インターネットイニシアティブ(IIJ)は11月15日、パスワード付きZIPファイルとパスワードを同じ経路で送信する方法(いわゆるPPAP)を廃止する方針を明らかにした。2022年1月26日以降は、メール本文のみ受信し、添付のZIPファイルはフィルタリングの時点で自動削除し、受信できないようにする。PPAPはセキュリティ上の課題が多いとされ、内閣府や一部の民間企業で廃止する動きが出ている。
顧客や取引先企業と協議しながら、共有ストレージサービスへの移行を順次進める。同社はこれまで、メールの受信に加え、外部にメールを送信する場合も、取引先や顧客の状況に応じてPPAPを使用していたが、今回の方針に合わせて、社内規定を変更。送信時のPPAP使用も廃止し、社として“脱PPAP”を図る。
同社によると、ストレージサービスへのワンタイムパスワードの発行や、アクセス権限を限定したURLを関係者間で共有する方式を想定しているという。
ただ、この方針はIIJのみの適用に限定され、グループ企業への方針拡大は未定。同社はまた、企業向けのクラウド型メールセキュリティサービス「IIJセキュアMXサービス」で、PPAPをオプションサービスとして提供している。オプションサービスのユーザー数は「非公表」としており、サービス廃止の方針も「未定」だという。
「サービスを開始した10年ほど前はPPAP全盛期で、今ほどデメリットが認知されていなかった。社として現在は、PPAPのオプションサービスへの勧誘は一切行っておらず、米Box社や自社の共有ストレージサービスにZIPファイルを自動でアップロードし、ワンタイムパスワードを発行する代替サービスへの移行を推奨している。代替サービスに移行する企業もある一方で、既存のPPAPサービスのユーザーもいるため、提供元としてサービスを廃止できないのが実情」(同社)
グループや社内外で完全に“脱PPAP”を図るには、まだまだ時間がかかりそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング
編集部おすすめブックレット