Box を活用してメールの暗号化Zipファイル PPAP をいかに廃止するか?
昨今のロシアとウクライナの戦争も、このようなランサムウェアをはじめとした情報戦が水面下で激しく行われており、それが直接各国の企業への被害にも繋がっています。大企業ほど運用を変えるのが難しいという言葉を聞きますが、大企業ほどいっきに運用を変更するタイミングであり、それはすなわち自社だけならず取引先の安全性を護ることにつながります。取引先には政府機関も含まれるのですから自国を護ることに繋がるという考え方も大げさではないのです。
もちろん、お客様や取引先様の協力が欠かせないのですが、お客様や取引先様にも大きなメリットがあります。では当社がどのように暗号化Zipファイルの廃止に取り組んでいるのか少し紹介していきたいと思います。
メールでの暗号化Zipファイル PPAP を止めるための軸となる考え方
こうしたマルチツール環境の中で業務を行っているのは当社だけではないと思いますが、各スタッフの仕事ぶりを一定期間分析した結果、情報のライフサイクル管理が一定化されていないことに気づきました。
メールの暗号化Zipファイルという運用は、そもそも論で言えば枝葉に過ぎません。某会社は暗号化ZIPを送らなければ良いので、暗号付きエクセルや、暗号付きPDFをメールで添付して送っても良いというルールだったり、Zipファイルの拡張子を一文字変更すれば良いというルールを見ましたが、何故暗号化ZIPが危険なのか全く分かってない本末転倒な運用だと思えます。アクセスロックされたファイルを送ることが危険なのだということが理解できてない証拠です。
私たちが考えなければならないのは、大局的に俯瞰すれば、
ファイルがどこで生まれ、そのファイルがどう加工され、そのファイルの改変されないことをどう担保し、どういう経路で安全に相手に送られるかが把握できれば良いのです。
そこで、”ファイルを作ったらそこから動かすな!”というルールをまず定めました。
どこかで、誰かがファイルを作ります。エクセルだとしましょう。そのエクセルはあちこちのツールを経由して、あちこちに移動し始めます。当社では Slack 経由で送られたり、内容の承認や押印をもらうためにメール添付されたり、電子サインシステムに入れられたり、色々理由はありますが、とにかく作られたファイルは実に自由に移動しそのファイルの複製はあちこちに残っていきます。その結果、以下のような非生産的であったり、セキュリティ的な問題を抱えることに繋がっています。
- どれが最新か分からない⇒また作り直す
- どこからかファイルが漏洩する⇒事故
- 知らん間にウィルスついたファイルに化けてそのファイルが攻撃する武器になっている
当社 SBI は Box の代理店でもありますので、この際だから徹底的に Box を活用してファイルが動かない運用を作ることにしました。
Box ファイルリクエスト、Box Relay , Box Sign を活用する
お客様や取引先様から送ってもらう添付ファイルについては、可能な限り Box ファイルリクエストを利用します。当社の Box 環境は当社のネットワークからしかアクセスできない安全なオンラインストレージですが、Box ファイルリクエスト機能を使うと、お客様は Box アカウント不要でファイルを当社の定められたフォルダーに直接アップロードすることができます。この機能はワンウェイなので、この Box ファイルリクエストを通じて、ファイルを外に持ち出したりアップロードしたファイルを削除したりすることは、当社スタッフであれ、お客様であれ出来ません。
当社は全取引先別のフォルダーを作り、上記画面のようにファイルリクエストを作成し、取引先の方はここにファイルをアップロードするだけで、メールを書く必要もありません。
Box ファイルリクエストでアップロードがあったことを通知する
Box Relay を使うと、送られたファイルを管理者に通知しながら、同時に承認フローをまわすことや、しかるべきフォルダーに自動でファイルを移動することもできます。
当社はこの Box Relay の機能をフルに活用して、今まであちこちに送られまくっていたファイルの移動を禁止し、紙でサインするような行為もこれを機に無くしました。
作成した提案書の内容確認や、見積の内容確認、見積書への押印や、支払申請書など、全て Box 上で作成されたファイルに対して、Box Relay を使ったワークフローへ変更するようにしました。
紙の押印は廃止して見積書も社内申請も Box Sign で電子保管法に対応
見積書も今までのフローは、以下のようなものでしたが、このファイルを動かさないというルールをベースに以下のように変更しました。以下のワークフローでは、どのエクセルファイルに対して押印したいのかという申請は紙でしか来ておらず、押印するときに内容が変更されているかどうか判別しづらいという問題もあります。
今までの見積書:
- エクセルで作成
- 文書の共有リンクをSlackにはって内容を確認依頼
- 印刷
- 押印申請
- 管理者の承認
- 担当者の上長が押印
- コピー機で押印文書をスキャン
- 押印文書をファイリング
- PDFを保管
この煩雑なワークフローは Box Relay と Box Sign を使うだけでこんなにシンプルにすることができます。作成したファイルは Box から移動することなく、確認・承認・押印というワークフローを実現できるだけではなく、画像のように押印ファイルに対する証跡も残るため電子保管法に向けた取り組みにもなります。お客様にこのファイルを送付した場合でも、内容は署名されているため改変されていないことが保証されます。
Box Relay と Sign を利用:
- エクセルで作成
- Box Relay で確認依頼
- PDF化
- PDF を Box Relay で管理者に押印依頼
- 管理者が内容確認 Box Sign で押印して承認
Box 機能のまとめ
今回利用した Box 機能は以下の通りです。
- Box ファイルリクエスト --- 特定フォルダーへのファイルアップロード機能
- Box メールアップロード --- 特定フォルダーへのファイルアップロード機能
- Box Relay --- Box ファイルを利用したワークフロー
- Box Sign --- Box ファイルに対する電子押印と署名