このページの本文へ

メールセキュリティとは?脱PPAPの基本

  • 会社の処方箋
メールからの情報漏えい対策に! メールセキュリティソリューション GUARDIANWALL Mailセキュリティ 詳しくはこちら

ダウンロード資料のご案内

ニューノーマル時代のメールセキュリティ「脱PPAP」
PPAPの課題や、その代替策についてまとめた資料をご提供しています。
ぜひ一度ご覧ください!

ダウンロードはこちら

2022年11月24日
更新:2025年2月13日

企業や個人問わず、利用頻度の高いメールサービスですが、情報漏えいや外部からの攻撃が深刻化しており、従来型の対策だけでは不十分な場面が増えています。本コラムでは、多様化する脅威への理解と具体的なメールセキュリティ対策をキヤノンマーケティングジャパングループの事例をもとに解説します。

メールセキュリティとは

メールセキュリティとは、電子メールを利用する際に発生し得る脅威から情報を保護し、安全に通信を行うための送信対策や技術を指します。現在、企業や個人における重要な情報のやり取りはメールで行われることが多く見受けられます。
特に、メールに添付されるファイルには重要な情報が含まれることが多いため、適切なセキュリティ対策が求められます。これまでは、ZIPファイルにパスワードを設定して送付し、そのパスワードを別のメールで送る「PPAP」と呼ばれる方法が広く採用されてきました。しかし、この方法にセキュリティ上の問題点が指摘され、脱PPAPへと進化する潮流が見られます。

メールに潜む脅威

メールは受信者の識別が容易であり、攻撃者から狙われるリスクが高いコミュニケーション手段です。標的型攻撃やフィッシング詐欺など、メールを経由して攻撃をする、悪意ある事例が後を絶たないのは、攻撃者にとってメールが最も効果的な手口になっているからと言われています。たった一人が危険なリンクをクリックしたり、添付ファイルを開封したりすると、企業全体へのマルウエア感染や大規模な情報漏えいにつながる恐れがあります。また、メールアカウントの乗っ取りに成功されると、正規のユーザーになりすましてコミュニケーションを図られるなど、被害の拡散が速いことも特徴です。そのため、メールの安全対策を強化することは、企業や組織全体のセキュリティレベルを底上げするうえで大切です。

PPAPとは

PPAPとは、ファイルをメール送信する際、パスワード付きのZIP形式にし、別のメールでパスワードを送信するといった方式のことを指します。

  • PasswordつきZIP暗号化ファイルを送ります
  • Passwordを送ります
  • Aん号化(暗号化)
  • Protocol

の頭文字を取って名付けられた造語です。
この手法は、添付ファイルを第三者に簡単に見られないようにする基本的なセキュリティ対策として採用されてきました。
上記のように、どちらかというと日本語での頭文字を並べた略語で、日本固有の名称です。
PPAPというと、某有名曲を思い浮かべる方も多いと思いますが、実はその曲が命名のヒントになったとされています。

PPAPのセキュリティ上の問題点

PPAPは、主に企業や政府機関において機密情報を含む添付ファイルを送信するために広く使われてきました。ファイルを暗号化し、パスワードを別に送る。これは一見するとセキュリティが高いように見えますが、この手法の問題点が明らかになっています。
PPAPでのメール送信の流れと問題点を見ていきましょう。

1.ファイルを添付してメール送信、別途パスワード送信 2.添付ファイルをZIPに圧縮して暗号化 3.パスワードを送信
  1. ファイル送信時の作業

    送信側はファイルとパスワードを別々に送る必要があるので作業が煩雑になります。よくありがちなのが、メールアドレスを何度も入力することが面倒なため、一度送信したメールを再利用してパスワードを送ってしまうケースです。この場合、送信者が誤った宛先にメールを送信してしまうと、ZIPファイルとそのパスワードを正規の受信者以外に知られる事態にもなりかねません。このような誤送信リスクにより、重要な機密情報が漏えいする可能性があります。また、パスワードを自動送信するシステムでは、アドレス間違いによる情報漏えいのリスクがより高くなることが懸念されています。

  2. メール添付ファイルの暗号化

    ファイルは暗号化されますが、暗号化されたファイルはウイルスチェックが困難になります。そのため万一、添付ファイルがウイルスに感染していても検知が難しくなります。
    またZIPファイルの暗号化はセキュリティが弱く、ブルートフォース攻撃で破られることがあります。

    • 理論的に考えられるパスワードのパターン全てを入力していくという攻撃。総当たり攻撃。
  3. ファイルとパスワードの送信ルート

    ファイルとパスワードをメールという同じ手段・同じ経路で送っていることで、セキュリティの低下を招きます。金庫とカギを同じ車に積んで、運ぶのと同じようなイメージです。

    企業や組織は、これらの問題に適応するため、「脱PPAP」の実現に向けた具体的な取り組みを進めていく必要があるとされています。

PPAPの代替案とは

PPAPの一般的な代替手段として、添付ファイルダウンロードリンク化、ファイル転送サービス、オンラインストレージなどが挙げられます。代替策に正解はありません。ご利用にあった選択が必要です。

添付ファイルダウンロードリンク化 ファイル転送サービス オンラインストレージ
概要 メールの添付ファイルをクラウドストレージに自動アップロードし、受信者はメール本文のリンクからダウンロード 送信者はWebサイトにファイルをアップロードし、受信者は発行されたURLからダウンロード クラウドに共有フォルダを設置し、データやファイルをやり取りする方法
送信の手段 メールの添付 Webアップロード Webアップロード
ファイル送付の安全性(経路の暗号化) HTTPS(暗号化) HTTPS(暗号化) HTTPS(暗号化)
ファイルの保護(暗号化や権限管理) なし なし
  • ファイル権限設定が可能
  • 暗号化可能
ダウンロード認証
  • ワンタイムパスワード
  • ソーシャルログイン
ワンタイムパスワード
  • 利用アカウントによる認証
  • ワンタイムパスワード
向いている利用シーン メールを利用したビジネス上のやり取りでのファイル添付 大容量ファイルの共有 プロジェクトごとなど特定者とのファイル共有
向いているファイル 不特定な相手先への情報含む、見積書/提案書など 動作制作物や写真データなど容量の大きいファイルなど 決まった相手先との共同編集や頻繁に更新するプロジェクト計画など
考慮点 メールのアーカイブなど追加対策が望ましい バージョン管理や履歴管理がログのみ
  • 受信者登録の手間
  • ファイル権限設定の手間と管理

ここでは、ファイル転送サービスの選び方に焦点を当て、脱PPAP時代に求められる代替案について解説します。

ファイル転送サービスの選び方

脱PPAP時代におけるファイル転送サービスの選定は、セキュリティ対策の要となります。間違った選択をした場合、情報漏えいのリスクが伴うため、慎重な見極めが必要です。以下に、適切なファイル転送サービスを選ぶ際のポイントを紹介します。

  • データの暗号化が施されているかどうか
  • 定期的なシステムアップデートが行われているか
  • 特定のユーザーだけがダウンロード可能なリンクの作成や、リンクの有効期限を設定できるか
  • バージョン管理や操作ログの確認機能があるかどうか

これらのポイントを確認することにより、万一の誤送信や不正なダウンロードが発生した場合でも、迅速に状況把握が可能になります。

キヤノンマーケティングジャパングループの対策

キヤノンマーケティングジャパングループでもPPAP方式を利用してきましたが、よりセキュリティが高い別方式に移行いたしました。
それが添付ファイルのダウンロードリンク化です。
新たな仕組みでは、添付ファイルを直接送るのではなく、ファイルをメール本文と分けた上で別サーバーに格納し、別にダウンロード用のURLをメールに添付して受信者に送ります。こうすることで、セキュアな環境下でファイルを送信することが可能となっています。
また、送信側は一度の作業でメールを送ることができるので、パスワードを別に送る煩雑さがなくなります。

1.ファイルを添付してメール送信 2.ファイルを分離 3.ダウンロードリンク付きメール 4.データダウンロード
  1. 添付ファイル付きメール送信

    送信者は普通にメールを送るだけです。パスワードを送る必要はありません。

  2. メール本文と添付ファイルの分離

    クラウドサービス(GUARDIANWALL MailConvert)上でメール本文と添付ファイルが分離されます。
    分離されたファイルはダウンロードサイトに格納されます。

  3. ダウンロード用URL付のメール

    メールには、ファイルダウンロード用のURLが自動で差し込まれ、受信者へ送られます。
    送信者は、添付ファイルの公開対象者・公開期間・ダウンロード回数などを設定できます。

  4. データのダウンロード

    受信者はURLをクリックしてデータをダウンロードします。
    その際にはワンタイムパスワードを取得することでデータをダウンロードすることができます。

メールからの情報漏えい対策に! メールセキュリティソリューション GUARDIANWALL Mailセキュリティ 詳しくはこちら

万一の誤送信対策

ファイルダウンロードの設定画面

万一誤送信に気付いた場合は、送信したファイルを削除することも可能です。
(図:ファイルダウンロードの設定画面)
誤送信は送信直後に気付くことが多いといわれていますが、上記の方法ではメール送信後に再度宛先を確認し、送信者自身でファイルを公開/非公開にするステップがあります。
送信者側でファイルを公開しない限り、受信者側はファイルをダウンロードすることはできません。
個人情報の取り扱いにおける事故において、メールの誤送信によるものが増加しており、2023年度は2,138件という調査結果が公表されています。完全な対処方法ではありませんが、少しでもリスクを減らすことは可能です。

出典:一般財団法人日本情報経済社会推進協会 2023年度「個人情報の取扱いにおける事故報告集計結果」について(PDF:332KB)

社員・職員へのメール訓練の実施

脱PPAP時代において、社員や職員に対するメール訓練の実施は、企業のセキュリティ対策を強化するために欠かせない取り組みです。訓練の一環としては、悪意のある添付ファイルやリンクを見分けるための疑似フィッシングメールの送付や、パスワード付き添付ファイルを使わない代替方法の徹底などが挙げられます。さらに、脱PPAPの具体的な対策についても訓練に組み込むことが推奨されます。例えば、信頼性の高いファイル転送サービスの利用方法や、暗号化された通信経路の活用方法について、実践的かつ段階的に学べるようなカリキュラムを構築することが効果的です。こうしたメール訓練は、単なる形式的なものではなく、日常業務に直結する実践的な内容であることが求められます。社員一人ひとりが適切なセキュリティ意識を持ち、メールに関わる危機管理能力を強化することにより、組織全体のセキュリティレベルを向上させるとともに、情報漏えいのリスクを大幅に低減することが可能になります。

まとめ

メールセキュリティの強化は、企業の社会的信用やデータの保護において大切です。これには、メールの暗号化、添付ファイルの安全な共有方法、標的型攻撃の防止策のほか、社員や職員へのセキュリティ教育まで幅広い取り組みが含まれます。
さらに、リスクのあるPPAP方式でのファイル添付は、今後減っていくと考えられます。
現行システムの入れ替えはハードルが高い部分がありますが、情報漏えいが起こってからでは取り返しがつきません。早めの対策をご検討ください。

おすすめソリューション

キヤノンマーケティングジャパングループでは、安心なメールセキュリティ対策を実現するためのメールセキュリティソリューションとして、「GUARDIANWALL Mailセキュリティ」をご提供しています。
クラウド型とオンプレミス型の動作環境に対応し、下記5つのラインアップで必要な対策を実現します。お気軽にお問い合わせください。

  • MailFilter(情報漏えい対策)
    メール本文や添付ファイルを検査し、必要に応じて削除や第三者確認などで情報漏えいを防ぎます。さらに特許取得済みの独自技術で個人情報を検知。よりセキュアな対策を実施します。
  • MailConvert(メール誤送信対策)
    添付ファイルのダウンロードリンク化、暗号化で万一のご送信時にもその被害を低減します。BCCで送るべき宛先をTOで送ってしまうご送信を宛先BCC変換機能で防ぐことも可能です。
  • MailArchive(監査対応強化)
    メールアーカイブでメールを一元的に保管します。分かりやすいUIで、監査業務を支援します。また、日々のメールに含まれる不適切なワードを検知。ハラスメントの予兆を見える化します。
  • Outbound Security for Microsoft 365(Microsoft 365向けメール誤送信対策)
    送信前確認と添付ファイルダウンロードリンク化の2つの機能で誤送信のリスクを低減。Microsoft365向けの簡単導入のサービスです。
  • Inbound Security for Microsoft 365(標的型攻撃対策/ウイルスメール・スパムメール対策)
    メールを介した社外からのさまざまな攻撃を仮想的にブロックします。

今すぐ読みたいおすすめ情報

会社の処方箋 一覧へ

ソリューション・商品についてのご相談・見積・お問い合わせ

キヤノンシステムアンドサポート株式会社

Webサイトからのお問い合わせ

導入にあたってのご相談、資料請求、見積依頼など、各種お問い合わせはフォームにて受け付けております。