PPAP - PPAP(パスワード付きZIP送付)
パスワード付き ZIP をメールで送り、別メールでパスワードを送る「PPAP」が危険な理由と、クラウドストレージへの移行方法を解説。
概念図
実例
典型的な PPAP: 同じメール経路でファイルとパスワードを送付
bash
1通目: 見積書.zip(パスワード付き)
2通目: パスワードは Abc123 です推奨される代替手段: クラウドストレージのアクセス権限付きリンク共有
bash
Google Drive → 共有 → ユーザーを指定 → リンクをコピーPPAP とは何か
PPAP とは、日本企業で広く行われてきたファイル送付方法の略称です。
| 文字 | 意味 |
|---|---|
| P | Password 付き ZIP ファイルを送る |
| P | Password を別メールで送る |
| A | Angoka(暗号化) |
| P | Protocol(手順) |
2020 年に平井デジタル大臣(当時)が中央省庁での PPAP 廃止を宣言し、民間企業でも見直しが加速しました。
しかし 2026 年現在でも多くの中小企業で慣習的に続いている のが実態です。
PPAP が危険な 4 つの理由
| # | 危険な理由 | 詳細 |
|---|---|---|
| 1 | 同じ経路で送付 | メールが盗聴されていれば、1 通目(ZIP)も 2 通目(パスワード)も同じ攻撃者に傍受される |
| 2 | 暗号化が弱い | ZipCrypto は 数分〜数時間で解読可能。AES-256 対応ツールもあるが受信側の環境が対応していないケースが多い |
| 3 | スキャン回避 | パスワード付き ZIP はメールゲートウェイのウイルススキャンを すり抜ける。Emotet 等のマルウェア配布手段として悪用されている |
| 4 | 誤送信リスク拡大 | 宛先を間違えると ZIP とパスワードの両方が誤った相手に届く。多くの場合 機械的に連続送信 しているため取り消し不可 |
クラウドストレージへの移行
PPAP の代替として最も推奨されるのが クラウドストレージのリンク共有 です。
| 方法 | メリット |
|---|---|
| Google Drive | 閲覧者を Google アカウントで限定可能。ダウンロード禁止・有効期限設定も可 |
| OneDrive / SharePoint | Microsoft 365 環境との親和性が高い。外部共有ポリシーを組織で管理可能 |
| Box | 企業向けセキュリティ機能が充実。アクセスログ・権限管理が詳細 |
クラウドストレージの利点: アクセス制御(特定ユーザーのみ)、有効期限、監査ログ、誤送信時の共有取り消し、アップロード時のマルウェアスキャン。
PPAP 廃止の進め方
| ステップ | 内容 |
|---|---|
| 1. 経営承認 | PPAP の危険性と政府方針を示し、廃止の承認を得る |
| 2. 代替導入 | 既存クラウドサービス(Google Workspace / Microsoft 365)で追加コストなく移行可能 |
| 3. ルール策定 | 「リンクを知っている全員」は禁止、外部共有リンクに 30 日以内の有効期限を設定 等 |
| 4. 社内周知 | 全社メールで廃止を通知し、操作マニュアルを配布。取引先にも案内文を送付 |
| 5. ゲートウェイ遮断 | 移行完了後、パスワード付き ZIP の送受信をメールゲートウェイでブロック |