情シス奮闘記 中小企業編
第22回テーマ「メール誤送信」
2018年12月
メール誤送信で情報漏えい。そんなケアレスミス、防げないの?
仕事に欠かせないメールだが、ちょっとしたケアレスミスが情報漏えいにつながることがある。例えば、メールの宛先を間違う誤送信だ。アミダ社でも誤送信が起こっているが、致命的な情報漏えいにはつながっていない。しかし、ケアレスミスとして放置しておくことはできない。誤送信はどうすれば防ぐことができるのか、情シス担当の中村和人はその対策をまとめることになった。
「間違って別のお客さんに関係のない仕事のメールを送っちゃいました」
メールは社内外の連絡に欠かせないものになっている。中村も1日に仕事のメールだけで数十通をさばく。ただ、あまりにもそれが当たり前になっているぶん、会社の内部情報が漏れるかもしれないというリスク評価を踏まえた上でのセキュリティ対策がおざなりになっていないか――と、中村はときどき思うことがある。ただ情報漏えい防止対策の重要度でいえば、他にもやらなければならないことが山積みで、メールについてはつい後回しになっているというのが現状だ。
「そういえば思い出したくないが、後輩のA君に以前、『先輩、間違って別のお客さんに関係のない仕事のメールを送っちゃいました。どうしましょう?』と相談されたことがあったな。大したメールじゃなかったから大事に至らなかったけれど、そのとき、メールの誤送信についてもいずれはなにか対策を打たなくちゃと思ったんだよ」
と、久しぶりに総務部の加藤彩とランチをとっているときに、そんな話題になったのだ。
「でも、メール誤送信って個人が気をつければいいことじゃないですか。私だって、いつも送信ボタンをクリックする前に宛先に間違いがないか、チェックしていますよ。メールは書いたらすぐに送らず、一呼吸おいて再度内容や宛先を確認してから送るというのは、社会人の常識!」と、加藤は自慢げに言う。
「みんなが加藤さんのように慎重だといいんだけれどね」
「あっ、でもこの前、私、ミスっちゃったことがあった! メーラーにアドレスの最初の数文字を入れると、オートコンプリートっていうんですか、自動入力でその後を補完してくれる機能があるじゃないですか。私のメールのアドレス帳には頭の数文字が同じ人が2人いて、候補を2つ出してくれたんだけれど、つい違う人の方に送っちゃったんです。すぐに気づいてお詫びのメールをしたけれど、自動入力機能もそれに依存すると危ないなとそのとき思いました」
「便利な機能も使う側の人間次第ってことだよね。こうしたケアレスミスを何らかのシステムで未然に防ぐことができれば、それが一番いいんだけれど」と、中村は考えるのだった。
メール誤送信はまずはセルフチェックで防ぐ
- 宛先は間違っていないか
- 件名は間違っていないか
- 本文と宛先、件名などに齟齬が生じていないかチェック!
- 添付ファイルは間違っていないか
- オートコンプリート機能を使ったら再度確認!
送信一時保留、本文・添付ファイルの自動暗号化など、システムとしてメール誤送信を防ぐ
メール誤送信とは、企業側から顧客や取引先にメールを送信する際に、誤ったアドレスに送信してしまうこと。メールの内容に機密情報が含まれていたりすれば、企業にとって信頼を毀損したり、実害が発生するなど大きなダメージになる。
JNSA(日本ネットワークセキュリティ協会)の調査によると、企業の情報セキュリティ分野で発生する問題のうち、電子メールの誤送信が原因となっているものは少なくなく、メール誤送信の発生確率は年間で10%を超えるというデータもある。
「そもそも、メール誤送信ってなぜ起こるんでしょうかね」
加藤がいい質問をしてくれた。
「メールって、文面の作成からアドレスの入力、送信という一連の作業が全て個人で完結してしまうだろう。他の人間によるクロスチェックが効かないことが多いからね」
「でも、ウチが使っているメーラーは、送信時に一度確認画面が現れて、それにOKしないと送信できないじゃないですか。それは歯止めにならないのかしら」
「みんな、忙しいからね。そもそもアドレスが間違っているとは思っていないから、無意識のうちにOKボタンを押しちゃうんじゃないかな」
「それを、防ぐ手立てが必要っていうことですよね」
二人は、個人的な習慣づけなどの対策には限界があるという前提で、システムとしてメール誤送信を防ぐものがあるかどうかを調べてみることにした。
最近は、故意や不注意によるメール誤送信を防止する機能を強化したメールサービスが増えている。メールをサーバで一定期間保管し、その間に間違いへの気づきを促すもの。あるいは、上長などの第三者の内容承認がないと外部に送信できないようにするものもある。たしかに手間はかかるが、人的な二重チェックが働くことで誤送信は少なくなるはずだ。
「それでも誤送信が起こるとするなら、たとえ誤送信されても秘密が漏れないような仕組みを考えるべきだね」
「そんなこと、できるんですか」
「暗号化をすればできるみたいだよ。うちの会社は1人で情シスをみている状態だろ? メールシステムまでなかなか管理するのは難しいからクラウド型で色々調べてみたんだ」
「楽をしようというわけですね」。加藤がニヤニヤして合いの手を入れてきた。
「まぁ、その通りなんだけどね。えっと続けると、もし万が一、誤送信しても、メール本文や添付ファイルが自動的に暗号化されていれば、それを復号化するキーを一緒に送っていない限り安全なんだよ。サーバを電子メールが通過する際に、添付資料を自動でZIP暗号化する機能をもつメールシステムがあるみたいで、ZIPファイルを解凍するためにはパスワードが必要で、それは別送される。そのとき、送信先の確認が求められるから、アドレスが間違っていたことに気づけるようになってるんだよ」
「なるほど~」と言いながら加藤は中村が教えた情報で早速検索を始めた。
「他にも、ToやCcで同報するメールアドレスが多いときに、アドレスを自動的にBccに変換してくれるものもあるようですね。これは誤送信というより、一斉配信の際に大量の宛先アドレス情報が漏えいすることを防止できるみたい」
メール関連のセキュリティ対策を一手に引き受けるクラウド型メールサービス
問題はこれらの誤送信対策の施されたメールシステムに、どうやって移行するかだ。
「様々なメールソフトに対応していて、自社のメール環境を変えずに利用可能できるものもあるね。これなら改修コストは少なくて済む」
「でもこの際、思い切って、メール誤送信防止や添付ファイルの自動暗号化をクラウド上でやってくれるようなメールサービスに移行しちゃうってのも手じゃないですか」
「うん、移行時はちょっと手間かもしれないけれど、その後の運用は楽かもしれないな。特にウチのような会社にとっては」
悩むところではあるが、中村の心はあるクラウド型のメールセキュリティサービスの採用に傾きかけていた。
単に誤送信対策だけでなく、ウイルスチェック、スパムチェック、さらには標的型メール攻撃を検知する機能まで、一つのパッケージになって提供されているからだ。それぞれ専用のセキュリティ対策製品を導入するよりも、おそらくトータルなコストは安くつくはずだ。オンプレミスのサーバ運用ができる人材も他にいないことだし、この際、クラウド型のサービスを利用してみるか……。
「フムフム」。翌日、そのソリューションを解説するパンフレットを読みながら、中村はしきりに頷いていた。
パンフレットには、1人で情シスをみている担当者の心をくすぐるセールストークが並んでいる。
- ウイルス・スパム・標的型メール攻撃の検知・防御といった受信時の対策から、メール誤送信対策といった送信時の対策まで包括的なメールセキュリティ対策を実現します!
- クラウドサービスとして提供するため、導入決定から稼働まで短期間で構築可能です!
- 24時間365日、お客さまからのお問い合わせを受け付けるほか、担当者によるお客さまのメールセキュリティ環境の運用支援を行います!
- サービスで検知した攻撃状況を月次レポートで提供します!
ただ、これらのサービスを利用するにしても、前提になるのは会社としての情報セキュリティポリシーだ。あくまでもポリシーが先で、そのポリシーに沿ってシステムを運用するというのが常道だからだ。メール誤送信による情報漏えいのリスクについて、あらためて社員に教育することも欠かせない、と中村は思案する。
と思いつつも、これらのサービスは多忙を極める情シス担当の中村にとってはできれば導入したい代物ばかりだ。
「これを入れたら、ずいぶん俺の仕事は楽になるなあ」と中村が独り言をつぶやくのを、そばにいた加藤は聞き逃さなかった。
(問題は、あのセキュリティ対策に疎い江窪社長をどう説得するかだわ。リスクマネジメントも経営者の責任ですよ、と言い放つのもありかもね。でも、これで中村さんの仕事が楽になるなら、私、全面的に協力してあげたいな)と、心に誓う加藤だった。
今回のポイント
- USBデバイス接続などによる故意の内部漏えいについては対策をしている企業は多いが、不注意によるメール誤送信も同じくらい情報漏えいのリスクがある。
- 送信ボタンをクリックする前に宛先に間違いがないかをチェックするなど、メール利用のリテラシー向上のための継続的な教育は必要
- ただそれには限界があるため、システムとしてメール誤送信を防ぐ仕組みを考えるべき
- メール本文や添付ファイルの自動暗号化、パスワード別送機能などは有効性が高い
- これらの機能を現行のメールシステムにアドオン的に付加できるサービスもある
- ウイルス・スパムチェック、標的型攻撃対策など総合的にセキュリティを強化したクラウドサービスもある
- 導入・運用の経済的・人的コストを考慮して導入を検討すべきだ
登場人物
- アミダ社:社員50人あまりの機械部品製造業。関東に本社・部品工場。中国に提携する下請けメーカーがある
- 中村 和人:総務部所属。情シスを1人で取り仕切っている。入社11年目
- 江窪 満:アミダ社の社長。2代目だからか、どこかのんびりしているところがある
- 仙道 淳:営業職の社内ユーザー。トラブルをよく起こす社員
- 海田 大輔:外部のシステム会社のSE。中村の友人
- 加藤 彩:総務部の女性社員。陰ながら中村をサポートしている
- 早田 昌司:入社4年目。生産部門と情報部門を兼任しながら、情報セキュリティ専門家への一歩を踏み出す
*文中の氏名・社名はいずれも実在するものではありません
情シス奮闘記 中小企業編
- 第1回 テーマ「セキュリティ教育」
- 第2回 テーマ「サイバー攻撃」
- 第3回 テーマ「SNS利用編」
- 第4回 テーマ「改正個人情報保護法」
- 第5回 テーマ「働き方改革」
- 第6回 テーマ「ランサムウェア」
- 第7回 テーマ「シャドーIT」
- 第8回 テーマ「BYOD」
- 第9回 テーマ「IT資産管理」
- 第10回 テーマ「顔認証」(前編)
- 第11回 テーマ「顔認証」(後編)
- 第12回 テーマ「IoT」(前編)
- 第13回 テーマ「IoT」(後編)
- 第14回 テーマ「サイバーセキュリティ経営ガイドライン改訂」
- 第15回 テーマ「企業間データ提携」
- 第16回 テーマ「セキュリティ人材育成」
- 第17回 テーマ「OS移行(Windows 10)」
- 第18回 テーマ「ビジネスメール詐欺」
- 第19回 テーマ「Webサービスからの個人情報窃取」
- 第20回 テーマ「内部不正」
- 第21回 テーマ「無線LAN」
- 第22回 テーマ「メール誤送信」