インターネットイニシアティブ(IIJ)は11月15日、パスワード付きZIPファイルとパスワードを同じ経路で送信する方法(いわゆるPPAP)を廃止する方針を明らかにした。2022年1月26日以降は、メール本文のみ受信し、添付のZIPファイルはフィルタリングの時点で自動削除し、受信できないようにする。PPAPはセキュリティ上の課題が多いとされ、内閣府や一部の民間企業で廃止する動きが出ている。

 顧客や取引先企業と協議しながら、共有ストレージサービスへの移行を順次進める。同社はこれまで、メールの受信に加え、外部にメールを送信する場合も、取引先や顧客の状況に応じてPPAPを使用していたが、今回の方針に合わせて、社内規定を変更。送信時のPPAP使用も廃止し、社として“脱PPAP”を図る。

 同社によると、ストレージサービスへのワンタイムパスワードの発行や、アクセス権限を限定したURLを関係者間で共有する方式を想定しているという。

●IIJグループ企業は対象外 PPAPのオプションサービスも提供中

 ただ、この方針はIIJのみの適用に限定され、グループ企業への方針拡大は未定。同社はまた、企業向けのクラウド型メールセキュリティサービス「IIJセキュアMXサービス」で、PPAPをオプションサービスとして提供している。オプションサービスのユーザー数は「非公表」としており、サービス廃止の方針も「未定」だという。

 「サービスを開始した10年ほど前はPPAP全盛期で、今ほどデメリットが認知されていなかった。社として現在は、PPAPのオプションサービスへの勧誘は一切行っておらず、米Box社や自社の共有ストレージサービスにZIPファイルを自動でアップロードし、ワンタイムパスワードを発行する代替サービスへの移行を推奨している。代替サービスに移行する企業もある一方で、既存のPPAPサービスのユーザーもいるため、提供元としてサービスを廃止できないのが実情」(同社)

 グループや社内外で完全に“脱PPAP”を図るには、まだまだ時間がかかりそうだ。

●PPAPとは

 PPAPは「(P)パスワード付きZIP暗号化ファイルを送り、(P)パスワードを送る、(A)暗号化 (P)プロトコル」の頭文字からなる造語。ピコ太郎が2016年に発表したPPAP(ペン・パイナップル・アップル・ペン)にヒントを得て、ITコンサルタントで、現在はPPAP総研代表の大泰司章(おおたいし あきら)さんが命名したのが由来とされる。

 誤送信防止対策として、日本企業の多くが採用するセキュリティ対策の一つだったものの、セキュリティソフトのウイルススキャンもすり抜けてしまうことから効果が薄いとされている。パスワードを同じ経路で送信することで、情報漏えいのリスクがかえって高まるためだ。近年では、「Emotet」「IcedID」のように、こうした仕組みを悪用したマルウェアの存在も確認されており、セキュリティの専門家からは効果が無意味とする意見も出ていた。

●内閣府やfreee、日立も廃止済み

 PPAPを巡っては20年11月、平井卓也デジタル改革担当相(当時)が中央省庁でPPAPを廃止する方針を打ち出し、内閣府・内閣官房が共有ストレージサービスへの移行を発表。これに合わせて、民間企業では同年11月、クラウド会計ソフトを手掛けるfreee(東京都品川区)がPPAP廃止を発表した他、10月には日立製作所がグループ全企業でPPAPを廃止する方針を打ち出していた。