本研究は、メール等における添付ファイルの共有手法と、そのセキュリティリスクの対応策に関する国内企業等の実態を把握することを目的としています。本調査では、メール等における添付ファイルの送信手法として日本において多く見られる、『パスワード付きzipファイルと、そのパスワードを別送するという段階を踏む、情報セキュリティ対策手法(以下、略称「PPAP」)』についてお伺いします。
問1. 貴社では、ファイル共有のためのセキュリティ対策としてPPAPを使用していますか。(単一回答)
1. 使っている(問2-1へ) 2. 使っているが、他のセキュリティ対策への乗り換えを検討中(問2-1へ) 3. 使っていたが、現在は使っていない(問2-1へ) 4. 使ったことがない・知らない(問4へ)
問1で「1. 使っている」、「2. 使っているが、他のセキュリティ対策への乗り換えを検討中」、「3. 使っていたが、現在は使っていない」と回答した方は問2-1、「4. 使ったことがない・知らない」と回答した方は問4へ進んでください。
問2-1. セキュリティ対策としてPPAPを導入した理由として当てはまるものをすべて回答してください。(複数回答可)
1. 取引先が利用していた 2. 取引先に利用を要求された 3. 省庁が使っていた 4. 同業他社が利用していた 5. プライバシーマーク取得のため 6. ISMS認証取得のため 7. 取引先・顧客からの信頼・評価を得るため 8. 導入・運用・維持が容易だから 9. 導入・運用・維持が安価だから 10. PPAPの機能や仕組みがわかりやすいから 11. セキュリティリスクの頻度を減らすことができるから 12. セキュリティリスクの損害を減らすことができるから 13. メール・セキュリティ関連技術の開発・販売企業等から勧められたから 14. セキュリティコンサルタント(専門調査会社・監査法人)等に勧められたから 15. その他関係者からPPAPの導入を勧められたから【誰から勧められましたか?_____】 16. その他( )
問1で「1. 使っている」、「2. 使っているが、他のセキュリティ対策への乗り換えを検討中」と回答した方は問2-2、「3. 使っていたが、現在は使っていない」と回答した方は問3-1へ進んでください。
問2-2. 貴社のPPAPを活用したセキュリティ対策に関する評価についてお答えください。
問2-2-1. 取引先など社外からどのように評価されていますか。最も近い回答を選んでください。(単一回答)
1. とても評価されている 2. ある程度評価されている 3. どちらとも言えない 4. あまり評価されていない 5. 全く評価されていない 6. わからない 7. その他【 】
問2-2-2. 社内からどのように評価されていますか。最も近い回答を選んでください。(単一回答)
1. とても評価されている 2. ある程度評価されている 3. どちらとも言えない 4. あまり評価されていない 5. 全く評価されていない 6. わからない 7. その他【 】
問2-3-1. 貴社が利用しているPPAPとして最も近い手順を選んでください。(単一回答)
1. パスワード付ZIPファイルをメール添付、もしくはクラウドファイル共有サーバーにアップしてメールで連絡→その後、同じメールの宛先にパスワードを別送 2. パスワード付ZIPファイルをメール添付、もしくはクラウドファイル共有サーバーにアップしてメールで連絡→その後、別の方法で相手にパスワードを伝える(問2-3-2をご回答ください) 3. その他( )
問2-3-1で2を選択した方にお伺いします。
問2-3-2. 別の方法は次のうちどれですか。(複数回答可)
1. FAX 2. 電話 3. 対面 4. 事前に決めたパスワード 5. ショートメール(SMSなど) 6. 別のメールアドレスに送付 7. その他( )
問2-4. PPAPはどのような場面で利用していますか?(複数回答可)
1. 添付ファイルをメールで送信する場合全て 2. 個人情報等特定の情報が含まれている場合のみ 3. 特定のファイル形式(例:パワーポイント、エクセル)のファイルを送信する場合のみ 4. 社員が任意でPPAPの利用を選択 5. その他( )
問2-5. PPAP運用のために利用しているメールシステムやサービス等がある場合はその名称を記入してください。
問2-6. PPAPはいつから使っていますか?(単一回答、数値を記入)
1. 【 】年【 】月頃から 2. 不明
問2-7. PPAPはファイルをそのままメール添付した場合と比較して、機密性は変わらず、マルウェア防御上はかえって有害性があるなど、セキュリティ対策としての意味を為さないものであることがセキュリティ関連の研究者などによって示されています。PPAPの有害性・無効性についてご存じですか?(単一回答)
1. 知っている 2. 知らない
問2-8. PPAPは有害無益であるため、2020年11月にデジタル改革担当相、2020年11月26日に内閣府と内閣官房から廃止を宣言しました。このことについてご存じですか?(単一回答)(参考URL:https://www.cao.go.jp/minister/2009_t_hirai/kaiken/20201124kaiken.html)
1. 知っている 2. 知らない
問2-9. 暗号をかけずに送ったほうが総合的なセキュリティリスクがPPAPより小さいことをご存じですか?(単一回答)
1. 知っている 2. 知らない
問2-10. PPAPを使い続けている理由として該当するものを選んでください。(複数回答可)
1. 取引先から要求されている 2. 対策のコスト、工数を考えるとシステム変更できない 3. 外注先が対応してくれない 4. 対策後にシステム障害等が起きた時の責任問題が発生するため(動いているシステムには手を付けない) 5. 同業他社もPPAPを使っているから 6. PPAPや平文メールよりセキュリティリスクの小さい方法が見つからないためシステム変更できない 7. PPAPは運用のために社員がとるべき手順が明確であるから 8. PPAPは一定の手順を踏んでファイル共有を行うという意識を社員に持ってもらえるから 9. 送信先に対してセキュリティ対策を行っていることを明示的に示せるから 10. コンプライアンス上必要と社内で決められているから 11. その他( )
問2-11. 貴社がPPAPの利用をやめることを検討しうるきっかけとなる事象として該当するものを選んでください。(複数回答可)
1. 内閣府・内閣官房から指針等が出た場合 2. 経済産業省から指針等が出た場合 3. 総務省から指針等が出た場合 4. デジタル庁から指針等が出た場合 5. 取引先から使用の停止を求められた場合 6. より安価なセキュリティ対策があった場合 7. より有効性のあるセキュリティ対策があった場合 8. わからない、該当なし 9. その他( )
問3. 問1で「3. 使っていたが、現在は使っていない」と回答した方は以下の質問にお答えください。
※問1で「1. 使っている」、「2. 使っているが、他のセキュリティ対策への乗り換えを検討中」と回答した方は問5へ進んでください。
問3-1. 貴社がPPAPの利用をやめた理由として該当するものを選んでください。(複数回答可)
1. PPAPの運用コストがかかるから 2. 取引先からPPAP廃止を要求されたから 3. メールシステム等の業者から他のセキュリティ対策を勧められたから 4. デジタル庁・内閣府・内閣官房がPPAPの廃止を推奨したから 5. その他関係者からPPAP廃止を勧められたから⇒誰から勧められましたか?【 】 6. PPAPはセキュリティ対策として意味をなさないから 7. その他( )
問3-2. 使っていたのは、いつからいつまでですか?(単一回答、数値を記入)
1. 【 】年【 】月〜【 】年【 】 2. わからない
問4. 問1で「3. 使っていたが、現在は使っていない」、「4. 使ったことがない・知らない」と回答した方は以下の質問にお答えください。
現在外部とのファイル共有で利用しているセキュリティ対策方法として、最も近いものを選んでください。(単一回答)
1. ファイル共有クラウドサービスを利用(例:Googleドライブ、Googleワークスペース、Dropbox、Github) 2. 社内もしくは関係者専用のファイル共有サーバーを利用 3. zip化しないで添付ファイルとして送付 4. その他( ) 5. 特に対策を実施していない
問5. ※以下の質問は、全員ご回答ください。
問5-1. 外部とのファイル共有におけるセキュリティリスクをどのように評価していますか?最も近いものを選んでください。(単一回答)
1. セキュリティインシデントが発生した場合に会社に与える損害は大きいが、起こりうる頻度は低い 2. セキュリティインシデントが発生した場合に会社に与える損害は大きく、起こりうる頻度も高い 3. セキュリティインシデントが発生した場合に会社に与える損害は小さいが、起こりうる頻度は高い 4. セキュリティインシデントが発生した場合に会社に与える損害は小さく、起こりうる頻度も低い
問5-2. 利用しているメールシステム会社・メールシステム名を教えてください。(単一回答)
1. Google(Google Workspace/Gmail) 2. Microsoft(Exchange Online) 3. NTTPCコミュニケーションズ株式会社(WebARENAメールホスティング) 4. 株式会社クオリティア(Active! Mail) 5. 株式会社ケイティケイソリューションズ(@Securemail Plus Webmail) 6. 株式会社オレンジソフト(xgate4) 7. サイバーソリューションズ株式会社(Cybermail Σ) 8. 株式会社エアネット(ALL in Oneメール) 9. 株式会社ラクス(メールディーラー) 10. 株式会社Zendesk(Zendesk) 11. 株式会社インゲージ(Re:lation) 12. サイボウズ株式会社(メールワイズ) 13. Onebox株式会社(yaritori) 14. その他( )
問5-3. 貴社のセキュリティポリシーとその実施状況について、経営者層に報告が行われていますか?
問5-3-1. 報告を行っている経営者層で最も近いものを選んでください。(単一回答)
1. 社⻑ 2. CSOなど担当取締役 3. 経営者全般(取締役会等経営者会議にて) 4. その他( ) 5. 報告していない
問5-3-2. 報告の程度を選んでください。(単一回答)
1. 定期報告している(年に【_____】回程度) 2. 不定期で報告している 3. 報告していない・担当者に裁量が与えられている 4. その他( )
問5-4. 貴社にChief Security Officer (CSO)はいますか?(単一回答)
1. CSOがいる 2. CSOがいない
上の質問で「2. CSOがいない」と回答した方は、次の質問にお答えください。
問5-4-1. 貴社のセキュリティポリシーとその実施状況を把握している最高責任者はどなたですか。(単一回答)
1. 部⻑級 2. 課⻑級 3. 係⻑級 4. いない・不明 5. その他( )
問5-5. 貴社に情報セキュリティ委員会に相当する組織はありますか?(単一回答)
1. ある 2. ない 3. その他( )
問5-6. 貴社のセキュリティポリシーや、情報セキュリティ関連の技術情報について参照する技術情報のソースとして該当するものを選んでください。(複数回答可)
1. セミナー情報 2. 関連学会 3. 業界指針(例:経団連、業界団体) 4. インターネット情報検索 5. 総務省のガイドライン 6. 経産省のガイドライン 7. IPAのガイドライン 8. JPCERT/CC 9. セキュリティビジネス業者 10. 同業他社 11. 専門調査会社(外注) 12. 口コミ 13. その他( )
問5-7. 貴社の情報セキュリティ関連の業務のうち外注しているもの(一部、全部問わず)を全て選んでください。(複数回答可)
1. システム要件の作成 2. 仕様書の作成 3. 開発 4. 運用 5. その他( ) 6. 全て内製
問5-8. 貴社の情報システム関連人材に関して最も近いものを選んでください。(単一回答)
1. 専門人材はなるべく自社内で育成している(内製型) 2. 専門人材はなるべく外部組織を活用している 3. その他( )
問6. メールセキュリティテストへのご協力のお願い
本研究のためのEmailアドレスに貴社のEmailアドレスから、空メールをお送りください。お送りいただいた方には、メールセキュリティのテスト結果を2通のメールにてお送りします。1通はご回答後自動送信でお送りし、2通目は後日お送りします。お送りいただいたEmailアドレスは本研究チームでのメールセキュリティ調査のみで使用し、それ以外の用途では使用いたしません。なお、本研究は東京大学空間情報科学研究センター研究倫理委員会でのヒトを対象とする研究倫理審査において承認を受けて実施しております。