全国の自治体トップ・職員・議員に贈る自治体の"経営力"を上げる情報サイト

全国の自治体トップ・職員・議員に贈る
自治体の"経営力"を上げる情報サイト

「脱PPAP」の新たな手段となる、端末認証つきパスワードという発想

f:id:jichitaitsushin:20220207180045j:plain

民間企業の取り組み

セキュアなWebダウンロード形式

「脱PPAP」の新たな手段となる、端末認証つきパスワードという発想

株式会社プロット
常務取締役 坂田 英彦
開発部 部長 尾形 賢
[提供] 株式会社プロット

※下記は自治体通信 Vol.36(2022年3月号)から抜粋し、記事は取材時のものです。

パスワードつきZIPファイルをメール添付で送付する、いわゆる「PPAP*1」の手法が問題となっている。令和2年11月、当時デジタル改革担当大臣だった平井卓也氏が「『PPAP』を内閣府、内閣官房で廃止する」と発表して以降、官民において「脱PPAP」の動きが活発化している。自治体向けに情報セキュリティ支援を行っているプロットの担当者2人に、解決法も含めて詳細を聞いた。

株式会社プロット
常務取締役
坂田 英彦 さかた ひでひこ
株式会社プロット
開発部 部長
尾形 賢 おがた まさる

マルウェアの隠れ蓑となり、運用面にも問題が

―「PPAP」はどういった点が問題視されているのでしょう。

坂田 まずは近年、「Emotet」というマルウェアがパスワードつきZIPを隠れ蓑にして、感染を拡大させている点です。そしてもう一つが、パスワードつきZIPファイルを送ったのと同じ経路でパスワードを送っている運用面の問題。パスワードつきZIPファイルの使用目的は、メールの盗聴や誤送信による情報漏えいを防ぐことです。ただ、この運用では、ファイルと同じくパスワードも盗聴される可能性が高まるほか、誤送信の場合もファイルとパスワード両方を受け取れるので、意味がない。パスワードだけ、電話やFAXなど別の手法で伝えればセキュリティは担保できるものの、手間がかかってしまいます。そのため、「脱PPAP」の動きが活発化しているのです。

―「脱PPAP」に向けて、自治体でどのような動きがみられますか。

坂田 新たな対策として、サーバにファイルを置いて解凍用パスワードをメールで送るWebダウンロード形式を採択するケースが一般的です。ただ、これでマルウェアの隠れ蓑になることは防げますが、盗聴や誤送信の問題は残ったまま。ほかにも、メールを暗号化するといった各種対策はありますが、送る側、受け取る側に手間が発生し、メールを送るだけですむ利便性は損なわれてしまうのです。
尾形 そこで当社は、Webダウンロード形式でも、情報が漏えいしない仕組みを開発し、提供しています。それが「端末認証つきパスワードプロトコル」、通称「DAPP*2」で、特許も保有しています。

f:id:jichitaitsushin:20220203121203j:plain

カギが発行された端末でのみ、パスワード入力が可能

―詳細を教えてください。

尾形 まず送信者が、当社のファイル転送&共有システム『Smooth File』にファイルをアップロードすると、受信者あてにダウンロードURL記載メールが届きます。そして、受信者がURLのアクセス先で「パスワード発行ボタン」をクリックすることで、パスワードがメールで受信者に送られます。それと同時に、端末専用のカギが自動発行されるのです。これで、クリックした受信者の端末でしかパスワードの入力ができなくなり、それ以外の端末からURLにアクセスできなくなるという仕組みです。

―誤送信はどのように防ぐのでしょうか。

尾形 当社の誤送信防止システムとの連携で、送信者数の制限をかけたり、送信を保留して間違っていれば取り消したりといった対策が可能です。また、お客さまの要望に応えるカタチで、さらなる誤送信防止機能を拡張中です。

自治体に対する今後の支援方針を教えてください。

坂田 「DAPP」で、利便性と安全性を担保させた自治体業務の支援を行っていきます。また当社では、ニーズや用途にあわせて「DAPP」を含めたファイル送受信の各種提案を行っているので、気軽に問い合わせてほしいですね。

坂田 英彦 (さかた ひでひこ) プロフィール
昭和52年生まれ、神奈川県出身。平成14年、株式会社プロットに入社。受託システム開発事業に携わり、長年のプロジェクトマネジメントやコンサルティング業務で培った顧客志向の課題解決ノウハウを活かし、自社セキュリティ製品の企画・営業・広報などの対外的活動を統括。情報処理安全確保支援士。
尾形 賢 (おがた まさる) プロフィール
昭和44年、東京都生まれ。平成12年、株式会社プロットに入社。受託システム開発案件の開発業務および自社製品開発の開発業務を担当。平成26年より現職。開発部門の統括管理業務を担当している。
株式会社プロット
設立 昭和55年7月 (創業 / 昭和43年1月)
資本金 3,000万円
売上高 10億円 (令和元年9月期)
従業員数 93人 (令和3年5月26日現在)
事業内容 企画・制作・デザイン、セキュリティシステム開発、クラウドサービス運用、ネットワークおよびサーバ構築・運用
URL https://www.plott.co.jp/
お問い合わせ電話番号 03-5730-1400 (平日 9:00~18:00)
お問い合わせメールアドレス sales@plott.co.jp
この記事で支援企業が提供している
ソリューションの資料をダウンロードする
\ たった1分で完了! /
 資料ダウンロードフォーム

*1:※PPAP : 「Passwordつきzip暗号化ファイルを送ります」「Passwordを送ります」「Aん号化(暗号化)」「Protocol」の頭文字を表している

*2:※DAPP : Device-Authenticated Password Protocolの略