一般財団法人日本情報経済社会推進協会（JIPDEC）様

ビジネスの基盤としてだけでなく、日常生活に欠かせない存在となった情報技術（IT）。一般財団法人日本情報経済社会推進協会（以下、JIPDEC）は、ITを安全・安心に使えるようにするための仕組みづくりを主な任務とする公的団体である。JIPDECが財団法人日本情報処理開発センターとして誕生したのは、1967年12月。その後、いくつかの団体との統合を経て、2011年4月から現名称で活動を続けている。
　現在の核となっている事業は、企業などの個人情報保護マネジメントの整備体制を審査するプライバシーマーク（Pマーク）制度の運用だ。このほか、所属組織や役職などを証明できるJCAN証明書や企業情報の公開データベースであるサイバー法人台帳ROBINSなどの事業にも携わっている。

ITを専門とする公的組織として、JIPDECは日本におけるインターネットの黎明期からメールシステムを構築・運用してきた。
　「安全・安心なIT活用と個人情報保護を呼びかけている団体としては、まず、自らのメールシステムを安全に運用する必要がありました」と語るのは、電子情報利活用研究部の保木野 昌稔氏だ。具体的には、オンプレミスで構築・運用されているメールサーバと職員がPCで使っているメールソフトの両方に自作の誤送信防止ソフトを組み込んでいた。自作のソフトにより、メール宛先や一斉同報先（Cc）の指定間違いによる個人情報の漏洩を防いでいたと説明する。
　状況が変わったのは、2016年だった。世界的に進むクラウド化と歩みを合わせる形で、JIPDECのメールシステムもSaaS型の外部サービスへと移行した。
　「SaaSへの移行に伴って協会内にあったメールサーバを廃止した結果、宛先などを送信前に再確認する自作ソフトの機能が使えなくなってしまいました」と、保木野氏は語る。SaaS型メールサービスにも宛先確認機能はあったものの、誤送信防止の機能レベル低下は避けられなかったという。

メール誤送信を防ぐための新たな対策を導入して、この状況を改善する必要がある――。こう判断したJIPDECは、SaaS型メールサービスと連携できるメール誤送信防止ツールの選定を2017年5月に開始した。主管部門である総務部 情報システムグループが市販の製品やサービスについて調査を始めた。
　「オンプレミス用のソフトウェアとクラウドサービスを含めて、候補を4つに絞りました」と振り返るのは、同グループの渡邊 勝氏だ。選定の主な評価ポイントは、「JCAN証明書を使ったS/MIME電子署名を扱えること」だったと説明する。
　JCAN証明書とは、企業内の個人を証明するための電子証明書としてJIPDECが発行しているもの。いくつかの用途があるが、メールに関しては、送信者が“なりすまし”ではない実在する正当な人物であることを証明できる。JCAN証明書を基にS/MIME電子署名を生成してメールに添付すれば、「送信者が実在の組織に所属していること」「インターネットの経路上で改ざんされていないこと」を証明できる。併せて、メール本文を暗号化(注記1)することも可能となる。
　「JCAN証明書に対応しているのはCipherCraft/Mail 7（サイファークラフトメール）だけでした」と、渡邊氏は実情を述べる。また、CipherCraft/Mail 7はクラウドの仮想マシン（IaaS）の上でも動作するので、JIPDECの施設内にサーバを用意しなくても済むという利点もあった。
　直接的な判断材料とはならなかったものの、JIPDECがCipherCraft/Mailを以前から別の用途で使っていたのも採用決定に影響があった。「標的型メール攻撃の脅威が高まっていた2013年にCipherCraft/Mail標的型メール対策を導入し、当協会の苦情相談窓口で使っていました」と、保木野氏は語る。公開メールアドレスに送られてくる多数のメールの中から“怪しい”ものを的確に検出できていたので、CipherCraft/MailとNTTテクノクロスに対する信頼度はもとから高かったと明かす。

(注記1)ここでの暗号化は、S/MIMEによるものであり、CipherCraft/Mailの自動暗号化機能を使ったものではありません。

採用が正式に決まったのは、2018年2月。同年4月から約半年をかけて検証テストを実施した結果、対外メールを対象に2018年11月から本稼働に移す予定にした。「調整しなければならない箇所は残っていたのですが、対外メールはJIPDECの事業運営への影響が大きいので、いつまでもSaaS型メールサービスの宛先確認機能に頼っているわけにはいきませんでした」（渡邊氏）。
　対外メールの誤送信防止処理を開始するに当たって、情報システムグループは職員向けマニュアルを作成した。毎月開かれている定例会議で「メール送信時に宛先再確認用のポップアップウィンドウが現れるようになります」と説明をしたうえでリリース。また、全職員（約90名）に発行されているJCAN証明書をクラウドにアップロードする作業についてはNTTテクノクロスに協力を要請した。PCにクライアント側ソフトウェア（CipherCraft/Mail 7）をインストールする作業は、各職員が自ら行った。

CipherCraft/Mail 7の使い勝手について、渡邊氏は「以前の自作の宛先再確認ソフトと比べて、誤送信防止の仕組みは操作しやすいと感じています」と述べる。さらに、「初めての相手に送る際もアラートが表示されますから、宛先の間違いをより確実に検出できるようになりました」（渡邊氏）と評価する。
　情報システムグループのシステム管理者にとっても、CipherCraft/Mail 7の導入は成功だった。「管理画面のユーザインタフェイスはとても見やすいと好評です」と、渡邊氏は語る。保木野氏は、「これまでのシステム入れ替えでは、必ずといってよいほど、現場部門から『新システムは使いにくい』という苦情が寄せられていました。今回のCipherCraft/Mail 7に限っては、そういうクレームはほとんど来ていません」と言う。
　メール全般のセキュリティ対策として、S/MIME電子署名の添付漏れもなくなった。「従来はメールソフトごとにS/MIME電子署名を付ける設定をする必要があったため、設定を忘れた人がいると、その人の送信メールにはS/MIME電子署名が付きませんでした」と、渡邊氏は語る。CipherCraft/Mail 7では、JIPDECから発信される特定メールにS/MIME電子署名が自動添付されるので、メールの安全性はより高まったと見ている。
　メールの誤送信防止の仕組みが無事にスタートしたことを受けて、JIPDECはその対象を内部宛メールに拡大する検討作業も進めている。NTTテクノクロスの支援を受けながら、内部宛メール向けのリリースに向けて精力的に活動を続けている。
　「JIPDECのプライバシーマーク推進センターの集計では、プライバシーマーク付与事業者の個人情報取り扱いにおける事故原因のトップは『メールの誤送信』です」と、保木野氏は強調する。プライバシーマークの付与機関であるJIPDECはメール誤送信防止ツールCipherCraft/Mail 7を採用した。NTTテクノクロスはCipherCraft/Mail 7の展開を通じて、今後も企業・団体の情報漏洩防止を支援していく。