「脱PPAP」は待ったなし!ランサムウェア対策からツール選定まで、今知っておくべき3つの重要ポイント

私たちクラウドサービス推進機構(CSPA)でクラウドサービスの認定を行っている株式会社ハートビーツより、企業の経営者およびセキュリティ担当者の皆様へ、極めて重要な提言が発信されました。

近年、ビジネスの現場で「脱PPAP(パスワード付きZIPファイルの廃止)」という言葉を耳にする機会が増えました。しかし、これを単なる「流行りのマナー」程度に捉えていないでしょうか? 実は、PPAPの廃止は、企業の存続を左右する重大なセキュリティ対策そのものなのです。

今回は、ハートビーツが運営するメディア「kozutumi」から、現代の企業が直面している「3つの危機と解決策」について、詳細に解説した記事をご紹介します。なぜ今すぐ対策が必要なのか、社会はどう動いているのか、そして具体的にどうすればいいのか。それぞれのテーマを深掘りしていきましょう。

1. その「メール添付」が命取りに? 中小企業こそ狙われるランサムウェアの脅威と実例

まず最初にご紹介するのは、昨今猛威を振るっている「ランサムウェア」の現実と、その入り口となってしまうメール添付ファイルの危険性についてです。

「うちは大企業ではないから、ハッカーに狙われるような機密情報はない」 そう考えている中小企業の経営者様は少なくありません。しかし、現在のサイバー攻撃のトレンドは、セキュリティ対策が堅牢な大企業を直接攻撃するのではなく、その取引先である中小企業や関連会社を「踏み台」にして侵入する「サプライチェーン攻撃」へとシフトしています。

2025年、日本を代表する企業であるアサヒグループホールディングスやアスクルが、相次いでランサムウェア攻撃の被害に遭いました。 アサヒグループホールディングスの事例では、9月の攻撃発生からシステムの完全復旧まで2ヶ月以上を要し、決算発表の延期という前代未聞の事態に追い込まれました。また、アスクルの事例では、Webサイトや物流システムがダウンし、最大約74万件もの情報流出の可能性が指摘されています。

特筆すべきは、これらの被害が「基幹システムの停止」を招き、営業活動そのものをストップさせてしまった点です。一度侵入を許せば、ビジネスが止まり、復旧に莫大なコストと時間を要する。これがランサムウェアの恐ろしさです。

では、なぜこれほどの大企業が侵入を許してしまったのでしょうか? 侵入経路の一つとして強く懸念されているのが、日本独自の商習慣である「PPAP(パスワード付きZIPファイル)」です。従来のウイルス対策ソフトは、中身が暗号化されたZIPファイルの中身をスキャンすることができません。攻撃者はこの仕組みを悪用し、暗号化されたファイルの中にマルウェア(Emotetなど)を潜ませてメールで送りつけてくるのです。「パスワードを知っている人しか開けない」というセキュリティのための仕組みが、皮肉にも「ウイルスチェックをすり抜けるための隠れ蓑」として利用されているのが現実です。

この記事では、実際に起きた被害事例を時系列で詳しく分析するとともに、なぜPPAPがランサムウェアの温床となるのか、その技術的なメカニズムを解説しています。さらに、中小企業がサプライチェーン攻撃の加害者にならないために、今すぐ取り組める具体的な対策として、ハートビーツ社が提供するソリューション「Kozutumi」の有効性についても触れています。

▼ アサヒGHD・アスクルの事例から学ぶ、詳細な分析と対策はこちらの記事でご確認ください

アサヒGHD・アスクルの事例に学ぶ、中小企業が今すぐ取り組むべき「脱・メール添付(PPAP)」のランサムウェア対策

2. なぜPPAPは「禁止」されるのか? 政府決定と大手企業の「受信拒否」という現実

次にご紹介するのは、PPAPを取り巻く「社会的・政治的な動き」の変化についてです。 かつては日本のビジネスシーンで「セキュリティ対策の基本」として推奨されてきたパスワード付きZIPファイルですが、現在は「百害あって一利なし」として、明確に禁止する動きが加速しています。

この流れが決定的になったのは、2020年11月です。当時の平井卓也デジタル改革担当大臣が、内閣府および内閣官房において「自動的に暗号化ZIPファイルを送信する運用(PPAP)」を廃止すると公式に発表しました。政府が公式に「効果が薄く、利便性を損なう」と認めたことで、IT業界のみならず、日本全体で脱PPAPの動きが一気に進みました。

さらに衝撃的だったのは、民間企業の対応の早さと厳格さです。 ソフトバンク、双日、日清食品ホールディングスといった日本を代表する大手企業49社が、次々と「脱PPAP」を宣言しました。ここで重要なのは、これらの企業が単に「自社からZIPファイルを送るのをやめた」だけではないという点です。彼らは、取引先から送られてくる「パスワード付きZIPファイルの受信」自体をセキュリティリスクと見なし、受け取りを拒否、あるいはゲートウェイで自動削除する運用に切り替えています。

つまり、PPAPを使い続けている企業は、セキュリティ意識が低いと見なされるだけでなく、大手企業とファイルをやり取りすることすらできなくなる「ビジネス上の排除」を受けるリスクに直面しているのです。実際に、「見積書をZIPで送ったらブロックされて届かず、失注してしまった」という笑えない事例も発生し始めています。

技術的な観点からも、PPAPには以下の3つの致命的な欠陥があると記事では指摘しています。

  • ウイルススキャンができない:前述の通り、暗号化によりゲートウェイでのチェックをすり抜けてしまいます。
  • セキュリティ強度が低い:メールでファイルを送り、同じメール経路でパスワードを送るのは、「家のドアに鍵をかけ、その鍵を玄関マットの下に置く」のと同じです。通信経路が盗聴されれば、両方とも盗まれてしまいます。
  • 誤送信を取り消せない:一度メールを送ってしまえば、あとからアクセス権を剥奪することができません。

この記事では、2026年に向けてさらに加速するであろう規制の動きと、PPAPに代わる「データ境界」を意識したセキュリティの考え方について、政府や大手企業の動向を交えて詳しく解説しています。

▼ 政府・大手企業の動向から読み解くリスクと代替案の詳細はこちらの記事をご覧ください

【2026年版】なぜPPAPは禁止されるのか?政府・大手企業の動向から読み解くリスクと代替案

3. 「じゃあ何を使えばいいの?」 無料ツールはNG! 失敗しないファイル転送サービスの選び方

最後にご紹介するのは、PPAP廃止後の「代替手段」選びにおける具体的なガイドラインです。 「ZIPファイルがダメなら、どうやってファイルを送ればいいのか?」 この問いに対して、多くの企業が直面するのがツール選定の悩みです。

「とりあえずGoogle DriveやDropboxのリンクを送ればいいのでは?」 「無料のファイル転送サービスを使えばコストもかからないのでは?」 そう考える方も多いかもしれませんが、企業が業務で利用する場合、そこには大きな落とし穴があります。

まず、「オンラインストレージ(Google Driveなど)」と「ファイル転送サービス」は、利用目的が明確に異なります。オンラインストレージは、社内チームでの「長期的な保管・共同編集」には適していますが、社外との一時的な受け渡しに利用すると、アクセス権の設定ミスによる情報漏洩や、退職者がアクセス権を持ち続けるといった管理上のリスクが発生します。一方、ファイル転送サービスは「渡す」ことに特化しており、ダウンロード期限や回数制限を設定できるため、社外との「データ境界」を安全に管理するのに適しています。

また、最も注意すべきは「無料のファイル転送サービス」の業務利用です。 無料サービスの多くは、送信したファイルのログ(誰がいつダウンロードしたか)が残りません。万が一情報漏洩事故が起きた際、原因を特定することも、監査に対応することもできず、企業としての説明責任を果たせなくなります。また、誤って送信した場合の「取り消し機能」がないことも多く、一度送ったら最後、回収不能というリスクはPPAPと変わりません。

この記事では、企業向け(BtoB)のファイル転送サービスを選ぶ際に必ずチェックすべき「6つの選定ポイント」を提示しています。

・セキュリティ(ウイルススキャン、暗号化)
・証跡・ガバナンス(監査ログ、承認ワークフロー)
・法令適合性(個人情報保護法への対応)
・対応アカウント数・容量
・操作性(取引先に負担をかけないか)
・パフォーマンス

特に、2025年5月には金融庁も金融機関に対してPPAPの見直しを要請しており、セキュリティ基準は年々厳格化しています。単に「送れればいい」ではなく、企業として「守れるか」を基準にツールを選ぶ必要があります。 記事内では、ハートビーツ社の「Kozutumi」を含む主要なサービスの比較や、自社に合ったプランの選び方まで、実務担当者が知りたい情報が網羅されています。

▼ 脱PPAPまで完全ガイド!企業向けサービスの選び方と比較表はこちらの記事で詳しく解説しています

【2026年版】ファイル転送サービスとは?脱PPAPまで完全ガイド|企業向け選び方・比較表

まとめ

今回ご紹介した3つの記事を通じて、PPAPの問題点が単なる「ツールの使い勝手」の話ではなく、「企業の信頼」と「事業継続性」に関わる経営課題であることがお分かりいただけたかと思います。

株式会社ハートビーツは、サーバー管理やセキュリティ対策のプロフェッショナル集団であり、その知見を結集して開発された「Kozutumi」は、PPAPの代替として最適解の一つと言えます。

「まだ大丈夫」と思っている間に、取引先から接続を拒否されたり、ランサムウェアの被害に遭ったりしてからでは遅すぎます。ぜひこれらの記事を参考に、貴社のセキュリティ対策を今一度見直し、安全で円滑なビジネス環境を構築してください。