情報の取り扱いの姿勢が周りに伝わります。会社の信用度が確実に増したと思います。
クライアント企業の会計・財務情報を扱うアイピービーにとって、添付メールの暗号化は必須。しかし、日々大量に発生するメールを手動で暗号化するのには限界があった。この課題を、safeAttachの導入によって一気に解決することができたという同社を訪問、safeAttach導入の経緯とその効果について詳しく聞いた
アイピービーの業態について
アイピービーの業態について教えてください。
アイピービーは、公認会計士、税理士、社会保険労務士、財務系コンサルタント、情報セキュリティコンサルタントなど14名のスペシャリストが集まる会社です。業務は「会計」、「財務コンサルティング」、「労務管理コンサルティング」、「情報セキュリティコンサルティング」の4つの分野に分かれています。
4事業合わせてこれまで400社ほどお仕事をさせていただきました。事業を始めたばかりの「1人会社」から一部上場企業まで、クライアント企業が幅広いのが特徴です。
safeAttachをどのように活用しているか
アイピービーは、safeAttachをどのように活用していますか。
safeAttachは2007年5月に導入しました。
アイピービーが会社全体で一日に送受信するメールは約2000通、そのうち100通から140通ほどが何らかのファイルを添付したメールです。中には取り扱いに細心の注意が必要なファイルも多く含まれているため、メールに添付されたファイルを自動的に暗号化してくれるsafeAttachは待ち望んでいたツールでした。
現在は「活用している」という意識も持つこともなく、スタッフ全員が空気のごとく当たり前に使っています。
アイピービーはどのような情報を扱っているか
アイピービーでは、「取り扱いに細心の注意が必要なファイル」を扱っているとのことでしたが、例えばどのような内容のファイルなのでしょうか。
まず、会計事務所としての業務においては、クライアントの財務情報を扱います。これは、Excelで表計算した会計データがほとんどです。作成したデータをクライアントに添付メールで送って確認していただき、OKとなれば原本を郵送、という流れで行っています。同様に給与情報を含む人事情報も扱うため、取り扱いにはさらに慎重さが要求されます。
また、財務コンサルティングでは、M&Aにかかわる調査業務なども入りますので、扱う情報はさらに機密性が高くなります。買収対象企業の株価の算定、財務情報、社長の個人情報など、公表前の情報や公表してはいけない情報があります。中にはアイピービーが関わっていることすら表には出さない場合もあります。
そのように重要な企業情報を扱うアイピービーの、「情報取り扱い」に対する考え方をお聞かせください。
私たちのように企業の会計・財務を扱う職業は、法律で守秘義務が定められています。しかし、この「守秘義務」という言葉は、実際には曖昧な使われ方をしていることも多く、「うちには守秘義務があります」と言いながら、何も施策を行っていない場合も多く見受けられます。
アイピービーは設立当初から、「守秘義務」に基づき、「情報をいかに大事に取り扱うか」がすなわちサービスの「品質」であると考え、それを具体的な業務の仕組みにしています。例えば、以下のようなことです。
- キャビネットの鍵を3重に
保管する書類はすべてキャビネットに保管します。このキャビネットの鍵を、さらに鍵がついたボックスに保管し、その鍵をまた別の場所に保管するというように3重にしています。 - 電話、FAX記録の保持
電話の発着信記録が残る仕組みを採用し、ここに毎日の電話の内容を全て記録。「いつ誰との通話でこのような話をした」ということが残るようになっています。また、FAX用紙の下部に受領証を印刷。受信者にはサインの上返信FAX していただくようにお願いしています。 - 初回訪問時の秘密保持宣誓書
見込みのお客様に初めてお目にかかる際には、必ず「秘密保持宣誓書」をお渡ししています。相談内容によっては、いきなり守秘義務が生じるお話が出ることもあるからです。まだクライアント契約を結んでいない関係の場合、この宣誓書は両者にとって必要なものであると考えています。 - 送信メール添付ファイルの自動暗号化
統計によると、情報漏えいの原因の約20%がメールの誤送信だということです。添付ファイルを暗号化する機能のあるメールサーバー(safeAttach)を立てることで、会社の仕組みとして添付ファイル暗号化を行っています。
これまで添付メールの暗号化はどうしていたか
アイピービーが添付メールファイルの暗号化を始めた経緯についてお聞かせください。
添付メールを送ることの多いアイピービーでは、扱う情報の性質から、4年ほど前から暗号化の必要性を感じていました。効率的に暗号化するツールはないかと調べたところ、S/MIME(エスマイム)という方法があるということがわかりました。しかしこれを使うには、送信側だけでなく受信者にもS/MIMEに対応するメールソフトが必要とのことで断念しました。というのは、アイピービーのクライアントの中には、ITがあまり得意でない経営者の方も多く、受信側に何か特別なことを要求するものを使うわけにはいかないからです。
そこで、一般的な方法であるWinZIPを使うようになりました。一日140通ほどの添付メールのファイルをすべて暗号化するのは大きな手間となりますので、各スタッフがそれぞれ優先順位をつけ、重要度の高いものだけを暗号化することにしました。
しかし、しばらくこのやり方で運用していくうちに以下のような問題が生じるようになりました。
- 「優先順位の決定基準に個人差が出てしまう」
「これが重要ファイルである」という優先順位は、個人の判断によって微妙に違ってくるため、会社全体で見た場合にはどうしてもヌケモレが生じます。暗号化するしないの判断を個人の判断に頼ることは、会社の信頼性にもかかわります。 - 「余計な悩みが生じる」
個人で判断を行う上では、どうしても「これは暗号化の必要があるファイルか否か」という迷いが生じます。業務と直接関係ない「余計な悩み」が小さなストレスになっていました。 - 「パスワードを考えるのが大変」
取引先から送られてくる暗号化された添付ファイルを見ると、同じメールにパスワードが書かれていたり、何ヶ月も同じパスワードだったり、電話番号を使うなど規則性のわかるものだったりと、「暗号化」の意味をなしていないと思うことがよくありました。しかし、いざ自分たちが送信側に立ってみると、送信のたびにパスワードを考えるのは結構大変な作業だということがわかりました。「パスワード生成ソフト」を使うことも考えましたが、ツールが増えればそれだけまた面倒な作業を増やしてしまうことになります。 - 「統一性がないと思われてしまう」
たとえば同じプロジェクトで複数のスタッフが関わっている場合、クライアントから「○○さんはパスワードが4桁だったけど、××さんは6桁なんですね」と言われたことがありました。会社として統一性がないと見えてしまうのは問題です。
各個人の判断のもと、手動で暗号化を行うのにはもう限界がきていました。知人を介してsafeAttachの存在を知ったのはそんな時です。
safeAttachの最初の印象を教えてください。
safeAttachを持ち上げるつもりはありませんが、「これは私たちがずっと待ち望んでいたものだな」、というのが第一印象です。
良いと思った点は、まず、受信側に何も負担をかけないというところ。そして送信する際も、面倒なWinZIPの一連の作業を行うことなく自動的に暗号化するところ。PC一台一台にインストールが必要なソフトウェアではなく、メールサーバーで「元から行う」という方式であるところ。これなら手間がかからないだけでなくヌケモレも防いでくれると思いました。
導入コストに関しても、コピー機などのリース料程度と、他の暗号化ソフトと比べてもリーズナブルだったため、safeAttachの導入を決めるのに迷いは全くありませんでした。
safeAttachの導入はどのように行ったか
導入はどのように行われましたか。
設定が簡単なので導入自体は全くスムーズでした。ただ、運用に関しては、添付メールの後パスワードメールを送るときに、アドレスが本当に合っているかどうか不安で何度も確かめるなど、慣れるまでに少し時間がかかりました。
お客様のほうからクレームや問い合わせなどはありましたか。
まだ手順に慣れないうちは、パスワードメールを送るのをうっかり送り忘れて、クライアントから「ファイルが開かないのですが」と言われたことがありました。また、相手側にZIPソフトがインストールされておらず、やはり「ファイルが開けません」と言われることがたまにあります。その場合は、以下の文面でメールをお送りし、ソフトをインストールしていただくようにお願いしています。
※アイピービー加藤様が「ファイルが開けない」というクライアントにお送りしているメール文面
○○株式会社 様
お世話になっております、IPB加藤です。
6月より情報セキュリティを強化した結果、新たに導入したシステムsafeAttachにより全ての添付ファイルにパスがかかることになりました。
お手数をおかけし申し訳ございませんが、safeAttach導入により、情報漏えいの危険を回避でき、結果的に納得してご活用いただけると確信しております。
今回の件は、PCにZIPソフトがインストールされていない事によると存じます。
そこで、お手数をおかけしますが、△△というサイトにアクセスし、ZIPソフト(フリー)をダウンロードしていただけますでしょうか。
下記をクリックしてください。
http://www.XXXXXXXX.html
よろしくお願いいたします。
加藤
2~3ヶ月ほどで送信側も受信側も慣れてきて、safeAttachの便利さを実感するようになりました。ドアの鍵で言えば、鍵穴式のアナログのものからカード式のオートロックに変わったと同じぐらいの変化を感じています。
safeAttachを使ってみての感想
実際にsafeAttachを使ってみて、具体的にどんなところが良いか教えてください。
良いと思うところは以下3点です。
- 「パスワードの設定に自由度と安全性があること」
パスワードは基本的にsafeAttachがメールを送る度に自動で生成してくれますが、クライアントによっては毎回同じパスワードで、というリクエストもあり、そういった細かな設定を管理画面から簡単にできることが便利です。 - 「ZIP形式であること」
一般的に使われているZIP形式なので、特別な説明がいりません。ZIPがインストールされていないクライアントには、先ほどのメール文面の通りにお願いしますが、ZIPはフリーなので、お客様に余計なご負担をかけずにすみます。 - 「余計なことを考えなくてもすむこと」
以前のように、これは暗号化するべきか、パスワード何にしよう、など、業務に関係ないことを考えなくてもすむようになりました。
safeAttachの導入効果
safeAttachを導入したことによる効果についてお聞かせください。
safeAttachを導入しての効果は以下です。
- 「セキュリティレベルが上がったこと」
操作が簡単であるにもかかわらず、手軽にメール送信時のセキュリティレベルが上がっていることは何より大きな効果です。「最高レベルのセキュリティ」とまでは言えませんが、現状はこれで十分に満足しています。 - 「会社の信用度が上がったこと」
自動化ツールを入れてみると、他社がどんな仕組みで自動化しているかがわかってきます。意外に大企業でも手動で行っているところが多かったりします。そんな中、すべてのファイルに鍵がかかった状態で送られることで、「アイピービーはしっかりしていますよね」と言われることが多くなりました。「情報の取り扱いを厳重に行っている会社」と認識され、会社の信用度が確実に上がったと感じます。 - 「暗号化が常識としてまわりにも広がってきたこと」
最近、まわりでもファイルにパスワードをかける取引先が多くなりました。また、ずっと同じパスワードを使っている会社の担当者の方からは、「うちはいつも同じパスワードでごめんなさい」などの言葉をかけていただくようになりました。メールの送受信は相手あってのことですから、「添付ファイルは暗号化するものである」という意識が広まってきたことは、非常に良いことだと思います。
safeAttachはどんな会社に向いているか
safeAttachはどんな会社に向いているツールだと思われますか。
まず、常日頃添付ファイルの暗号化を手動で行っていて、手間が大変と思っている会社にはぴったりだと思います。
そして、守秘義務を負っている業種、たとえば税理士、弁護士、司法書士、社労士、行政書士などにも不可欠だと思います。「守秘義務があります」と口で言うよりも、safeAttachを使えば、それだけでお客様に守秘の姿勢をわかっていただけるからです。
今後の期待
最後に、safeAttachの開発元であるオレンジソフトへ、今後の期待があればお聞かせください。
良いものを開発してくれてありがとうございます、とまずはお礼を申し上げたいと思います。今後もsafeAttachのような「簡単なままにセキュリティレベルの上がるツール」は、ますます求められると思います。オレンジソフトさんには、今後も変わらず時代が求めるシステムやツールの開発を続けていっていただきたいと思います。大いに期待しています。
アイピービー様、本日はお忙しい中、取材ご協力ありがとうございました。
※ アイピービーのWebサイト
※ 取材日時 2008年9月