリューション・サイバー攻撃に屈しないこれからの新しい考え方とは？

FGLテクノソリューションズ×インボイスのセキュリティ対談の模様

新型コロナウイルス感染症対策のためマスクを着用しての対談。左からインボイス足立、FGLテクノソリューションズ八重樫さん、インボイス阿部（筆者）

プロローグ

インボイス阿部（以下、阿部）：今回のセキュリティ調査についてですが、中々面白い結果もありましたね。長年IT業界に身を置く八重樫さんから見てどうでしたか？

FGLテクノソリューションズ八重樫さん（以下、八重樫さん）：良く見聞きする『中小企業の一人情シス体制』は少数派で、逆に従業員300名以上の大企業の『一人情シス体制』が多かったという結果には驚きました。
確か、大企業の8.3%は『一人情シス体制』だったという結果でしたよね。8.3%という数値は決して少なくない数値だなと感じます。

阿部：8.3%という数値は高いということですか？

八重樫さん：そうですね。普段の仕事でお付き合いさせて頂いている大企業の情シス体制は、人数もそれなりにいて盤石な印象だったので8.3%は多いと思います。

阿部：その他にも、セキュリティに関わっている人が所属している部門の約７割が情報システム部門ではないことにも驚きました。総務部門や経営層の役員まで担当されている結果も見えましたね。

八重樫さん：経理部門の人もいらっしゃいましたね。

阿部：「えっ、経理？？」ってなりました。

継続性のあるセキュリティ対策が重要

八重樫さん：急成長企業によくみられるのが、体制整備が追い付いていないケースです。そのような場合、セキュリティだけでなく各種対策が後手に回りがちです。その場しのぎで「流行りのセキュリティ対策導入...」のような、部分的なセキュリティ対策では意味がありません。全体を俯瞰した対策が必要です。

ハッカーは、ウイルスを侵入させ悪さをさせた後も潜伏させて温めておくという手段を取ることもあります。例えば半年後くらいにまた悪さをする、、ということも出来たりしますので、油断出来ませんよー。

阿部：そんなことも出来るんですね（汗）

インボイス足立（以下、足立）：ちなみに『EDR』ってウイルスが怪しい動きをすると検知してくれるソフトだと思いますが、それを読み解くのって誰でも簡単に出来るものなんですか？

八重樫さん：いえ、難しいと思います。アラート内容を見て重要度や優先度を判定するには、高度な技術力が必要になります。

足立：だとすると、ソフトを入れましただけでは足らず、どう運用するかの観点も大切ですよね。運用面を外出しするという選択肢も出てきますね。

八重樫さん：そうですね。外出しの選択肢は重要ですね。
この他にも注目したいポイントはたくさんありますが、今回の対談では是非『PPAP』についてお話させて下さい！！

予想以上に多かったPPAPの継続率

阿部：Password付きZIPファイルを送ります、Passwordを送ります、Angouka（暗号化）Protocol（プロトコル）ですよね？

八重樫さん：良くご存じですね！

阿部：ネットで調べました(笑)

八重樫さん：語源はピコ太郎さんの『ペンパイナッポーアッポーペン』らしいですよ！

阿部：えっ、そうだったんですか！？知りませんでした。こういう形で文字ってくれると覚えやすいですよね。

八重樫さん：ですね！浸透しやすいように考えたんだと思います。

阿部：今回の対談のテーマですが、何故『PPAP』だったんでしょうか？

八重樫さん：単純に、このアンケートの結果が想定外だったことですね。

引き続きPPAPを継続すると回答した人は約35%でしたが、どうするか検討中と回答した層を含めると、約60%の割合にまでなっていましたよね。
「これだけEmotet（エモテット）の被害が増えている中なのに」という事と、サイバー攻撃を防止するのは、メールで送付された怪しいファイルを開かないというところがまず入り口なので、まずPPAPを取り上げさせてもらいました。

足立：問題意識の話になりますが、PPAPとEmotet（エモテット）が結びついていなくて、Emotet（エモテット）が危ないと認識が出来ていない人もいるような気もしますね。
あとは他の選択肢も良く分からないから、PPAPに変わる対策を検討していない（出来ていない）という人もいるんでしょうね！

八重樫さん：確かにそれもありますね。

阿部：デジタル改革担当大臣が、PPAPを内閣府と内閣官房で廃止すると発表したのは、オリンピックイヤーだった2020年11月でした。この発表が企業の『脱PPAP』を加速させるのではないか？」と世間を騒がせましたが、現実はなかなか厳しいものはありますね。

八重樫さん：はい。徐々に暗号化ファイル禁止の流れは皆さんも感じているかと思いますけどね。PPAPの代替案として、主にWebダウンロードが利用されていますが正直「まだまだだな」という印象もあります。

足立：確かに、今回のアンケート結果を見ると「運用を継続しない（＝PPAPを継続しない）」は13.9%と低い数値だったので、PPAPに変わる代替案が確立しない限り、脱PPAPは、まだ時間がかかりそうですね。

八重樫さん：「このままで大丈夫なのかな？」って思いますね。

阿部・足立：そこまでですかっ！

脱PPAPは実現するのか！？

足立：八重樫さん、ずばり脱PPAPは進みますか？

八重樫さん：暗号化ZIPファイルは、マルウェアの隠れ蓑として利用され、多くの場合、受信メールサーバー側のウイルスチェックをすり抜けてしまいます。

足立：どういう事ですか？？

八重樫さん：暗号化された鍵付きの『かばん』は「ちょっと中身を見せてください」ができないという事です。空港の手荷物検査を素通りするイメージですね。

足立：良からぬ物がかばんに入っていても素通り出来るという事ですよね。まずいですよね。

八重樫さん：例えば、赤色のかばんは通さないとかは出来ます。暗号化されてなければ、かばんの中身を見ることもできます。防衛のために暗号化したことが、今では逆にウイルスの隠れ蓑になってしまっているという事になります。ハッカーは「実際に行われているメールコミュニケーションに紛れ込む」為に、このPPAPの仕組みをうまく利用しているわけです。

足立：日常的に暗号化ZIPファイルを受け取って、抵抗なくメールを開いてしまっているので、とても怖いですね。

八重樫さん：ちなみに、これは外資系企業のお客様から聞いた話なのですが、そもそも海外ではPPAPの習慣はほとんど無いそうです！！

足立：そうなんですかっ！？

八重樫さん：：はい。ずらっとパスワード付きZipファイルのメールが並んでいるのを見て「私も同じようにそうしなきゃ...」と考えるのは、日本人ならではなのかもしれませんね。

阿部：行列が行列を作るみたいな感じですね。

八重樫さん：そうですね(笑)
このままだと話が長くなりそうなので、先に足立さんの質問にお答えしておくと、脱PPAPを進めるためにはこのままではダメで、もっとマイナス面の啓蒙が必要かなと思っています。

何か事が起こらないと動けないのは分かりますが、このセキュリティ分野においては、本当に事が起こってからでは遅いんです！！取り返しがつかないことにも発展してしまう可能性だってあります！

脱PPAPが進まない理由に「我が社だけよそと違う対応したくないよ」といった心理的側面意外にも、代替手段のWebダウンロードそのものについて、懐疑的な見方があるのも事実かと思います。

そもそもPPAPがここまで浸透したのは何故？

八重樫さん：ちょっとだけ専門的な話をさせていただくと、Web情報をやりとりする「http」というプロトコルについて、かなり早い段階でほとんどのWebサイトが「https」という暗号化されたプロトコルに対応し、ブラウザも暗号化されていないサイトだと警告を出すなど、暗号化への啓蒙がされていました。

阿部：確かに「http」のサイトは安全ではありませんという警告が出ていますよね。

八重樫さん：はい。でも、メール通信を担う「smtp」は暗号化されていないんです。インターネットを飛び交う「eｰMail」は、盗聴しようと思えば見られてしまうわけです。

足立：全てのメールですか？

八重樫さん：いえ、全てではありません。smtpの暗号化は発信元と受信先の両方が対応している必要があり、それであればsmtpの暗号化を実現できます。
が、今日現在も送受信の両方でsmtp暗号化に対応するメールサーバーはすべてではありません。

足立：なるほど！見えてきました。「メール通信そのものは暗号化されていないけど、せめて添付ファイルだけでも暗号化しようよ！」がPPAPだったんですね！！

八重樫さん：そうです！さらに、詳しい方のお話を聞くと2010年頃に個人情報漏洩の事件が頻発し、添付ファイルにちゃんと鍵かけよう！の風潮が加速したとの意見もありました。

阿部：その時のその状況だと『添付ファイルに鍵をかける』ということが、とても分かりやすく、簡単な防衛対策だったから、浸透していったんですね。今では、それが逆に危険なんですけどね...。

足立：一度沁みついてしまったその意識を変えるには、相当な時間と体力がかかりそうですね。

代替手段のWebダウンロードについて懐疑的な理由

八重樫さん：そもそも、あれ使いにくくないですか？過去メールでのやりとりから、見積もりや提案資料を探すケースってあると思いますし、Webダウンロードだとそこにファイル添付されいなくて、いつの間にか有効期限が切れてたり...、なんて経験ありますよね？

阿部：身に覚えがあり過ぎます(笑)

足立：お客様からもそういう声も頂きますね！

八重樫さん：「Webダウンロードは面倒だな」という意見が多いと、中々代替案としては認知されにくいですよね。さらに言うとURL通知もPW通知も、メール使う以上は盗聴の危険は残ると思いますし！

阿部：では、どうしたらいいでしょうか？

PPAPに変わる新しい考え方

八重樫さん：新しい考え方として「STARTTLS（スタートティーエルエス）※１という暗号化されたsmtpでのやりとりなら、暗号化パスワードファイルじゃなくてそのまま送ればいいじゃん！」の流れも出てきております。
※1：smtp通信をTLS方式によって暗号化した通信方法のこと

阿部：大丈夫なんですか？

八重樫さん：はい。もちろん条件はあります。
昔、インターネットを飛び交うメールが平文(smtp通信)だったときは、PPAPが有効でした。でも今は、TLS通信(STARTTLS)によって、ほとんどの通信が暗号化されており、そもそも暗号化ファイルの意味がなくなった...となります。

足立：『ほとんどの』が気になりますね？全部じゃないと意味ないんじゃないですか？

八重樫さん：いい質問ですね(笑)
このTLS通信の割合は、90％程と言われております。残りたった10%の為に、PPAPの代替策としてWebダウンロード方式やクラウドストレージへの利用に切り替えようとしている企業も多くあります。
「それってなんか無駄だな」の考えから、TLS通信(STARTTLS)を前提とした新しいソリューションも生まれてきております。

阿部：どんなソリューションですか？

八重樫さん：「これは安全な通信だな。じゃあそのままで(パスワード無しZipファイルで)送ろう」や「暗号化された通信ができない相手先だぞ。パスワード付き暗号化Zipファイルで送ろう」など、自動で判別するようなソリューションです。

足立：面白いですね！仕事の利便性を考えたらこっちの方がいいですし、この辺の話って、どうしたらいいか分からない企業も多いと思うので、素人考えですが、流行りそうですよね。
値段次第なところはありますが！(笑)

八重樫さん：今までなかった考え方だと思います。

阿部：これまで、パスワード付き暗号化ファイルを信じて疑わなかった日本の習慣からすると「本当に大丈夫かな？」と心配になるユーザーも多いでしょうね。

八重樫さん：そうですね。ただ、この「これまでと全く違う考え方」は、今後のセキュリティ領域では重要なキーワードになるかと思います。

阿部：といいますと？

八重樫さん：これはまた別のセキュリティーソリューションなのですが、みなさんのパソコンにインストールされている、いわゆるウイルス対策ソフトって、基本的な考え方は昔からあまり変わってないんです。

阿部：でも、最近ではウイルス対策ソフト『NGAV』というものも出てきてますよね？　ネクストジェネレーションってついている以上、これは新しい考え方なんじゃないですか？

八重樫さん：いいえ、これは新しい考え方には当てはまらないと思います。

阿部・足立：「えっ！？」

八重樫さん：AVにしてもNGAVにしても、結局は『反応型の防御』なんです。ここは変わらない。ドンと構えて、ひたすら攻撃に耐える...みたいなイメージでしょうか。

阿部：はい。それが当たり前ではないでしょうか。

八重樫さん：今では『マルウェアを検知して駆除』する防御手法ではなく、『攻撃そのものを無効化』してしまうソリューションが出てきております。

ウイルスの侵入を前提にしたソリューション

阿部：「攻撃を無効に！？　そんな事できるんですか？」

八重樫さん：分かりやすく例を出しますね！(笑)

阿部：是非、お願いします！！

八重樫さん：家の中のレイアウトが泥棒さんにバレて、金庫の場所が知られちゃっているとします。金庫には当然、大切な物が入っています。その状況なら防衛策として、ドアの鍵を二つにしたり、防犯カメラをつけたりして、何とか金庫までたどり着かないように防衛しようとしますよね？

阿部：はい。あと入って来られないようにドーベルマンも飼うと思います！！

八重樫さん：そうですね(笑)
これって、あの手この手で侵入してこようとする泥棒に『反応して防御』しているわけです。NGAVにしても、イメージとしては「指名手配はされていないけど、たぶん悪いヤツだろう」と推測して取り押さえるといったイメージでしょうか。大雑把に言うとですが。

足立：誤検知も問題になっていますね。

八重樫さん：はい。そこで最近では『金庫の中身の場所を変えてしまう』といった新しいソリューションが出てきました！

阿部：「金庫の中身の場所を変えてしまう？」家のレイアウトを変えてしまうということですか？

八重樫さん：そんなイメージです。具体的には、メモリランダマイズという防御方式になります。

阿部：メモリランダマイズ？

八重樫さん：例えばAcrobatの脆弱性をついたウイルスがあったとします。Acrobatは本来、メモリ領域の一丁目一番地にいると仮定します。Acrobatの脆弱性をついたウイルスは、この一丁目一番地を頑張って攻撃するわけですが、メモリランダマイズによって、Acrobatを三丁目五番地に移動させてしまうということです。

阿部：もう大切な物が入っていない金庫を、泥棒が必至に漁るイメージですね(笑)

八重樫さん：まさにそれです！
 
阿部：かわいそうな泥棒さんですね(笑)

これからのセキュリティソリューション

八重樫さん：今までお話したメールソリューションしかり、この手の「これまでと全く違う考え方」をベースにしたソリューションは、とても有効な手段だとしても、日本人の右へ倣えの風習からか「我先に導入するぞ！」とはならないケースが多いようです。

阿部：いい物だと分かっているだけに、残念ですね。

八重樫さん：はい。技術的な側面だけでなく、メールの仕組みを変えるとなると、総務部や法務部といった管理セクションとシステム部門との連携が必要になり、ユーザーの中で旗振り役がいないと前に進まないのかなとも思います。

阿部：それはありますね。

八重樫さん：さらに、システム部門の人員は削減傾向にあるので、今後はこの「旗振り役」の重要度が更に高まるのではないか？と感じています。

阿部：人員が減ると、旗振り役だけでなく、日常的なセキュリティ対応も大変ですよね？今後はより一層、御社のようなセキュリティ領域に強いベンダーさんが必要になってきますね。

八重樫さん：はい。幸いにも、我々FGテクノソリューションズ（FTS）は、芙蓉総合リースを親会社に持ち「芙蓉グループさんの提案なら信用できるね」のお言葉を頂くことが多いんです。

阿部：信用できるベンダーという立ち位置を築けているという事ですね！素晴らしいことだと思います。

八重樫さん：世間的には「まだ早いでしょ」とか「まあ、よそが入れてからウチも検討するよ」と言われてしまいがちな「新しい考え方」の商品でも、有効性が確認されたソリューションであれば、いち早くお客様に情報をお届けしたいと考えております！

足立：心強いですね。

阿部：ちなみに、現在FTSさんで新しいソリューションサービスを立て付け中だとか？

八重樫さん：そうなんです。先ほどお話した、安全な通信経路かどうかでファイルにパスワード付与を自動判別するソリューションをもう間もなく販売出来る予定です！！

阿部・足立：「おぉ～」

足立：「この仕組みを使ったソリューションを導入しています」と外にアピールできるような証明とか出来たらいいですね！プライバシーマークではないですが、企業の姿勢としてもプラスになりますよね。

八重樫さん：そうですね！日本の企業全体でセキュアな体制を作っていきたいですよね。

阿部：本日は、貴重な意見ありがとうございました。また対談させてください。
次回のテーマを考えておきます！！

八重樫さん：こちらこそありがとうございます。是非、次回もお待ちしています！！

---

終始マスクを着用した対談で息苦しい中、貴重なお話を頂けました。
対談させていただきましたFGLテクノソリューションズの八重樫さん、誠にありがとうございました！

本編でご紹介しました、FGLテクノソリューションズから販売される、新しいソリューションサービスはこちら↓

●脱PPAP『TLS確認機能』
https://www.qualitia.co.jp/product/ag/tls-check.html

●サイバー攻撃を無効化するEPP『Morphisec（モルフィセック）』
https://www.iwi.co.jp/products/security/morphisec.html

※お問合せの際は「本記事（FTSとインボイスの対談記事）を読んだ」と言っていただくとスムーズです。

あとがき

【本日の対談メンバーの横顔】

●八重樫さんの趣味：ロードバイクと出社前のランニング。
●足立の趣味：家事手伝い。とくに子育て。
●阿部の趣味：筋トレと東京マラソン完走のためのランニング

―――――――――――――――――――――――――
【企業情報】
株式会社FGLテクノソリューションズ（FTS）
https://www.fgl-ts.co.jp/company.html

株式会社インボイス
https://www.invoice.ne.jp/
―――――――――――――――――――――――――