先日、金融庁が地方銀行に対してPPAPの見直しを求めたとの一部報道があり、再び、金融機関を中心にPPAP廃止への関心が急速に高まっています。
PPAPの危険性は以前から指摘されてきましたが、2020年に平井卓也デジタル改革担当相(当時)が「PPAP廃止」を表明してからも、実際には大きな問題が起きなかったことを理由に、慣行として残り続けてきた企業も少なくありません。
しかし、金融機関を中心に「PPAPを受け取らない」という動きが広がれば、これまで通りの運用を続けることが難しくなります。相手が受け取れない以上、たとえ自社で問題がなかったとしても、対応を迫られる場面が増えていくでしょう。
弊社では、こうした課題に直面する多くの企業に対して、「クリプト便」や「Box」などの代替手段を通じた脱PPAP支援を行ってきました。本記事では、PPAPの問題点を振り返り、安全かつ現実的な解決策についてご紹介します。
パスワード付きZIPファイルは、社外へのファイル送信時に使われてきた暗号化手法の一つです。「PPAP」とも呼ばれるこの運用は、以下の流れで行われます。
本記事では、特にこの「1通目の添付ファイル送信」と「2通目のパスワード送信」が同じメール経路上で行われるケースを、狭義のPPAP運用と定義し、その問題点を解説していきます。
現在行われているPPAP運用では、パスワード付きのZIPファイルと、そのパスワードの両方を、同じ「メール」という通信手段で送信しています。この同一経路での送信が、セキュリティ上の意味を失わせる根本的な原因です。
この問題は、最近よく耳にする「二要素認証」と比較するとわかりやすくなります。たとえば、クラウドサービスにログインする際に、パスワード入力後、スマートフォンにワンタイムパスワードがSMSで届くといった体験がある方も多いでしょう。これは、パスワード(知識)と、本人のスマートフォン(所有)という「異なる2つの要素」を使って本人確認を強化しているのです。
一方、PPAPはどうでしょうか。添付ファイルとパスワードが同じメール経路を通るということは、実質的に「ひとつの要素」しか使っていないことになります。言い換えれば、攻撃者がそのメールにアクセスできてしまえば、暗号化されたファイルもパスワードも一緒に手に入ってしまうわけです。結果として、セキュリティ対策のつもりで行われている暗号化が、実際には防御力をほとんど持たない――それが「本質的なセキュリティ対策にならない」と言われる所以なのです。
PPAP運用は送信者側の都合で一方的に実施されることが多いのですが、受信者側にも大きなリスクをもたらします。ZIPファイルで暗号化された添付ファイルは、メール受信時にセキュリティソフトで中身をスキャンできず、マルウェアの検知が不可能になります。その結果マルウェアに感染し、情報漏洩など重大な被害が生じる恐れもあります。
実際に「Emotet(エモテット)」などのマルウェアは、パスワード付きZIPを用いてセキュリティの網をすり抜け、実在の相手を装ったメールで感染を広げてきました。IPAもその被害の深刻さを報告しており[i]、金融庁もこうした問題を背景にPPAP廃止を促す姿勢を示しています。
PPAP運用はセキュリティの問題だけでなく、取引上のリスクにもつながりつつあります。自社が従来通りPPAPを用いていたとしても、取引先が「PPAPを受け取らない」方針を取れば、ファイルのやり取り自体ができず、業務が滞る恐れがあります。
特に、金融機関との取引がある企業にとっては深刻な問題です。金融庁の方針転換を受け、今後ますます多くの金融機関がPPAPの受信を拒否する可能性が高まっています。
もはや「自社に問題がなければよい」という時代ではなく、取引関係を維持するためにも、PPAPからの脱却は待ったなしの課題となっています。
メールを送信した直後に、宛先や添付ファイルの内容を間違えていたことに気づいてヒヤッとした――そんな経験はありませんか?当社が毎年実施している「企業における情報セキュリティ実態調査」でも、メールやFAXの誤送信といったヒューマンエラーが、セキュリティインシデントの上位を占めていました。
PPAP運用では、添付ファイルの送信後にパスワードを別送するため、仮に送信ミスがあっても、パスワードを送らなければファイルを開かれずに済む、という見方があります。たしかに、誤送信への「保険」としては一定の効果がありますが、これはあくまで事故時の対応策であり、PPAP本来の目的である「暗号化による安全なファイル送信」とは別の話です。セキュリティ対策と誤送信対策を混同すべきではありません。
もともとPPAPが使われるようになったのは、「メールが途中で盗み見られるかもしれない」という不安があったからです。昔は、メールの送受信が暗号化されておらず、誰かに途中で盗聴されるリスクが現実的にありました。そのため、添付ファイルをZIPで暗号化し、パスワードをあとから別のメールで送るという方法が、「仕方のないセキュリティ対策」として広まったと考えられます。
しかし、2025年の今では状況が大きく変わっています。Gmailのメールの外部向けメールのほとんど(本記事執筆時点で96~98%)は通信経路が暗号化(TLS)されていると示されています[ii]。Microsoft 365、Exchange Onlineなどの主要サービスでも暗号化の対策が取られています。さらに、SMTP DANEやMTA-STSといった安全性を高める新しい技術も広まりつつあり、昔のように「途中で盗聴されるかもしれない」という心配は、かなり小さくなっています。実際、盗聴による被害報告は近年ほとんど確認されていません。つまり、盗聴対策として始まったPPAPは、すでにその必要性が薄くなってきているのです。
「これまで特に問題が起きなかったから、PPAPでも問題ない」と考えて使い続けている企業は少なくありません。しかし、セキュリティの世界では「問題が起きていない=安全」ではなく、「たまたま被害に遭っていない」だけの可能性も十分あります。マルウェア感染や情報漏洩は一度でも起きれば深刻な影響を及ぼし、「これまで大丈夫だったから」は非常に不確かな根拠です。
さらに、状況は変化しています。多くの金融機関や大手企業がPPAPの受信を拒否するようになると、「送ったのに相手が受け取ってくれない」といったケースも現実に起こりはじめます。今や「使い慣れているから」「問題なかったから」という理由だけでPPAPを続けることが、かえってリスクになりかねません。
PPAPの廃止が本格的に求められる中、当社には「安全にファイルを送るにはどうすればよいか」「PPAPを受け取りたくない場合はどうすればいいか」といったご相談が数多く寄せられています。特に、「PPAPを受け取ってもらえなくなった企業」にとっては、PPAPに代わる、セキュリティと業務の実用性を両立する新たなファイル送信手段の選定が喫緊の課題となっています。
そうした中で、多くのお客様が最終的に選択されるのが、クラウドサービスの活用です。代表的な選択肢としては、①ファイル転送サービス、②クラウドストレージサービス、③メールゲートウェイ型サービスの3つが挙げられ、それぞれ機能や用途、導入のしやすさに違いがあります。
当社がこれまで支援してきた事例では、これらのサービスは主に「導入形態」「導入負荷」「導入の付加価値」といった観点から比較・検討されています。以下に、それぞれの特徴を整理した比較表を掲載しました。
各サービスには明確な特長があり、導入目的や利用シーンに応じた選定が重要です。たとえば、「全社での展開が必要か」「社外とのコラボレーションを前提とするか」「短期間で導入したいか」といった要件を事前に整理することで、自社に最適なサービスを選びやすくなります。
PPAPという旧来の運用は、かつて一定の効果が期待された手法ではありましたが、現代のセキュリティ環境や業務要件に照らしてみると、「見直しが急がれるセキュリティリスク」へと成り下がっています。さらに金融庁の要請を契機に、PPAP廃止の動きは一部の先進企業だけの取り組みではなく、多数の企業にとって現実的な対応課題となりました。
PPAPの廃止は、もはや「検討すべき話」ではなく「着手すべき課題」です。これまでの慣習に安心感を覚えていたとしても、相手が受け取らない時代になれば、業務は止まってしまいます。 安全で現実的な代替手段はすでに整っており、クラウドを活用した各種サービスが、企業のセキュリティ強化と業務効率化を両立させます。
NRIセキュアではクリプト便やBox、クリプト便 for m-FILTERなどファイルを安全・便利に届けるためのソリューションを取り扱っております。お客様が扱うファイルの機密度と、ビジネス要件に合わせて、最適な解決策を共に検討いたしますので、PPAP運用からの脱却など、お困りの際にはぜひお気軽にお問い合わせください。
[i] IPA: 相談急増/パスワード付きZIPファイルを使った攻撃の例(2020年9月2日)
https://www.ipa.go.jp/security/emotet/situation/emotet-situation-04.html
[ii] Google: 透明性レポート 配信中のメールの暗号化
https://transparencyreport.google.com/safer-email/overview?hl=jp