第22回テーマ「メール誤送信」

メール誤送信で情報漏えい。そんなケアレスミス、防げないの？

メールは社内外の連絡に欠かせないものになっている。中村も1日に仕事のメールだけで数十通をさばく。ただ、あまりにもそれが当たり前になっているぶん、会社の内部情報が漏れるかもしれないというリスク評価を踏まえた上でのセキュリティ対策がおざなりになっていないか――と、中村はときどき思うことがある。ただ情報漏えい防止対策の重要度でいえば、他にもやらなければならないことが山積みで、メールについてはつい後回しになっているというのが現状だ。

「そういえば思い出したくないが、後輩のA君に以前、『先輩、間違って別のお客さんに関係のない仕事のメールを送っちゃいました。どうしましょう？』と相談されたことがあったな。大したメールじゃなかったから大事に至らなかったけれど、そのとき、メールの誤送信についてもいずれはなにか対策を打たなくちゃと思ったんだよ」

と、久しぶりに総務部の加藤彩とランチをとっているときに、そんな話題になったのだ。

「でも、メール誤送信って個人が気をつければいいことじゃないですか。私だって、いつも送信ボタンをクリックする前に宛先に間違いがないか、チェックしていますよ。メールは書いたらすぐに送らず、一呼吸おいて再度内容や宛先を確認してから送るというのは、社会人の常識！」と、加藤は自慢げに言う。

「みんなが加藤さんのように慎重だといいんだけれどね」

「あっ、でもこの前、私、ミスっちゃったことがあった！ メーラーにアドレスの最初の数文字を入れると、オートコンプリートっていうんですか、自動入力でその後を補完してくれる機能があるじゃないですか。私のメールのアドレス帳には頭の数文字が同じ人が2人いて、候補を2つ出してくれたんだけれど、つい違う人の方に送っちゃったんです。すぐに気づいてお詫びのメールをしたけれど、自動入力機能もそれに依存すると危ないなとそのとき思いました」

「便利な機能も使う側の人間次第ってことだよね。こうしたケアレスミスを何らかのシステムで未然に防ぐことができれば、それが一番いいんだけれど」と、中村は考えるのだった。

メール誤送信とは、企業側から顧客や取引先にメールを送信する際に、誤ったアドレスに送信してしまうこと。メールの内容に機密情報が含まれていたりすれば、企業にとって信頼を毀損したり、実害が発生するなど大きなダメージになる。

JNSA（日本ネットワークセキュリティ協会）の調査によると、企業の情報セキュリティ分野で発生する問題のうち、電子メールの誤送信が原因となっているものは少なくなく、メール誤送信の発生確率は年間で10％を超えるというデータもある。

「そもそも、メール誤送信ってなぜ起こるんでしょうかね」

加藤がいい質問をしてくれた。

「メールって、文面の作成からアドレスの入力、送信という一連の作業が全て個人で完結してしまうだろう。他の人間によるクロスチェックが効かないことが多いからね」

「でも、ウチが使っているメーラーは、送信時に一度確認画面が現れて、それにOKしないと送信できないじゃないですか。それは歯止めにならないのかしら」

「みんな、忙しいからね。そもそもアドレスが間違っているとは思っていないから、無意識のうちにOKボタンを押しちゃうんじゃないかな」

「それを、防ぐ手立てが必要っていうことですよね」

二人は、個人的な習慣づけなどの対策には限界があるという前提で、システムとしてメール誤送信を防ぐものがあるかどうかを調べてみることにした。

最近は、故意や不注意によるメール誤送信を防止する機能を強化したメールサービスが増えている。メールをサーバで一定期間保管し、その間に間違いへの気づきを促すもの。あるいは、上長などの第三者の内容承認がないと外部に送信できないようにするものもある。たしかに手間はかかるが、人的な二重チェックが働くことで誤送信は少なくなるはずだ。

「それでも誤送信が起こるとするなら、たとえ誤送信されても秘密が漏れないような仕組みを考えるべきだね」

「そんなこと、できるんですか」

「暗号化をすればできるみたいだよ。うちの会社は1人で情シスをみている状態だろ？ メールシステムまでなかなか管理するのは難しいからクラウド型で色々調べてみたんだ」

「楽をしようというわけですね」。加藤がニヤニヤして合いの手を入れてきた。

「まぁ、その通りなんだけどね。えっと続けると、もし万が一、誤送信しても、メール本文や添付ファイルが自動的に暗号化されていれば、それを復号化するキーを一緒に送っていない限り安全なんだよ。サーバを電子メールが通過する際に、添付資料を自動でZIP暗号化する機能をもつメールシステムがあるみたいで、ZIPファイルを解凍するためにはパスワードが必要で、それは別送される。そのとき、送信先の確認が求められるから、アドレスが間違っていたことに気づけるようになってるんだよ」

「なるほど～」と言いながら加藤は中村が教えた情報で早速検索を始めた。

「他にも、ToやCcで同報するメールアドレスが多いときに、アドレスを自動的にBccに変換してくれるものもあるようですね。これは誤送信というより、一斉配信の際に大量の宛先アドレス情報が漏えいすることを防止できるみたい」

問題はこれらの誤送信対策の施されたメールシステムに、どうやって移行するかだ。

「様々なメールソフトに対応していて、自社のメール環境を変えずに利用可能できるものもあるね。これなら改修コストは少なくて済む」

「でもこの際、思い切って、メール誤送信防止や添付ファイルの自動暗号化をクラウド上でやってくれるようなメールサービスに移行しちゃうってのも手じゃないですか」

「うん、移行時はちょっと手間かもしれないけれど、その後の運用は楽かもしれないな。特にウチのような会社にとっては」

悩むところではあるが、中村の心はあるクラウド型のメールセキュリティサービスの採用に傾きかけていた。

単に誤送信対策だけでなく、ウイルスチェック、スパムチェック、さらには標的型メール攻撃を検知する機能まで、一つのパッケージになって提供されているからだ。それぞれ専用のセキュリティ対策製品を導入するよりも、おそらくトータルなコストは安くつくはずだ。オンプレミスのサーバ運用ができる人材も他にいないことだし、この際、クラウド型のサービスを利用してみるか……。

「フムフム」。翌日、そのソリューションを解説するパンフレットを読みながら、中村はしきりに頷いていた。

パンフレットには、1人で情シスをみている担当者の心をくすぐるセールストークが並んでいる。

ただ、これらのサービスを利用するにしても、前提になるのは会社としての情報セキュリティポリシーだ。あくまでもポリシーが先で、そのポリシーに沿ってシステムを運用するというのが常道だからだ。メール誤送信による情報漏えいのリスクについて、あらためて社員に教育することも欠かせない、と中村は思案する。

と思いつつも、これらのサービスは多忙を極める情シス担当の中村にとってはできれば導入したい代物ばかりだ。

「これを入れたら、ずいぶん俺の仕事は楽になるなあ」と中村が独り言をつぶやくのを、そばにいた加藤は聞き逃さなかった。

（問題は、あのセキュリティ対策に疎い江窪社長をどう説得するかだわ。リスクマネジメントも経営者の責任ですよ、と言い放つのもありかもね。でも、これで中村さんの仕事が楽になるなら、私、全面的に協力してあげたいな）と、心に誓う加藤だった。

• USBデバイス接続などによる故意の内部漏えいについては対策をしている企業は多いが、不注意によるメール誤送信も同じくらい情報漏えいのリスクがある。
• 送信ボタンをクリックする前に宛先に間違いがないかをチェックするなど、メール利用のリテラシー向上のための継続的な教育は必要
• ただそれには限界があるため、システムとしてメール誤送信を防ぐ仕組みを考えるべき
• メール本文や添付ファイルの自動暗号化、パスワード別送機能などは有効性が高い
• これらの機能を現行のメールシステムにアドオン的に付加できるサービスもある
• ウイルス・スパムチェック、標的型攻撃対策など総合的にセキュリティを強化したクラウドサービスもある
• 導入・運用の経済的・人的コストを考慮して導入を検討すべきだ