PPAPをやめた後、何が起きた？ メール対策調査で見えた企業の迷い：メールセキュリティ対策状況に関する調査（2026年）／前編)

不審メールは従来のような明らかに不自然な文面ではなく、社内連絡や取引先とのやりとりに紛れ込むようになっている。企業では迷惑メール対策ソリューションの導入が進む一方、脱PPAPや従業員からの申告対応など、運用面の課題も残る。本稿では、145件の回答からメールセキュリティ対策の実態を読み解く。

[中村篤志，キーマンズネット]

　H&Iグローバルリサーチが2026年1月に発表した「メールセキュリティの日本市場（〜2035年までの市場規模）」によると、日本の電子メールセキュリティ市場は2025年の0.256億米ドルから2035年までに0.784億米ドルへ成長し、2025年〜2035年の年平均成長率は11.82％と予測されている。テレワークの定着や規制対応の強化を背景に、企業にとってメールセキュリティは引き続き重要な投資領域だ。

　一方で、対策製品を導入すれば問題が解決するわけではない。PPAP（ZIPファイルとそのパスワードを別のメールで送る手法）の禁止・制限やファイル送付手段の見直し、不審メールの検知、従業員からの申告対応など、現場では「何を入れるか」よりも「どう運用に落とし込むか」が問われている。本稿では、キーマンズネットが実施した「メールセキュリティに関するアンケート 2026年」（実施期間：2026年5月25日〜6月12日、回答件数：145件）を基に、企業におけるメールセキュリティ対策の導入状況と、運用面で見えてきた課題を取り上げる。

製品は入れた、でも止め切れない

　はじめに、迷惑メール対策ソリューションの導入状況を聞いたところ、「導入している」は69.7％だった。特に従業員数が1001人を超える企業では8〜9割に達しており、一定規模以上の企業では、迷惑メール対策ソリューションの導入が広く進んでいる様子がうかがえる。

　導入済みの企業に満足度を聞いたところ、「満足している」（25.7％）と「どちらかといえば満足している」（39.6％）を合わせて65.3％だった（図1-1）。おおむね肯定的に受け止められている一方で、不満の理由としては「操作性が悪いし誤送信も発生している」「迷惑メールがすり抜けてくる確率が多い」「正規のメールが弾かれる事案が多い」といった声もあった。

図1-1：迷惑メール対策ソリューションの満足度

　不満層は導入済み回答者全体の1割に満たないものの、これらのコメントは、メールセキュリティ対策が単なる導入有無の問題から、日々の業務に支障なく使えるか、誤検知やすり抜けにどう対応するかという活用フェーズに移っていることを示している。

　関連して、PPAPへの対応状況も聞いた。PPAPは、パスワード付きZIPファイルをメールで送り、別メールでパスワードを送る運用を指す。長くビジネス慣行として使われてきたが、近年はマルウェア対策や誤送信対策の観点から見直しが進んでいる。

　調査では、「PPAPの利用を制限していない」が39.3％で最多だった。一方、「PPAPは禁止されており、メールシステム上も利用できない」は17.9％にとどまった（図1-2）。また、「ルールはあるが、実態は部署や個人に任されている」（12.4％）、「PPAPは禁止されているが、メールシステム上は利用できる」（11.7％）という回答も一定数あった。

図1-2：PPAP対応状況

　この結果からは、脱PPAPの方針自体は広がりつつあるものの、システム制御や全社ルールとして定着している企業はまだ限られることが分かる。つまり、課題は「PPAPをやめるべきかどうか」ではなく、「禁止・制限した後の運用をどう全社で回すか」に移っている。

“脱PPAP後”の業務設計が次の壁に

　PPAPを禁止、または制限している回答者に、ファイル送付の代替手段を聞いたところ、「ファイル転送サービス」（45.6％）、「クラウドストレージの共有リンク」（42.6％）が上位に挙がった。続いて「セキュアファイル共有サービス」（19.1％）、「グループウェアや社内ポータルの共有機能」（16.2％）も選ばれている（図1-3）。

図1-3：脱PPAPでファイル送付の代替手段として利用しているもの（PPAPを禁止、制限している方が対象）

　一方で、「部署や個人に任されている」も11.8％あった。代替手段が複数に分かれること自体は、業務内容や相手先によって適した方法が異なるため、必ずしも問題ではない。ただし、ルールや判断基準が不明確なまま手段だけが増えると、現場ごとに運用がばらつき、かえって誤送信や確認漏れを招く可能性がある。

　フリーコメントでも、「運用的に縛っているだけなので、やろうと思えばできてしまう」「クラウドストレージの共有は全ての人がすぐに使えるわけではない」といった声があり、脱PPAPの難しさは技術そのものより、業務フローへの落とし込みにあることがうかがえる。

不審メールは7割が受信　問題は“怪しいメール”に見えないこと

　メールセキュリティの運用難易度が高まる背景には、メール攻撃の増加と巧妙化がある。

　直近1年間で、業務メールを装った不審メールや、取引先、社内関係者になりすましたメールを受け取ったことがあるかを聞いたところ、「何度もある」（29.0％）、「数回（1回以上）ある」（26.2％）、「受け取ったことはあるが、頻度は分からない」（13.8％）を合わせて69.0％が「ある」と回答した（図2-1）。

図2-1：直近1年間で不審メールやなりすましたメールを受け取ったことがあるか

　さらに、その中に自社、および自社の関係者を狙ったものと思われるメールが「あった」は50.0％、「分からない」は22.6％だった。不審メールを受け取った企業の中には、自社や関係者を狙った可能性があると見る回答も一定数存在した。

　直近1年間で感じた変化としては、「不審メールの文面が自然になり、見分けにくくなった」（59.7％）が最多だった。次いで「社内関係者を装うメールが増えた」（45.2％）、「偽サイトへの誘導が巧妙になった」（30.6％）、「取引先や顧客を装うメールが増えた」（27.4％）が続いた（図2-2）。

図2-2：メールを用いたサイバー攻撃やその対策について、直近1年間でどのような変化を感じたか（不審なメールを受け取ったことのある方が対象）

　ここで重要なのは、不審メールが単に増えているだけでなく、業務上の自然なやりとりに紛れ込む形で届いていることだ。従来のように、明らかに不自然な日本語や見慣れない送信元だけを警戒していればよい状況ではなくなっている。

社内連絡、評価、見積もり、LINE連絡――日常業務に入り込む攻撃

　実際に受信した不審メールの例を見ると、攻撃文面は日常業務や社内連絡の文脈に深く入り込んでいる。

　例えば、「【重要・総務部】近隣警察署からの指摘に基づく『歩行中の交通違反』に関する事実確認のお願い」「ハラスメント行為に関する相談・申立に伴う事実確認へのご協力依頼」「【マイナポータル】電子証明書の有効期限が近づいています」といった例があった。一般的なフィッシングメールよりも、社内手続きや公的サービスとの連携を想起させる文面であり、受信者に「確認しなければならない」と思わせやすい。

　また、「見積書を再度送っていただけないでしょうか」「会議予定を変更しましたのでご確認ください」「メール配信エラーのご報告」など、普段の業務で見慣れた表現も挙がった。こうしたメールは、忙しい時間帯や実際の業務と重なった場合、違和感を持たれにくい。

　社内関係者を装う例も目立つ。「発信元名が『人事総務部 佐藤』となっており、だまされかねないメールだった」「社長名でメールが届き、いかにも指示を出している風なメールであった」「社長名を用いたLINEグループ作成指示のメールは印象的だった」といったコメントからは、攻撃者が役職者や人事・総務といった“開封されやすい立場”を利用していることが分かる。

　さらに、「業務に必要なメールに容量が大きい添付ファイル付きのメールが届いた日に、メール容量が逼迫しているというメールが届いたのでリンクをクリックしたら訓練メールだった。タイムリー過ぎて驚いた」という声もあった。これは訓練メールの例だが、実際の攻撃でも、業務上のタイミングや心理的な焦りを突かれる可能性がある。

　不審メール対策では、単に「怪しいメールを開かない」と呼びかけるだけでは限界がある。日常業務に似た文面や、社内の実在しそうな部署・担当者名を使ったメールを前提に、確認手順や報告ルートを整えておく必要がある。

不審メールに気付くきっかけは「従業員からの申告」が最多

　では、企業は何がきっかけで不審メールに気付いているのか。不審メールを受け取ったことがある回答者に、気付いたきっかけを聞いたところ、「従業員からの申告」が61.3％で最多だった。「メールセキュリティ製品の検知」は29.0％だった（図3-1）。

　迷惑メール対策ソリューションの導入が進んでいるにもかかわらず、気付きの起点としては従業員からの申告が大きな役割を担っている。これは、製品が無効という意味ではない。むしろ、製品による検知と、従業員による違和感の共有を組み合わせることが、現実的な水際対策になっていると見るべきだ。

　ただし、従業員の注意力に頼り切る運用には限界がある。不審メールの事例共有や訓練、報告窓口の明確化、報告しても責められない雰囲気づくりなど、申告しやすい仕組みを整えることが重要になる。

図3-1：不審なメールに気付いたきっかけ※不審なメールを受け取ったことのある方が対象

実被害は限定的でも、油断できる状況ではない

　メール攻撃を受けたことがある回答者に、実際に発生した被害を聞いたところ、「特に被害はない」が83.9％で最多だった。続いて「情報漏えい」（9.7％）、「マルウェア感染」（4.8％）が挙がった（図3-2）。

　多くの企業では、メール攻撃を受けても実被害には至っていない。これは、セキュリティ製品や従業員の申告、社内ルール、訓練など、複数の対策が一定程度機能している可能性を示している。

　一方で、「システムの停止」（3.2％）や「自社のビジネスへの影響」（3.2％）といった回答もある。割合としては大きくないが、一度発生すれば業務継続や取引先対応に影響する可能性がある。被害が少ないから安全なのではなく、被害に至る前の段階でどれだけ検知し、報告し、封じ込められるかが問われている。

図3-2：メール攻撃によって発生した被害※不審なメールを受け取ったことのある方が対象

メールセキュリティの課題は「導入」から「運用」へ移っている

　前編では、メールセキュリティ対策の導入状況や脱PPAPの進捗、不審メールの受信状況、検知のきっかけ、実被害の有無を見てきた。

　調査結果から見えるのは、企業のメールセキュリティ対策が一定程度進んでいる一方で、課題の中心が「導入するかどうか」から「どう運用に落とし込むか」に移っていることだ。迷惑メール対策ソリューションは導入済みでも、すり抜けや誤検知への対応が必要になる。PPAPを禁止・制限しても、代替手段の使い分けや全社ルールが曖昧（あいまい）なら、現場任せの運用になりやすい。不審メール対策でも、製品による検知だけでなく、従業員からの申告が重要な役割を果たしている。

　攻撃メールについては明らかに怪しい文面ではなく、社内連絡や取引先対応、評価、見積もり、アカウント通知といった日常業務の文脈に入り込んでいる。だからこそ、メールセキュリティ対策は製品導入だけで完結しない。ルールや教育、申告フロー、代替手段の選定といった運用設計まで含めて、現場で回る形にする必要がある。

　後編では、企業が実際に取り組んでいるメールセキュリティ対策や、今後強化したい施策、運用定着に向けた課題を取り上げる。