脱PPAPの世界へ変わる

脱PPAPの世界へ変わる



HENNGEは2021年10月、主力製品のSaaS認証基盤 「HENNGE One」 を大幅にアップデートしました。
新たに追加された機能で何ができるようになったのか、 West Japan Sales Sectionの斉藤秀樹さんにお話を伺いました。
「HENNGE One」 が大幅にアップデートされましたね!どんな新機能が追加されたのですか?
そうなんです! ①脱PPAP対応、 ②標的型攻撃対策、 ③テレワークセキュリティ対策の強化――の3機能です。
どれも最近話題のトピックですね。 どんな背景でアップデートに至ったのですか?
「コロナ禍で顕在化したニーズに応えよう」 というのが一番の背景です。 コロナで多くの企業がテレワークを導入してSaaSを使い始めた一方、 クラウド活用の課題に直面するケースも多く、 それらの解決策になればと考えました。
早速、 一つ目の新機能 「脱PPAP対応」 の 「HENNGE Secure Download」 について教えてください。
まず、 PPAP問題についてご説明しますね。 PPAPとは、 パスワード付きのZIPファイルをメールに添付して送信後、 別メールでパスワードを送信するセキュリティ対策手法を指します。




幅広い企業や行政などで使われてきた、 ファイル送信の手法ですよね。 何が問題になっているんですか?
セキュリティ対策としての 「効果の薄さ」 です。
添付ファイルとパスワードが同じ通信経路 (メール) で送られるため、 ハッカーは2通とも中身を盗み見できる可能性が高くなります。 また、 ZIP暗号化されたファイルは中身のウイルススキャンができないので、 マルウェア (悪意のあるプログラム) の侵入を許してしまうんです。
PPAPは、 送受信の際に余計な手間も掛かりますよね。 2通目のパスワードを送り忘れたり、 届かなかったり、 解凍する際はその都度パスワードを入力したり 。 。
それも問題の一つですね。 2020年11月には、 平井卓也デジタル改革担当大臣 (当時) が 「PPAPを官公庁でやめる」 と発言し、 「脱PPAP」 の動きは官民問わず広がっているんです。
「HENNGE One」 の新機能では、 どうやって 「脱PPAP」 するんですか?
簡単に言うと、 「メールの宛先に含まれる人だけがファイルをダウンロードできる仕組み」 を開発しました。 PPAPではできなかった 「ファイルとパスワードが違う経路を通る」 と 「ファイルのウイルススキャンができる」 も実現できます。
送受信の流れを、 具体的に教えてください。
ファイルをメールに添付して送ると、 添付ファイルは自動的にクラウドストレージ上で一時保管され、 相手には本文とダウンロードURLが届きます。 相手がURLをクリックすると認証画面が表示され、 メールアドレスが自身のものだと確認できればOKボタンを押します。 そうすると認証コードが届き、 ファイルをダウンロードできるという仕組みです。






これならメール本文、 添付ファイル、 認証コードが全て違う経路を通るので、 安心ですね!
ネットでの買い物など色々なサービスで2段階認証には慣れているので、 使いやすそうです。
認証コードはメールの宛先に含まれるアドレスにしか届かないので、 第三者がメールを盗み見てURLをクリックしても、 肝心のコードは受け取れません。
受信者は初回は認証が必要ですが、 2回目以降は認証不要なので、 余計な手間も掛かりません。
ところで、 脱PPAPの方法として、 BoxやDropboxといった外部クラウドストレージを使う方法もありますよね?
はい。 ただ外部ストレージの場合、 送信者側が過去に送ったファイルを確認するには、 都度URLをクリックする手間が掛かります。 また、 監査の際に監査者が抽出したメール内のURLをクリックしても、 期限切れで監査できないという可能性もあります。
「HENNGE Secure Download」 なら、 送信済みトレイやアーカイブ保管されるメールデータには添付ファイルがそのまま残るので、 ファイル検索が簡単にできます。
PPAPのメリットは残した形なんですね!
次に、 二つ目の新機能 「標的型攻撃対策」 の 「HENNGE Cloud Protection」 について教えてください。
「標的型攻撃」 とは、 機密情報を盗み取ることなどを目的に、 特定の企業や組織を狙い、 マルウェア付きのメールを送りつけることです。
企業が不正アクセスに遭い、 顧客情報を盗まれたというニュースが時々話題になっていますね。
東京商工リサーチの調査によると、 2020年に上場企業とその子会社で発生した情報漏洩 ・ 紛失事故103件のうち、 理由として最も多かったのは 「ウイルス感染 ・ 不正アクセス」 で約半数を占めたんです。
そんなに。 脱PPAPして安全にファイル共有できたとしても、 不正アクセスされてデータを盗まれては意味がないですよね。
「HENNGE Cloud Protection」 では、 どうやって標的型攻撃を防ぐんですか?
標的型攻撃はメールを利用するケースがほとんどなので、 Microsoft 365のOutlookなどと連携し、 受信/送信時のメールに不審なファイルやURLがないかをチェックすることができます。
具体的にはどんなチェックができるんですか?
添付ファイルをクリックすると不審な振る舞いをしないか、 メール受信前にサンドボックスで振る舞い検知できます。 送信者が過去にマルウェアを送っていないかなども調べ、 安全性が確認できたメールだけを受信します。 Microsoft 365に対してAPI連携する構成のため、 カレンダーやタスクなどに不審なURLがないかや、 Outlookの転送設定がおかしくないかなどのチェックもできます。
他にも、 Microsoft 365のIDやパスワードの漏洩もチェックもできるんですよ。







これだけチェックが手厚いと安心ですね。 ところで、 こういうセキュリティ機能は、 Microsoft365でも提供されていますよね。
はい。 ただ、 サンドボックスや振る舞い検知まで行うには追加契約となるため、 企業は莫大な投資が必要です。 「HENNGE Cloud Protection」 は、 「必要な機能だけを安価に購入したい」 というニーズに応えているんです。
痒いところに手が届くサービスですね!
3つ目の新機能は、 今話題の 「テレワークセキュリティ対策の強化」 ですね。
はい。 最近はテレワーク導入に伴い、 PCやスマホなどに電子証明書を発行し、 証明書がある端末からのみクラウドサービスへのアクセスを許可する 「アクセス制限」 を導入する企業が増えました。
でも、 全ての業務アプリが電子証明書に対応はしていないので、 制御は難しいですよね?
そうなんです。 そこで 「HENNGE Lock Plus」 が代わりに多要素認証機能を提供します。
「HENNGE Lock Plus」 にアプリの認証をまとめれば、 アプリの種類を問わず、 多要素認証やデバイス証明書による 「脱パスワード」 が実現できるんです。






安全なテレワークを加速させる機能ですね!
3つの新機能についてよく理解できました。 「HENNGE One」 は企業様にとってどんなサービスになると思われますか?
正直わからないです (笑) 理由は、 「HENNGE One」 は 「変化」 し続けるからです。
働き方や企業様のニーズはこれからも益々 「変化」 をしていくと確信しています。 「HENNGE One」 はそうした 「変化」 をきっちりと捉え、 各企業様が 「変化」 していく際に、 私たちが提供するテクノロジーで下支えをしっかりとできるサービスとして今後もあり続けるようにします!
まさにHENNGEのビジョン 「テクノロジーの解放」 ですね!
これからも 「HENNGE One」 を多くの企業様に使っていただき、 その便利さを世の中に広げていきたいですね。 本日はありがとうございました!

※HENNGEでは一緒に、 変化する・チャレンジする、 メンバーを募集しています。 募集中の職種に関してはこちらをご参照ください。