Slack Japanは1月28日、ビジネスチャット「Slack」のセキュリティ機能を説明するオンライン座談会を開催した。米本社Slack Technologies 最高セキュリティ責任者(CSO) Larkin Ryder(ラーキン・ライダー)氏、Slackのセキュリティ連携パートナーであるOkta Japan(渋谷区) 代表取締役社長 渡邉崇氏、Japan Digital Design(中央区)最高技術責任者(CTO)楠正憲氏(内閣官房 政府CIO補佐官や東京都DXフェローを兼任)が参加した。
Slack Technologies 最高セキュリティ責任者(CSO) Larkin Ryder氏
Ryder氏は「発表時期は未定だが、(Slackが)日本のISMAP(政府情報システムのためのセキュリティ評価制度、Information system Security Management and Assessment Program)にも対応」することを明らかにし、独自の暗号化キーを使ってSlack内のデータをコントロールする機能「Slack Enterprise Key Management(EKM)」によるデータやアクセス状況の可視化でセキュリティを担保できる点を強調した。
“PPAP”はなぜ廃止されるのか
先立って楠氏は2021年のセキュリティトレンドについて、SNSをはじめとするプラットフォーマーのコンテンツ自主規制強化が続くと指摘する。「コンテンツ自主規制が目立った米大統領選も終えたが、『時計の針は戻らない』。(SNS)事業者の責任が求められていく」(楠氏)という。米前大統領のDonald Trump氏のTwitterアカウント凍結やYouTubeの選挙不正を訴える動画削除など、過剰に見えたプラットフォーマーの行動は枚挙に暇がない。
同氏はワクチン接種に伴う大量の個人情報を標的とした攻撃、暗号資産の価値向上に伴うサイバー攻撃側の報酬向上で活発化する可能性を指摘しながら、標的型攻撃に用いられるメールの添付ファイルに言及した。
「メールの添付ファイルをなくすのは永遠の課題。“PPAP”は検疫しにくく、パスワードの送付もメール以外の伝達手段が少なかった。ただ、現在準備中のデジタル庁(の指針)で政府も“PPAP”廃止をコミットし、ベンダーも舵を切った」
楠氏はサイバー攻撃のリスクは拡大しながらも、“PPAP”廃止など一定の対策を講じる動きがあることを指し示した。“PPAP”は「Password付きzipファイルを送ります、Passwordを送ります、Aん号化(暗号化)するProtocol」の略であり、日本以外では見られない慣行であり、企業のセキュリティ対策をむしろ危険にさらされているなどと指摘されている。
司会がコロナ禍におけるセキュリティ対策を尋ねると、Ryder氏は社外ともやり取りできる機能「Slackコネクト」で利用可能な「Verified Organization(認証済みオーガナイゼーション)」と、「Customize message and file retention(メッセージとファイルの保存をカスタマイズ)」の2点を強調した。
Verified OrganizationはSlackコネクトに参加する組織が信頼を得るための機能で、組織名の横にSlackが検証済みであることを示すチェックマークを付与し、参加者は情報漏洩(ろうえい)などのセキュリティリスクを回避できるというもの。
Customize message and file retentionはメッセージやファイルの保存期間を設定することで、期間を過ぎると自動削除することで、Slackコネクトに参加する組織のデータ参照も不可能にする。
「Lifecycle Management」「Workflows」などのID管理サービスを提供するOktaの渡邉氏は、従業員やアプリケーション増に伴う「IT部門の業務負荷が高まっている」と指摘する。
