とある企業の脱PPAP戦記～方針編～

サムネ出典URL： https://www.jaipa.or.jp/event/isp_mtg/asahikawa_190912-13/190913-3.pdf

 1. はじめに

情報システム部の斉藤です。

この記事は、従業員数300名前後のIT企業が脱PPAPに向けどのように考え、何を実施したかの記録です。
自組織において何をすべきか検討している情報システム部門の方の参考になればと思います。
脱PPAPなんて代替のツールを入れるだけ…そんなふうに考えていた時期が俺にもありました。

2. PPAPおさらい

パスワード付きzipファイルを1通目にメール送信し、2通目にパスワードを送信する行為。

日本で以前より行われていた商慣習ですが、手間が増えるだけで効果がほぼない「劇場型セキュリティ」として、2020年頃より揶揄される表現で広く共通認識が取れるようになった。

端的には以下3点が問題と考えられます。

1. パスワード付きzipファイルは、ウィルスチェックを通らないため
2. 同じ経路で2通送っているので、誤送信対策になっておらず手間だけが増えるため
3. 情報送信後に、閲覧履歴確認やファイルの削除等ができないため

つまり機密性が守られていないばかりでなく、相手には手間をかけさせマルウェア対策もさせないことを強いる送信手段が、商習慣として続いていたことになります。

3. 問題の本質

まずは、多くの人が薄々気付きながらも「なぜ今まで改善されてこなかったのか」という点を考察します。ここをクリアにしておかないと、また同じことを繰り返すと考えたためです。

技術的要因

外的要因の変化に追従しなかった

通信経路を暗号化するSSLが十分に普及していなかった2000年代には、添付ファイルを暗号化して送信することに一定の効果はありました。（それでも、暗号化に利用したパスワードの共有方法には課題がありました。）

現在は通信経路を暗号化する技術や、メールサービスの多要素認証、クラウドサービスによる不正利用防止の仕組みなど、従来にはなかったセキュアな情報交換が可能になっています。

このように 外的要因の変化に追従してルールの見直しを行わなかったこと が意味の薄い行為を招いています。

組織的要因

各個人の機密性判断が粗かった

各個人の機密性判断が粗かったことはポイントの一つかと思っています。
一般社員としては、暗号化が必要かそうでないか、程度の分け方ではないでしょうか。
これは、セキュリティ面でのリスクだけでなく、相手へのムダなコストを強いることにも繋がります。
もっと簡素な手段で送って良いはずの資料を、機密度の高い手段（※）で送り続けることも問題と言えるでしょう。
※PPAPは機密度の高い手段ではないのですが
この現象の課題感は、サムライズム社の意思表示が端的で分かりやすいです
https://samuraism.com/2020/04/01/11319

思考停止していた

• 一般社員は「本社のルールに従う、情報システム部に従う」「取引先がいるから難しい」
• 情報システム部門は「ルールの変更と浸透が大変」
• エンジニアは「あれ使えば良いのに」と技術主張のみ、社会全体や相手先との調整は他人事

皆さんの所属する組織では上記のような雰囲気が漂っていなかったでしょうか。

社会的要因

相手が合意しないと通信できない

コミュニケーションには相手がいます。

つまり相手に情報を送信するにあたって、まずは相手の受信できる手段が必要となります。 この手段が一般的かどうかの特性を相互運用性と言いますが、メールという手段はこの相互運用性に優れています。
https://ja.wikipedia.org/wiki/%E7%9B%B8%E4%BA%92%E9%81%8B%E7%94%A8%E6%80%A7

年1回連絡するかどうか分からないような相手に、どのクラウドストレージで共有するか確認から開始していたでしょうか。
担当者レベルで判断して実施して欲しいと期待するには調整が重すぎます。
全社単位で方針を切られていない状況では「そこそこ社会認知があるPPAP」で送信していたのも、やむを得ないことでしょう。

同調圧力

ある程度コンセンサスの取れた方法というのは都合が良かったのかもしれません。
多くの企業が利用している方法を「わたしたちは利用しません」としたとして、思考停止で商習慣にしたがっている企業から「セキュリティ大丈夫なの？」と下手に思われては困ります。
そういう意味では、この行為にPPAPという合言葉で社会的認知が広がったのは、非常に喜ばしいことだったと思います。

ネーミング大事。

4. 組織が取るべき施策とは

イシューの設定

上記を踏まえ「脱PPAPのゴールとは」という問いに、私たちは以下定義としました。

• ×：パスワード付きzipファイルの送受信をやめ、代替手段を作ること
• 〇：自組織の一人一人が機密性を判断でき、それに応じた通信手段を選択できるようになること

今回代替手段だけを提供しても、問題の本質は何も変わらないと判断したためです。

もちろん脱PPAP「も」しますので、以下2点を段階的に進めることは必要条件に入れていきます。

1. 取引先にパスワード付きzipファイルを送信しない「社会的責任」
2. 取引先からパスワード付きzipファイルを受信しない「自組織の保護」

具体的な動き

ここまで方針が決まれば、タスクの洗い出し自体はスムーズでした。

• 他社へ向けた姿勢の決め
  • まずは自社からパスワード付きzipファイル送信をしない
  •  他社から送信された場合は変更要請に留める、まずは受取拒否しない（ビジネス影響を考慮）
    
    
• 社員が情報の送受信時に、機密性を意識できるようになること
  
  • 機密性を5段階としどのように分類すべきか、ガイドライン作成を実施
    
    
• 社員が情報の送受信時に、機密性に応じた手段を選択できること
  
  • 機密性ごとに情報共有ツールへ求める要件整理（この機密性では多要素認証必須、等）
  • その要件に応じた社内インフラがあるか確認
    • 不足している箇所はツール選定/導入
      
      
  •  機密性ごとに社内標準ツールをマッピングし、情報共有手段選定のガイドライン作成
  • 社内数名（※）から現在PPAPしている業務ヒアリング
    •  極端な業務負担増など、現場と乖離したガイドラインにならないように

• 脱PPAPできることの担保
  • ガイドライン作成後に送信方法を変更できるかの最終確認も依頼

• 全社展開
  •  まずは数名にガイドライン展開と新ツールの操作依頼
  •   全社に方針展開＆説明会
  •     ガイドラインの施行開始

※営業、総務、人事、経理といった業務担当から協力依頼

5. まとめ

このような方針で当社では2022/6/13より脱PPAPを開始しています。
資料の一部、ツール選定時の話、社内展開で苦労したことなど、具体的な点は次回の記事で紹介予定です！

参考にさせて頂いたもの

JIPDEC「くたばれPPAP！～メールにファイルを添付する習慣を変えるところから始める働き方改革～」
https://www.jaipa.or.jp/event/isp_mtg/asahikawa_190912-13/190913-3.pdf 

座談会「社会からPPAP をなくすには？」
https://note.com/ipsj/n/ncb0aeee793f0

情シスSlack（コーポレートエンジニアコミュニティ）※いつもお世話になっております
https://corp-engr.jp/