メールの暗号化とは？仕組みの基礎から「脱PPAP」時代の最新セキュリティ対策まで

普段何気なく送っている業務メールですが、実はインターネットの世界において、メールは「ハガキ」と同じくらい無防備な状態でやり取りされていることをご存知でしょうか。

特別な対策をしていないメールは、通信経路の途中で悪意ある第三者に「盗聴」や「改ざん」をされてしまうリスクと常に隣り合わせです。さらに近年では、これまで日本のビジネスシーンで一般的だった「パスワード付きZIPファイル（いわゆるPPAP）」が、セキュリティの観点から「むしろ危険」とされ、政府や大手企業を中心に廃止する動きが加速しています。

この記事では、メール暗号化の基本的な仕組み（SSL/TLS、S/MIMEなど）をわかりやすく解説するとともに、最新のセキュリティトレンドを踏まえた「今、企業がとるべき具体的なメールセキュリティ対策」についてご紹介します。自社の情報を守るために、ぜひ最後までご覧ください。

電子メールの暗号化の大切さ

インターネット通信における脅威といえば「なりすまし」「盗聴」「改ざん」の3つが代表的です。

上記のような脅威の被害にあうと情報漏洩をはじめとした様々なトラブルに巻き込まれてしまいます。オープンなネットワークであるインターネットを使用するなら、くれぐれも情報セキュリティの脅威に注意する必要があります。

特に会社などで日頃から使用している「電子メール」では個人情報や社外秘の情報・データを保護するのは、社会的な義務でもあります。顧客情報を漏洩すると会社の信用問題に関わるだけでなく、場合によっては訴訟に発展してしまうケースもあります。

身近なツールだからこそ、セキュリティを万全にして取り扱うようにしましょう。

そもそも電子メールの暗号化とは？

電子メールの暗号化とは、これからご紹介するような方法を使って、電子メールを第三者によってアクセスされないように保護することを言います。

まずは、メールを含むデータを暗号化する方法として一般的に使われている「公開鍵暗号方式」と「共通鍵暗号方式」について、画像を使いながら解説していきたいと思います。後者は「秘密鍵暗号方式」とも言います。

詳しくは後述しますが、両者の違いは暗号化・復号化（暗号化されたデータを読める状態にする）する際に「公開鍵」と「共通鍵」のどちらを使用するかという点です。

詳しく解説していきましょう。

公開鍵暗号方式

公開鍵暗号方式は、「公開鍵」と「秘密鍵」と呼ばれる2つの鍵を利用してデータのやり取りを行う方法です。

公開鍵は、誰でも手に入れることができますが、秘密鍵は暗号化されたデータを復号化するときに使われる鍵でどちらも受信者が作成します。

公開鍵設定でメールを暗号化する流れを図解してみましょう。

秘密鍵を使って公開鍵を作ることで、暗号化されたデータを復号化することができるのは、秘密鍵を持った人だけになるのが分かります。

公開鍵は常に公開状態にされていますが、秘密鍵は受信者が保管し他者には公開しません。

インターネットを通して暗号化されたデータが行き来することになるので、第三者に情報が漏洩しない仕組みになっています。

共通鍵暗号方式

共通鍵暗号方式は別名「秘密鍵暗号方式」とも呼ばれています。

名前が先述のものと似ていますが、「共通鍵暗号方式」では「共通鍵」のみでデータを暗号化・復号化します。

2つの鍵を使う「公開鍵暗号方式」とは違い「共通鍵」のみでデータの暗号化・復号化を行うので鍵の管理が非常に大切になります。

また、公開鍵暗号方式と比較すると、暗号化する手間が少ない分、低コストでデータの暗号化ができるのが特徴の一つです。

電子メールを暗号化する方法

実際に電子メールを暗号化するにはどのような方法が用いられているのかを解説したいと思います。

メールの暗号化には後述する「SSL・TLS方式」や「PGP・S/MIME」といったプロトコルが用いられています。

それぞれのプロトコルがどのように電子メールの保護に使われているのか、特徴も含めて、解説をしていきたいと思います。

SSL・TLS方式

TLS（Transport Layer Security）とは2020年現在、インターネットで安全に通信をするために、データを暗号化するため、最も一般的に使われているプロトコルで「共通鍵暗号設定」と「公開鍵暗号設定」の両方を組み合わせて暗号化しています。

TLSは、以前データの暗号化に使われていたプロトコルであるSSL（Secure Sockets Layre）の欠陥を補うために開発されたものですが現在は元々使われていた「SSL」もしくは「SSL・TLS」のような記載や呼称をします。したがってこの記事でも「SSL」と記載します。

SSLによる暗号化はメールだけでなくWebサイトでも行われており、SSLによって暗号化されているWebサイトは「https:」と表示されているので簡単に見分けることができます。

実際にどのような流れでSSLがデータを暗号化しているのか図解していきましょう。

手順としては、以下の流れになります。

1. ブラウザ：SSL通信をリクエスト
2. サーバー：SSLサーバー証明書を送信
3. ブラウザ：証明書の公開鍵で共通鍵を暗号化しサーバーに送信
4. サーバー：受け取った共通鍵に秘密鍵を使って復号化
5. 一致した共通鍵で暗号通信を行う

SSLサーバー証明書とは、ブラウザとウェブサーバー間で通信データの暗号化を行うための電子証明書のこと。SSLを利用しているWebサイトの所有者（運営会社）の確認やセキュリティの堅牢性が客観的に高いことの証明ができる。

先述の通りSSLはメールの暗号化にも活用されています。

メールの送信に使われるプロトコルであるSMTPや受診時のプロトコルであるPOPの通信では通常、暗号化がされていないので、第三者によるメールの盗聴などの被害が発生する可能性があります。SSLはメールそのものを暗号化するPGPとは違い、通信を暗号化しているのが特徴です。

SMTPやPOPに関する詳しい解説は以下の記事をご覧ください。

【初心者向け】メール送受信の仕組みについて解説！SMTP、POP、IMAP、DNSとは？

SSLを導入することでメールを暗号化し、安全なメールのやりとりが可能になります。

PGP・S/MIME方式

PGP（Pretty Good Privacy）とS/MIME（Secure/Multipurpose Internet Mail Extensions）はメールの暗号化と電子署名に使われており、SSLと同じく「共通鍵暗号方式」「公開鍵暗号方式」を使っています。

通信そのものを暗号化しているSSLとは違いPGPとS/MIMEはメールを暗号化することで、第三者からの脅威から情報を保護しています。PGPとS/MIMEの違いはメールの暗号化・復号化する際に使われる「公開鍵」の扱いです。PGPの公開鍵には「Web of trust（信用の輪）」という考えが適応されています。

「Web of trust（信用の輪）」を用いることで、すでになんらかの方法で本人確認が済んでおり、第三者によって署名されている公開鍵はある程度は信用できるものとして扱うことができ、後述するS/MIMEよりも簡単に公開鍵を正当性を証明することができます。

しかし、S/MIMEのように信頼のある認証局を通じて証明されているわけではないので、公開鍵の正当性に関しては不十分な部分があります。一方、S/MIMEは公開鍵の正当性を、公開鍵証明書認証局（認証局）と呼ばれるデジタル証明書を発行する機関を使って証明します。

より信頼度を高めるためにも、商用の認証局が利用されることが多いので、より信頼できる公開鍵になりますが、コストがかかってしまうのが難点です。以上のような特徴から、メルマガのように不特定多数の方へ向けて情報を発信する場合などには信頼性の高いS/MIMEが使われていることが多いです。

「パスワード付きZIP（PPAP）」はもう古い？変化するメール暗号化の常識

これまで日本のビジネスシーンではセキュリティ対策の一環として「パスワード付きZIPファイルを送り、その後に別メールでパスワードを送る」という手順、いわゆるPPAPが広く行われてきました。

しかし2020年11月に内閣府がこの運用を廃止する方針を発表したことを皮切りに、現在では多くの民間企業がPPAPの利用を禁止する方向に舵を切っています。かつてはマナーとさえ言われたこの手法がなぜ今「セキュリティリスク」として敬遠されているのか、その背景にある具体的な理由を解説します。

なぜPPAPは廃止されつつあるのか（ウイルスチェックのすり抜け問題）

PPAPが危険視される最大の理由は、企業のゲートウェイで行われるウイルスチェックをすり抜けてしまう点にあります。ZIPファイル自体が暗号化されていると、セキュリティソフトはファイルの中身をスキャンして安全性を確認することができません。この仕組みを悪用し、パスワード付きZIPファイルの中にEmotet（エモテット）などのマルウェアを潜ませて攻撃メールを送りつける手口が急増しました。

受信者は「パスワードがかかっているから安全なファイルだ」と誤認して解凍してしまい、結果としてウイルス感染を引き起こす事例が後を絶たないため、セキュリティ専門家の間ではPPAPはむしろ有害な慣習であるとの認識が定着しています。

受信側でメールが拒否される？高まるセキュリティリスク

こうした背景から大手企業や官公庁を中心に「パスワード付きZIPファイルが添付されたメールは一切受信せずにサーバー側で自動的に削除する」という強固な対策をとる組織が増えています。つまり良かれと思って暗号化ZIPを送ったとしても、相手にはメール自体が届いておらず重要なビジネス連絡が遮断されてしまうリスクがあるのです。

送信側としてはセキュリティ対策をしているつもりでも、受信側にとっては「検知できない不審なファイル」を送ってくる相手と見なされかねず、企業の信用問題にも発展する可能性があります。

脱PPAP時代の新しいファイル共有・暗号化対策

PPAPが廃止されたからといってファイルをそのまま添付して送ることが正解というわけではありません。重要なのは「利便性を損なわずに安全性を確保する」という新しいスタンダードに移行することです。ここでは現代のビジネス環境で推奨される、脱PPAP後の具体的かつ効果的なセキュリティ対策とファイル共有方法について紹介します。

通信経路を暗号化する「TLS（SSL）」の標準化

ファイルそのものを暗号化するのではなく「メールが通る通信経路」全体を暗号化して盗聴を防ぐ技術がTLS（Transport Layer Security）です。かつてはSSLと呼ばれていましたが現在はより安全なTLSが主流となっています。

TLSに対応したメールサーバー同士であれば、配送途中で第三者がメールを傍受しようとしても内容は暗号化されており解読できません。GmailやOutlookなどの主要なメールサービスはもちろん、ブラストメールのようなメール配信システムでも標準でSTARTTLSに対応しているケースが多く、受信側が対応していれば特別な設定なしに自動的に通信が暗号化されます。まずは自社のメール環境がTLSに対応しているかを確認することが基本の対策となります。

添付ファイルは「クラウドストレージ」や「ダウンロードリンク化」で送る

メールに直接ファイルを添付するのではなく、ファイルをクラウド上の安全な場所にアップロードし、その「ダウンロード用URL」をメール本文に記載して送る方法が現在の主流です。この方法には従来の添付ファイル送信にはない多くのセキュリティメリットがあります。

実際に私たちのようなベンダーの視点でも、お客様から「ファイルは添付ではなくダウンロードURLで送ってほしい」と指定されるケースが急増しており、ビジネスにおけるファイル共有の常識は確実に変化しています。

BoxやGoogleドライブなどのクラウドストレージを活用するか、メール配信システムに備わっている添付ファイルの自動ダウンロードリンク化機能を利用することで、安全かつスマートな情報の受け渡しを実現しましょう。

非暗号化メールの抱えるリスク

暗号化されていないメールは常に第三者からの「なりすまし」「盗聴」「改ざん」と言った脅威に晒されていると言っていいでしょう。例えば、「なりすまし」を利用した被害にはフィッシング詐欺やウィルス感染などがあり、昨今の電子メールに関する大きな問題点となっています。

メルマガの配信などで、多くのお客様の個人情報を取り扱う企業では、それらの脅威からお客様の個人情報を保護するメールの暗号化はマストの事項です。

もし、メールの暗号化をしなかった場合どんなことが起こるのでしょうか。
過去の事例を参考に確認してみましょう。

個人情報流出

暗号化されていないメールでお客様の情報や、仕事で関わる関係者の情報をやりとりしてしまうと、個人情報を流出してしまう恐れがあります。個人情報の流出は「なりすまし」や「改ざん」からも発生しますが直接的には、メールを第三者に覗かれる「盗聴」による被害が多いです。

ネットショッピングが普及した現在は、メールやサイトを通じてクレジットカードの情報や電話番号などを入力する機会が増えています。実際にECサイトや配信しているメルマガなどからこれらの個人情報を流出してしまった例が多数報告されており、企業の信頼が揺らいでしまう大問題へと発展しています。

メール内容の改ざん

メールの暗号化をしないことで、送信したメールや添付しているファイルの内容が改ざんされる可能性が高まります。

過去の事例としては、取引先へ送った電子メールが改ざんされた結果、指示した口座とは違う口座へと入金が誘導され、受領すべきお金を騙し取られてしまったというものがあります。

もちろんメールにアクセスされているのでお客様の個人情報が流出するリスクも非常に高くなります。

メール一斉送信ならメール配信システムを活用する

ここまで、メールにおけるセキュリティリスクとその対策について解説してきました。個別のやり取りにおける暗号化も重要ですが、メルマガ配信や社内一斉通知など「多数の宛先へメールを一斉送信する」シーンでは、人為的なミスによる情報漏洩リスクが跳ね上がります。

そこで推奨されるのが、一般的なメールソフト（OutlookやGmailなど）ではなく、「メール配信システム」を活用することです。

メール配信システムを使うメリット

メール配信システムを導入することは業務効率化だけでなく、セキュリティ対策の観点からも非常に大きなメリットがあります。

おすすめのメール配信システム「ブラストメール」

数あるメール配信システムの中でも、セキュリティと使いやすさのバランスに優れ、多くの企業に選ばれているのが「ブラストメール（blastmail）」です。

15年連続シェアNo.1の実績 ブラストメールは契約社数27,000社以上を誇る、日本で最も使われているメール配信システムです。官公庁や大手企業から中小企業まで幅広く導入されており、その信頼性の高さが伺えます。

セキュリティ対策は「何かあってから」では遅すぎます。メール配信における安全性を確保し、企業の信頼を守るためにも、ぜひブラストメールの導入を検討してみてはいかがでしょうか。

公式サイト：シェア1位のメール配信システム「ブラストメール」

まとめ

普段何気なく使用している電子メールですが、インターネットを利用している以上、「なりすまし」「盗聴」「改ざん」と言った第三者からの脅威があることを忘れてはいけません。メールでお客様の個人情報をやり取りを行う場面では、これらの脅威に対しては万全の対策が必要になってきます。

大勢のお客様へ向けてメールを配信するメルマガの営業でメール配信サービスなどを利用する場合は、通信速度などの機能面だけでなく、信頼できるセキュリティを兼ね備えたサービスかも確認するようにしましょう。

ブラストメールでは「STARTLS」という暗号化技術を標準装備しているため、高い配信率と信頼できるセキュリティを確立し、契約いただいている企業様の情報を保護しています。

また、「STARTLS」によって配信されたメールは一般的にセキュリティが厳しいと言われているGmailのメールサーバへも心配なく配信できるのも特徴の一つです。Gmailは、2024年より送信者ガイドラインを大幅に厳格化しました。1日5,000件以上のメールを送る企業に求められる具体的な要件や対策については、以下の解説記事を必ずご確認ください。

 

【2025年11月更新】2024年2月よりGmailガイドラインが変更！1日5,000件以上の配信は対応必須！

2023年10月、Gmailのメール送信者ガイドラインがアップデートされました。 Google公式：メール送信者のガイドライン このガイドライン…