#11 IIJのPPAP対応方針は?現在のポリシーと今後の予定

特集

IIJの情シスはどうやって自社デジタルワークプレース(DWP)を実現したのか?

この特集の記事一覧へ

PPAP廃止が叫ばれている中、IIJ情シスの考える対応は?現在、パスワード付きZIPファイルの送受信はどうしている?今後の方針は?IIJ情シスに詳しく聞きました。

目次
  1. IIJの現在のPPAP対応はどうしている?
  2. PPAP廃止後の代替手段は?
企業のPPAP対応方針が分かる
「メールセキュリティに関するアンケート調査レポート」
ダウンロード(無料)

登場人物

IIJ 情シス

関 一夫

IIJグループの社内ITインフラを統括。
インフラからアプリケーションまで豊富な知識と経験を備える

IIJ 情シス

内田 貴

IIJ社内のメールセキュリティの企画運用を担当。
PPAP対策プロジェクトを推進

(聞き手) IIJマーケティング担当 向平

IIJの現在のPPAP対応はどうしている?

今回は、IIJのPPAP対応についてお聞きします。最近、いろいろな企業でパスワード付きZIPファイルでのメール送受信、いわゆるPPAPを廃止する動きが出てきていますよね。IIJでの対応はどのような予定でしょうか。

一連のPPAPに関する議論は2020年秋頃から始まりましたよね。IIJはメールセキュリティサービスを提供していますので、実はそれ以前にも、サービス提供者の立場としてPPAPのリスクについての議論は継続して行っていました。
情報システム部門だけではなく、リスク管理部門とともに方針を検討していましたが、2022年1月26日以降、PPAPを廃止することに決定しました。

現在、送信の設定はどのようになっていますか?

内田

送信に関しては、添付ファイルが暗号化されているかどうかを、専用のツールでチェックしています。そのあとのアクションは部署によって異なるものの、基本的にはそのまま外部に送信されることがないようにポリシー設定しています。

受信の設定についてはどうですか?

受信側も同様の方針なんですが、外部から受信した添付ファイルが暗号化されていない場合、そのファイルは削除して、残りの本文のみを受信する流れになっています。

それが今後は逆になるんですよね。
送信、受信ともに、添付ファイルがZIP暗号化されていた場合は、削除するようになると。

そうですね。やはりパスワード付きZIPファイルは、検疫ができないため、リスクが高いです。今後はパスワード付きZIPファイルが添付されたメールを受信した場合、添付ファイルを削除することになります。
この方針変更はお取引先様にも関連しますので、正式に外部にアナウンスしています。

内田

IIJから送信するメールについても同様の方針ですね。基本的には暗号化はしないで送付するポリシーに変更します。

PPAP廃止後の代替手段は?

パスワード付きZIPファイルは、誤送信対策の側面もあったと思うんですよね。間違えた宛先に添付ファイルを送ったとしても、パスワードを送らなければ添付ファイルを開けないので、2回宛先を確認できるタイミングがあったともいえると思います。
その対策は何か検討していますか?

確かに、PPAPを廃止すると、間違った宛先に送付してしまった場合、そのまま添付ファイルが届いてしまい、中身も見られてしまうリスクはありますね。
その点のリスクヘッジとしては、クラウドストレージを利用したファイル送付の方法を用意することで対応したいと考えています。

以前、お話を聞きましたが、IIJの場合、メインのファイルサーバはBoxを利用していますので、そのBoxを利用して送る形ですね。

はい。Box上に、社外向けに限定したフォルダを作ります。そのフォルダのみ、外部共有用のリンクを発行できるようにしています。
利用者は、社外向けのフォルダにファイルを置き、共有リンクを発行し、メールに共有リンクを書くことで、ファイルを送ることができます。

仮にメールの送付先を間違えた場合は、該当ファイルの共有を解除すればいいんですね。

そうですね。Boxの場合、送付先の相手がそのファイルを確認したかも分かるので、その点でも優れていると思います。
更に、Boxにアップロードしたファイルはウイルスの検疫もされていますので、安心して送付できると思います。