第1回:PPAPの問題点――なぜメールのセキュリティは難しい?――
秘密分散 フォー メール
■登場人物紹介
●MIRAI(ミライ): 情報技術に詳しい、面倒見の良いAIロボット。ITコンサルタントとして、人々の悩みに寄り添いながら専門知識を分かりやすく解説してくれる。
●みなと: 中小企業に勤める社会人1年目。IT業界に飛び込んだばかりで、日々の業務に奮闘中。実務を通して、情報セキュリティの重要性と難しさに直面している。
※本記事に掲載している情報は2025年9月時点のものです。
目次
みなと(カタカタ…)よし、A社に送る見積書ができたぞ。部長のチェックももらったし、あとはメールで送るだけだ。えーっと、ファイルを添付して…っと。あ、そうだ。うちの会社、重要なファイルはパスワード付きZIPファイルで送るのがルールだったな。ファイルを圧縮して、パスワードを設定して、と。よし、これでメールに添付して……
MIRAIちょっと待った!
みなとMIRAIちゃん⁉え、急にどうしたの?
MIRAI私はAIロボットとして業務の改善のアドバイスをしているの。
みなとえ、なんかいけないことをしようとしていたかな?
MIRAIええ、みなとくん今何をしようとしたの?
みなとえ、今、取引先に見積書を送ろうとしてたんだけど、うちの会社のルールでパスワード付きZIPファイルにしなくちゃいけなくて。ファイルをメールで送って、そのパスワードを後からメールで送ろうと思ったんだ。
MIRAIそうでしょ。それは、まさに「PPAP」ね。
みなとPPAP?
MIRAIPassword(パスワード)付きZIPファイルをメールで送り、その後にPassword(パスワード)を別のメールで送って、Angou(暗号)したファイルを確認する一連のProtocol(手順)を「PPAP」というの。
みなとAは日本語なんだ(笑)……これは良くないのかな?
MIRAIその不安は残念ながら的中しているわ。
みなとやっぱり!?でも、でも、先輩も当たり前に使っているし、どうして良くないの?(※1)
MIRAIPPAPが広く使われてきたのは、手軽で、特別なツールもいらないからなの。でも、その手軽さの裏には、セキュリティ上の大きな落とし穴が2つも潜んでいるのよ。
みなと2つも?
MIRAI一つ目は、「ウイルスチェックを素通りさせてしまう」という問題があるの。
みなとウイルスチェックを素通り?どういうこと?
MIRAI多くの企業は、外部から送られてくるメールが安全かどうかをチェックするために、メールサーバーにウイルス対策ソフトを導入しているでしょう。でも、パスワードで暗号化されたZIPファイルは、そのソフトが中身を検査できない。「鍵がかかった箱」の中身を見られないのと同じ理屈ね。
みなとあ、そっか!言われてみればそうだ!
MIRAIもし、攻撃者が、ウイルスを仕込んだZIPファイルを送ってきたらどうなると思う?
みなとえっと……ウイルス対策ソフトが機能しないから、そのままメールを受信しちゃうってこと……?
MIRAIそのとおり。そして、後から送られてきたパスワードでZIPファイルを開いた瞬間、ウイルスに感染してしまう。せっかく高い費用をかけてセキュリティ対策をしていても、その防御網に大きな穴が空いているのと同じ状態なのよ。
みなとうわぁ……。それは怖いな…。じゃあ、二つ目の落とし穴っていうのは?
MIRAI「誤送信してしまった時のリスクが非常に高い」ことね。特に、パスワードを同じメール経路で送るという行為そのものに問題があるの。
みなとえ、パスワードは別のメールで送るから、安全なんじゃないの?
MIRAIそう思ってしまう気持ちは分かるんだけど、でも、考えてみて。もしZIPファイルを送る宛先を間違えてしまったら?
みなとあっ……!すぐに送るパスワードのメールも、同じ間違った宛先に送ってしまう可能性が高い!
MIRAIそういうこと。それに、もしメールの通信経路そのものが盗聴されていたら、ZIPファイルとパスワード、両方ともごっそり盗まれてしまう。「同じ経路でパスワードを送る」、これもPPAPの大きな弱点なの。まるで、家の鍵と住所を書いたメモを、同じカバンに入れて持ち歩いているみたいな感じね。
みなとなるほどなぁ……。PPAPの問題点がよく分かったよ。
MIRAI政府も2020年にPPAPを廃止しているのよ。(※2)
みなとえ、そうなんだ⁉じゃあ、企業はもうとっくに対策しているんだろうね。
MIRAIそれが、そう単純な話でもなくて……。もちろん、多くの大企業が「脱PPAP」に向けて動いている。でも、今度は中小企業の取引先が、その対応に頭を悩ませているという新しい問題が起きているのよ。
みなと中小企業が?どういうこと?
MIRAI中小企業がPPAPを使い続けてしまうのには、切実な理由が3つあるのよ。「コスト」「人材」、そして「取引先との関係」。
みなともう少し詳しく教えて!
MIRAIまず「コスト」の問題。セキュリティ対策の重要性は理解していても、新しいツールを導入するには費用がかかる。「月額数十万円だと、今の経営状況では厳しい」「セキュリティより、まずは目の前の事業への投資が優先だ」というのが本音なのね。
みなとそっか……高額な費用をかけるのって大変なんだね。
MIRAI次に「人材」の問題。多くの中小企業では、情報システム部門なんてものはなくて、総務の担当者が他の業務と兼任でIT周りを見ているケースがほとんど。(※3)セキュリティの専門知識を持つ社員がいないから、PPAPの代替案を検討しようにも、「何が自社に合っているのか分からない」「導入後の設定や管理ができるか不安だ」となって、結局、今までどおりのやり方を続けてしまう。
みなと確かに、兼任でそこまでやるのは大変そうだ……
MIRAIそして、いちばん根深いのが「取引先との関係」なの。特に、元請けの大手企業からPPAPでファイルが送られてくる場合、「こちらだけ勝手に別の方法に変えるわけにはいかない」という事情がある。逆に、こちらからファイルを送る時も、「取引先に特別なソフトをインストールさせたり、面倒な手間をかけさせたりするのは申し訳ない」と考えて、結局PPAPを選んでしまう。
みなとうーん、負のスパイラルなんだね……
MIRAIそうなのよ!そして、その状況をサイバー攻撃者は見逃さない。セキュリティが強固な大企業を直接狙うのではなく、取引関係のあるセキュリティ対策が手薄な中小企業を踏み台にする「サプライチェーン攻撃(※4)」が、今すごく増えているの。中小企業が使い続けているPPAPが、その攻撃の侵入口になってしまうのよ。
みなと問題の根深さがよく分かったよ……。じゃあ、もっと強力なメールの暗号化技術、例えばS/MIME(エスマイム)みたいなものを使えば、全部解決するんじゃないの?
MIRAIみなとくん、鋭い!S/MIMEは、メール本文も添付ファイルも丸ごと暗号化できる、非常に安全性の高い技術だったわね。でも、これもまた別のハードルがあるのよ。
みなと別のハードル?
MIRAIS/MIMEを使うには、送信者と受信者の両方が、事前に一種の「鍵」のようなものを交換しておく必要があるの。つまり、不特定多数の人と手軽にやり取りするには向いていないの。そして何より、暗号化技術には「鍵の管理」という、永遠の課題がつきまとう……
みなと鍵の管理……?
MIRAIそう。その鍵がもし盗まれたら?この「鍵」のリスクから、企業はなかなか逃れられないの。
みなとうわぁ、どっちにしても問題があるんだ……。もう、どうすればいいんだ……
MIRAIそこで発想の転換が必要なのよ。もし、そもそも「鍵」を使わずに、データを安全に受け渡しできる方法があるとしたら、知りたくない?
みなとえっ、鍵を使わない!?そんな魔法みたいな方法があるの!?
MIRAIあるのよ!その魔法の正体は「秘密分散」という方法なの。詳しく教えてあげるね。
鍵を使わずに情報を守る!?常識を覆す新技術「秘密分散」の仕組みに迫ります。お楽しみに!
第2回:秘密分散技術って何?――分けて守る新しい考え方――
第3回:「秘密分散 フォー メール」の使い方 ―― メールが安全な金庫に!――
※1
「PPAP」とは?今すぐ禁止すべき理由とその対策
https://www.hitachi-systems-es.co.jp/service/column/mail/article01.html
※2
内閣府ホームページ
https://www.cao.go.jp/minister/2009_t_hirai/kaiken/20201124kaiken.html
※3
経済産業省ホームページ
https://www.meti.go.jp/press/2025/05/20250514002/20250514002.html
※4
サプライチェーン攻撃の手法と効果的な対策をわかりやすく解説!
https://www.hitachi-systems-es.co.jp/service/column/malware/article06.html
※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、WindowsおよびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。
このコラムをシェアする
