2025年5月、金融庁が金融機関に対し、パスワード付きZipファイルを使った電子メール送付の慣行を改めるよう強く求めたことが報じられ1 、大きな話題となりました。この報道以降、PPAPに関する相談が急増しています。本記事では、PPAPに関する社会情勢問題点、効果的な対策方法、そして具体的なPPAP対策ソリューションの例まで幅広く解説します。これから社内での情報共有やセキュリティ強化を検討されている方はぜひ参考にしてください。
1. PPAPとは?社会情勢と背景
PPAPとは?
PPAPは「パスワード付きZipファイル」をメールで送信し、その後別途パスワードを伝えるという手法で、「Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)、Protocol(プロトコル)」の略です。かつては簡単かつ安全にファイルを送る方法として多く利用されていました。
社会情勢
2020年11月にデジタル庁が中央省庁におけるPPAP廃止の方針を示したことをきっかけに、脱PPAPの流れが加速していきました。
また以下のような理由から、PPAPの有効性を疑問視する声も高まっています。
-
サイバー攻撃者による悪用
パスワードも同じ通信経路で送られることが多いため、中間者攻撃などで窃取や盗聴がされやすい。 -
運用負荷の増加
パスワード管理や複数回に分けた連絡作業が煩雑。 -
規制強化
金融庁だけではなく、多くの企業・団体でも使用禁止や廃止推奨へ動いている。
こうした流れから、脱PPAPは今後ますます進む見込みです。
2. なぜPPAPは問題なのか?
PPAPの利用に懸念の声があることは簡単に前述しましたが、具体的には下記のような課題があります。
セキュリティ面での課題
-
暗号化強度が不足している
Windowsに標準装備されているZip暗号化はZipCrypto方式です。ZipCrypto方式は暗号の強度が低く、パスワード解析ツールや総当たり攻撃を受けると、解読される可能性があります。圧縮・解凍ソフトの定番である7-Zipでは暗号強度の高いAES-256を選択可能ではありますが、デフォルトではZipCryptoとなります。このためZipCrypto方式を利用している人が多いと考えられます。 -
パスワードの共有時にリスクがある
前述した中間者攻撃などによるパスワードの窃取や盗聴のほか、メール本文や電話など別ルートでパスワードを伝える際の人為的ミスによる情報漏えいのリスクがあります。 -
標的型攻撃に対する脆弱性がある
パスワード付きZipファイルはウイルススキャンの対象外となってしまうため、攻撃者が、この仕組みを狙ってマルウエア感染させるケースも報告されています。
業務効率面での課題
-
複数回のメッセージ送信による手間の増加
パスワード付き添付ファイルを作成することや、解凍パスワードを別メールで送付するという手間がかかり業務効率が低下してしまいます。 -
ファイル受領側とのコミュニケーションコストの増加
2通のメールに分散されるために送信側だけでなく受信側の業務効率も低下します。パスワード送信メールを送り忘れて受信者が解凍できないという事もしばしば見受けられます。 -
トラブルが発生した際の対応が困難
メールの宛先を誤ってしまった場合、取り消しが効かないだけでなく、実際に添付ファイルの内容を見られてしまったかどうかもわかりません。
3. PPAP対策ソリューションの種類
PPAP対策ソリューションとしては次のような種類が考えられます。
| PPAP対策ソリューションの種類 | 特徴/メリット | デメリット |
|---|---|---|
| メール送信のセキュリティ強化 | S/MIME や PGP によるエンドツーエンド暗号化を行うことで第三者による傍受を防ぐことが可能。 | 送信者と受信者の双方が対応している必要があるため、社外とのコミュニケーションには不向き。 |
| チャット・WEB会議ツール上でファイル共有 | Microsoft TeamsやZoom、Slackなどのコミュニケーションツールを用いて手軽にファイルの送付が可能。 | 誤送信に注意が必要。 いつ、誰に送付したか曖昧になる。 |
| ファイル転送・共有ツールの利用 | クラウドストレージサービス(Box、Microsoft OneDrive、 Google ドライブなど)にデータ保存し、共有リンクで相手にアクセスしてもらう。 シンプルなUIで使い勝手が良い。 業務システムとの連携が可能など、使い方の幅が広い。 |
保存容量によって従量課金されるサービスが多い。 アクセス権の管理や運用が必要。 |
| メール添付ファイルの分離(クラウドストレージ保存) | 送信者、受信者に手間が発生しない | データが外部のサーバーを経由するため、セキュリティリスクがある。 クラウドストレージの用意が必要。 |
4. PPAP対策の最適解とは?
前章で取り上げたPPAP対策ソリューションのうち、どれを選択すべきかを考えていきましょう。
まず「メール送信のセキュリティ強化」は、社外とのメールには適用が難しく対応策としては現実的ではありません。
次に「チャット・WEB会議ツール上でファイル共有」は、手軽にファイルを送信できるメリットは大きいですが、コンテンツの管理を複数のツールで行うことになるため、最新版のファイルがどこにあるかわかならなくなるケースが発生します。また、ツールによってセキュリティポリシーが統一されないことが多いため、この方式もあまりおすすめはできません。
そのため「ファイル転送・共有ツールの利用」または「メール添付ファイルの分離」がPPAP対策の最適解と考えられます。
5. おススメのPPAP対策ソリューション2選
Box(Box社)
「ファイル転送・共有ツールの利用」のソリューションとして、Boxをご紹介します。
Boxとは?
Boxはビジネスに特化した容量無制限のコンテンツマネジメントプラットフォームです2。単なるクラウドストレージではなく、Boxならではの機能によって、セキュアなコンテンツ管理と社内外とのスムーズなファイル共有が可能です。
Boxの特徴
企業内のコンテンツをBoxに集約することで、セキュリティポリシーの統一化だけではなく、シャドーITを撲滅させることが期待できます。
-
容量無制限
容量無制限で利用できるため、空き容量の不足によるファイルの削除の手間も必要なく、容量追加による追加費用もかかりません。 -
大容量ファイルの共有
動画などの容量が大きいファイルも簡単に共有が可能です。また、Boxで共有することで、メールサーバーの保存容量を圧迫しません。 -
アクセス権限管理
ファイルやフォルダごとに閲覧・編集できるアクセス権限を細かく設定し、不正アクセスを防ぎます。 -
アクセス履歴
誰がいつどのファイルにアクセスしたかの記録を確認することで、不正な利用を発見できます。 -
誤送信への対応
Boxの共有リンクを使い、誤って別の人に送ってしまった時は、共有リンクを削除することで、情報漏えいリスクを軽減できます。 -
共有リンクのパスワード/有効期限設定
共有リンクにはパスワードや有効期限を設定でき、第三者による不正利用を防止できます。 -
共有リンクのダウンロード許可/不許可
閲覧だけ許可してダウンロードは禁止するなど、柔軟な権限設定で情報流出を抑制します。 -
ウイルスチェック
Boxにアップロードされたファイルは自動でウイルス検査され、安全性が確保されます。 -
国際的なコンプライアンス・セキュリティ規格に準拠
ISMAP(日本の政府情報システムのためのパブリッククラウドサービスのセキュリティ評価制度)をはじめSOC TypeⅡ Reports、ISO 27001などさまざまな第三者認証を取得しており安心してご利用いただけます。
Boxでのファイルの共有方法
Boxは、社外関係者へ「フォルダ招待」と「共有リンク」の方法で資料共有が可能で、どちらの方法も個別のセキュリティ設定を行うことができます。
Mail2Cloud(mxHERO社)
次に「メール添付ファイルの分離」のソリューションとして、Mail2Cloudをご紹介します。
Mail2Cloudとは?
Mail2Cloudは、メール送受信時にメールデータや添付ファイルを、連携されているクラウドストレージへ自動的に保存できるソリューションです。
エンドユーザーによるメール送受信の利便性を一切損なうことなく、メールセキュリティを向上させることが可能です。
後述では、Boxとの連携を例として記載していますが、Google ドライブ/Microsoft OneDrive/Dropbox/Microsoft SharePoint/Egnyteの各種オンラインストレージもサポートされています。
Mail2Cloudの特徴
-
利用者のユーザビリティーを変更せず、脱PPAPの実現が可能
ファイルが添付されたメールを送信すると、ファイルはウイルススキャン後にBoxへ格納され、共有リンク(URL)の発行が自動で行われます。
また、ユーザーが追加操作しなくても、Mail2CloudがBoxの共有リンクのセキュリティ設定を自動で行います。 -
受信者側の利便性・セキュリティ向上
Zipファイルを解凍し、パスワードを入力する作業は不要になり、共有リンクをクリックするだけでBoxに保存されているファイルの閲覧が可能となります。
また、受信者はプレビューでファイルを確認できるため、コンテンツをローカルにダウンロードする必要がなく、添付ファイルを経由したマルウエアの感染リスクを軽減します。 -
送信後のファイル管理
ファイル送信後も、ファイルの変更やアクセス履歴の管理が可能です。
また、誤ったファイルを送付した際は、Boxから共有リンクを削除して対処することができます。 -
添付ファイルの管理
添付ファイルも自社Boxで管理が可能です。
企業の運用に合わせて、受信者ごとに格納するフォルダを指定する、共有リンクのセキュリティ設定を変更する、などさまざまなルール設定ができます。また、メタデータが自動で付与されるため、Box上でのファイル検索が容易になります。 -
Mail2Cloud自身でメールデータを保持しない
メール本文や顧客データを保持せずにクラウドストレージに送るため、データ保持についてはクラウドストレージのセキュリティに依存する形になります。
メール送信時のフロー
メール送信時のポイント
-
利用者のユーザビリティーを変更せず、メールセキュリティ(PPAP対策)の実現
ユーザーのメール送信時の操作を変更することはなく添付ファイルのセキュリティを確保。 -
全社統一のセキュリティレベルで添付ファイルの送付が可能
ユーザー操作無しでも、Mail2Cloudによりクラウドストレージの共有リンクのセキュリティ設定を自動実施。 -
受信者は共有リンクからファイルアクセスが可能
メール内の共有リンクをクリックするとWebブラウザのプレビュー画面で閲覧でき、必要に応じてダウンロードすることも可能。 -
共有リンク削除から誤送信後の対処が可能
アクセス履歴から影響範囲の確認が可能。
メール受信時のフロー
メール受信時のポイント
-
取引先に対してツールの存在を意識させずに利用可能
取引先(送信者)が添付ファイル付きで送付しても、メール送信時と同じくクラウドストレージへ自動保存。 -
社内の働き方改革の実現
プレビュー機能を利用して、デバイスフリーでファイルへのアクセスが可能。 -
外部から受領した添付ファイルのセキュリティを確保
メール内の共有リンクをクリックして、Webブラウザのプレビュー画面で閲覧する為、ユーザーはコンテンツをダウンロードする必要がなくなる。
おわりに:今こそ脱PPAP!未来志向の情報共有へシフトしよう
金融機関ではクラウド利用をはじめとしたインターネットアクセスを制限されていることが多いのですが、少なくともクラウドストレージへのアクセスは出来る前提としています。
金融庁からの金融機関への要請は、金融機関以外の企業・組織にも波及しています。従来慣れ親しんだ「パスワード付きZip」の運用から脱却し、安全かつ効率的な情報共有体制の構築が求められています。
まずは現状把握と課題整理から始め、自社環境に最適なソリューション選定へ踏み出しましょう。
We Are Hiring!
-
ニッキンONLINE「金融庁、PW付きメール送信 利用廃止呼びかけ」(2025年5月22日) ↩
-
容量上限ありの個人向けプランもありますが、本件では企業向けのPPAP対策をテーマとしているためビジネスプランの利用を前提としています。 ↩