「人や組織にパワーを吹き込み、目指す方向に向け人と組織のベクトルを合わせる」というミッションのもと、人事のトータルソリューションを提供している株式会社ベクトル。同社は、コンサルティングや人事アウトソーシング事業を中心に、研修や人材紹介など、人事に関するサービスをワンストップで提供しています。人材採用や給与計算代行など個人情報に関わるデータを扱う機会の多い同社では、Pマーク(プライバシーマーク)を取得し添付ファイルのZip暗号化送信(PPAP)の活用などに取り組んできました。しかし、PPAP問題でメールセキュリティを抜本的に改善する必要が出てきたことから、その対策としてTLS確認機能に注目しActive! gate SSを採用しました。
Zip暗号化に代わるメールセキュリティ対策を検討
添付ファイルのZip暗号化送信(PPAP)対策にActive!gate SSを採用した背景について、取締役常務執行役員で管理部長を務める上杉茂氏は、次のように切り出します。
「2003年に創業した当社は、今年で20年目を迎えました。人事のコンサルティング事業でスタートして、企業の人事部門とのお取引が多くなり、人材紹介や研修などの依頼も増え、現在のように人事に関するソリューションをワンストップで提供する企業へと成長してきました。その過程
で、Pマークを取得するなど、人事で取り扱う個人情報の保護にも努めてきました。情報セキュリティ対策に関しても、Outlookにアドオンで利用できるツールを使って、添付ファイルのZip暗号化や誤送信対策をしてきました。しかし、2021年にPPAP問題が起きると、一部の取引先ではZip暗号化された添付ファイルを受信しなくなり、デジタル庁からZip暗号化に対するセキュリティ上の危険性が指摘されるようになりました。そこで、2023年の1月からZip暗号化ツールに代わるソリューションを探し始めました」。
同社のメール環境は、共用メールホスティングサービスを採用していました。
上杉氏は「Google WorkspaceやMicrosoft 365と比較して、メール
のコストパフォーマンスに優れている点を評価して、長年にわたり使い続けてきました。しかし、このメール環境が、PPAP対策の選定で思わぬ制限を受けることになりました」と検討時の苦労について振リ返ります。
株式会社ベクトル
取締役 常務執行役員
管理部長
上杉 茂氏
各サービスを比較検討しTLS確認機能が決め手でActive! gate SSを採用
自社で利用できるPPAP対策のリサーチを開始した上杉氏は、インターネットで検索して探したサービスや、取引先が利用しているWebダウンロード方式のファイル転送などを比較検討して、自社に適したソリューションを検討しました。
その過程で「選定には苦労しました。まず対応しているサービスが少なかったのです。
多くはGoogle Workspace やMicrosoft 365対応が中心で、メールや電話で問い合わせても、『サポートしていない』という回答がほとんどでした。限られた選択肢の中には、専用のハードウェアを介して対応するものや、添付ファイルを手動で事前にサーバーにアップロードしてパスワードを別途に送る、という製品もありました。その中で、Active! gate SSはWebダウンロードだけではなく、TLS確認機能*という別の解決策を機能として持っていました。そのTLS確認機能の利便性を高く評価して、導入を決めました」と上杉氏は選定の理由を説明します。
(*)受信メールサーバーがTLS対応しているかを確認し、暗号化された通信経路に対しては添付ファイルにパスワードをかけずに送ることもできる機能
株式会社ベクトル
ヒューマン・ディベロップメント部
秡川 雅之氏
PPAP対策と誤送信対策の強化をスムーズに実現
10名ほどで検証を行った後、2023年6月からActive! gate SSの運用がスタートしました。導入の効果について、上杉氏は「PPAP対策については、クオリティアからの推奨もあり、TLS通信が確認された送信先には『添付ファイルを暗号化しないで送信している』というメッセージをメールに表示しています。
そのおかげなのか、取引先からの問い合わせはまったくありません。社内からは、従来のZip暗号化と操作が変わったことで、当初戸惑いもありましたが、マニュアルの改訂や使い勝手の良い設定への変更等により、操作に関する問い合わせはほとんどなくなりました。
誤送信対策としては、Active! gate SSの一時保留機能を利用しました。当社では、社外宛の全てのメールを保留するように設定しています。今まではポップアップ型の一時保留機能を利用していましたが、配送保留の通知メールで送信メールの内容確認や添付ファイルのプレビュー確認を必須とし、誤送信対策を強化しました。慣れないうちは確認を忘れて、メールが削除される社員も何人かいました。そこで30分ごとに通知メールを出すように設定を追加して、リマインドを強化しました。現在では全員が慣れてきたので、メールが削除されることもなくなりました」と語ります。
メール訓練の検討や投資対効果を考えたセキュリティ対策を推進
今後のセキュリティ対策の推進について、上杉氏は「人事に関する情報を取り扱う会社なので、セキュリティ対策はこれからも強化していかなければなりません。しかし、新しいセキュリティ対策の導入には、それなりのコストもかかるので、投資対効果のバランスを見ながら検討していきます。また、今後の運用を任せられる人材も増えてきたので、負担を分散しながら対策の強化に取り組みたいと思います」と話します。Active! gate SS の運用管理を含めて、社内のIT管理やセキュリティ対策を担うことになった祓川雅之氏は、セキュリティ対策への取り組みを次のように語ります。
「Active! gate SSは前職でも利用していたので、信頼しています。セキュリティ対策は、安全性と利便性のバランスが大切だと思います。セキュリティに偏ってしまうと、ユーザーの効率が落ちてしまうので、できるだけシンプルな運用で、安全性を追求していきたいと考えています」。
今後に向けた取り組みについて上杉氏は「社員のセキュリティに対する意識を高めるために、標的型攻撃メールの訓練などが効果的ではないかと検討しています。技術的な守りを固めるだけではなく、巧妙化する攻撃に備えていくためにも、セキュリティ教育は重要だと受け止めています」と展望を述べます。