こんにちわ、プロ雑用です。
MOVEDの働き方デザイン事業部の事業責任者をしつつ、パブリックリレーションチームの責任者や、セキュリティ周りの面倒なんかを見てたりするなんでも屋さんです。先日はカメラマンやってました笑

さて、今日は弊社MOVEDのセキュリティ対策として、PPAPを禁止にしたお話です。

PPAPについての現状

みなさんの所属されている組織では、メール添付ファイルをどう処理されていますか？
PPAPとは、この添付ファイルに暗号化処理をして送信することです。
※PPAPについてはこちらをご参照ください。

昨今何かと話題…というより、セキュリティ界隈や情シス界隈では、広がり始めた当初からその効果が疑われていて、2022年現在では、もはや世界でも日本国内でしか使われていません。
日本では、過去の記事を検索すると、2020年10月くらいまでは、否定的な記事よりもパスワード付きzipファイルの作り方などのTips記事が多く表示されます。
少し潮目が変わってきたのは、2020年11月24日に当時のデジタル改革担当相が「内閣府および内閣官房で廃止する」という方針を発表したころです。その頃から徐々にPPAPは危険という記事が増えてきましたが、それでもまだPPAPを使う企業は多い状況でした。
しかし、今年2022年2月に国際的有事が勃発したタイミングで、マルウェアEmotetの驚異が再び増加したことで、日本でも大手企業がPPAP禁止に踏み切りました。

参考記事：マルウェアEmotetの感染再拡大に関する注意喚起（JPCERT/CCより）

このことで完全に潮流が変わり「PPAPはセキュリティ対策どころか、むしろ害があり、危険」という認識が日本国内でも浸透してきました。個人的にはようやくここまできたか…というお気持ちです笑

では、具体的にMOVEDではどのようにPPAPを禁止したのか？
みんなに「PPAPやめよー！」と声がけしたとか？
そんなわけないですねｗ
はい、真面目に書きます。

PPAP対策はプロにおまかせ！

えーと、具体的にはグーグル先生に頑張ってもらいました。
…え？はい、これが事実です。
「クラウドは信用できません！」ですって？
自社のセキュリティ対策を他社に依存していいのか、ですって？

では、そんなあなたのために少し解説しましょう。
Google（正確にはアルファベット社）は、SOC 2という監査基準報告書を提出し認証を受けています。このSCO 2とは、ものすごく雑で乱暴に言えば、PマークやISMSだとかの超々上位監査基準です。
Pマークが小学生の九九だとすれば、SOC 2は一般相対性理論、
Pマークが幼稚園児の体操教室だとすれば、SOC 2はオリンピック、
Pマークがヒノキの棒だとすれば、SOC 2は戦車、
などの例えでレベルの違いをご理解いただければと思います。

GoogleはこのSOC 2の認証を、数ヶ月ごとに更新しているそうなので、すくなくとも弊社とは比較になりません！！ここはプラットフォーマーとしてのGoogleを信用すべきでしょう。自前でセキュリティ環境を用意するよりも、はるかに信用できます。餅は餅屋ですね。

さて、Google Workspaceにおける具体的なPPAP禁止の設定方法は、こちらのコープさっぽろのやまさきさんのnoteを参考にさせいてただきました。いつもお世話になってます！

とっても簡単。わずか5分たらずで設定は完了し、無事にPPAPを禁止することができました。

さて、PPAPは禁止にしましたが、ではそれでメールのセキュリティは盤石なのか…？
といいますと、残念ながらそうはなりません。

PPAPを禁止にしても、セキュリティ対策は続く

たとえば、昨今流行っている大手サービスを偽装したフィッシング詐欺のURL、またすでに感染してしまった企業や個人から届く怪しげなメールなどはまだまだあります。その多くがGoogleによってフィルタリングされていますが、で、あるからこそ、たまにそれをすり抜けてくるものには注意が必要です。
人間の注意力を試すかのように巧妙さが増している昨今、セキュリティの仕組みとともに社内教育にも力を注いでいく必要があると感じています。

これからもMOVEDは、お客様からの大切な情報を守るためにセキュリティ対策を行ってまいります。