テレワーク中心となり、今まで以上に外部との連絡窓口として利用されている“メール”について。
2020年代になった現在も、誤送信によるメール・添付ファイル経由の情報漏えい事故はなくなることなく、軽微なものから重大インシデントまで多くの事故が発生しています。
そこでこの記事では、CPIスタッフがメール誤送信によるリスクや原因と対処法について、メール・メールセキュリティ専業企業の株式会社クオリティアから専門家をお招きして詳しくお伺いしました。
目次
「Webサイトからお問い合わせが来ない…」とお悩みの方必見!
当サイトのノウハウを詰め込んだ『Web集客の無料ガイド』をご提供
 |
辻村 安徳(つじむら やすのり)さま
株式会社クオリティア 営業本部フィールドセールス部 部長 2002年、日系のIT商社へ入社。以降、メールアプライアンスやメールセキュリティなどのメーカーを経て、2016年より現職。一貫してメール業界に身を置き、全国の自治体・大学から企業まで幅広くユーザーとの会話を大切にし、その中から市場を分析・予見し、開発に反映させる。安全性と利便性に拘ったユーザー目線の提案が強みでトップセールスを維持する傍ら、講演を通じてメールセキュリティの必要性・重要性とその対策を紹介している。
|
なくならないメール誤送信の原因とリスク
--- メール誤送信というと単純にヒューマンエラーのイメージなのですが具体的にどんなケースがあるのでしょうか?(以下回答はすべてクオリティア社 辻村さま)
メール誤送信とひとくちにいっても、種類はいくつかあります。大きく分けると軽いものと重いもの。
はじめに軽いものは、信用低下につながるもの。例えば「添付します」といって添付していない。メール本文であればよくあるのが「敬称忘れ」などもメール誤送信と言えます。
重いものは、直接的な被害を自社または相手先に出すもの。宛先間違い、添付間違い、BCC間違いなどがあります。
送る相手先を間違える「宛先間違い」でよくあるのは、メーラーのオートコンプリート機能などが原因となるケースです。便利な半面、同じ名前で始まり会社が違うといった場合にそのまま気づかずに送信してしまうケースです。
つぎに「添付間違い」宛先も本文も間違っていないのに、例えばA社宛の見積もりをB社へ送付してしまう。対象者見積もりと間違って原価表添付して送付してしまうなど、これは直接的な機密情報の漏洩にもなります。
あとはBCCと間違ってtoやccに入れて一斉配信してしまうケース。最近は特にメールアドレス単体でも個人情報とみなされるケースもあり、そうなると直接的な個人情報漏洩となってしまいます。
--- それは怖いですね。機密情報や個人情報漏洩になると単なるヒューマンエラーとはいえ、ずいぶん印象が違いますね。
メール誤送信は、機密情報や個人情報の漏えいに繋がるということ。昨今メディアなどで取り扱われることも増えて、結果はみなさんご存知の通りだと思います。先述のとおり損害賠償請求の対象になったり、よくあるのはお詫びでクーポン配布などが必要になったり何よりニュースになると社会的な信用失墜にも繋がりかねません。
--- 取り扱う情報によっては、大きな問題・被害につながるケースがたくさんあるので注意が必要だと再認識できました。
メール誤送信を防ぐ方法
--- では、それらメール誤送信はどのように防止すれば良いのでしょうか?
2つのことをすればほとんどが防げると言われています。
ひとつめは、リソースをかけて解決する。単純に誰か他の人がチェックして送信するということです。ただし、これは常にすべてのメールに対して実施するのはなかなか難しい。
ふたつめは、システム的に対処する。例えば添付ファイルについてはキーワード設定して、特定の文字列があれば送信できないなど、システムで強制的に実施しながら、実際に利用する社員通達なども含めてオペレーションしていくことになると思います。ある程度運用オペレーションについて吟味しつつ、やはり両方実施するというのが理想です。
--- 防止策と言えば、最近話題の添付ファイルのZip暗号化(PPAP)について、少し詳しく教えてください。
最初に添付ファイルのZip暗号化(PPAP)がなぜ流行ったかについてお話しておくと、そもそもインターネットの用途として、ウェブ閲覧orメール送受信が2大巨頭だと言えます。もちろんゲームや特殊なアプリなどもあるとは思いますが、やはりその2つがインターネット通信の多くを占めてきました。そして、ウェブ閲覧に関しては早くからhttpsなどで通信の暗号化が推進されてきましたが、メールについては今でもほとんどが平文のまま流れていってしまうというのが実情です。
それらをふまえて、有識者の中で「そのままファイルを添付して送信するのは良くない」という認識が高まり、対策として添付ファイルのZip暗号化(PPAP)が流行したという経緯があります。
実は海外ではウェブ通信が暗号化されているので問題ないという認識があり、実際メールで機密情報を送ること自体が珍しく、添付ファイルをzip暗号化していると驚かれることもあります。
しかしながら、日本ではメール文化がいまの根強く残っており、平文のままでは危険だという事実への対策としてzip暗号化が残ってしまったのかもしれません。
次に、なぜ添付ファイルのZip暗号化(PPAP)がダメなのかというと、同じ経路でパスワード送るのが良くない。Zip暗号化によってウイルスチェック(サンドボックスなど)を通過してしまう。ということが問題視されています。
前者(同じ経路でパスワード送る)については、パスワードそのものではなく、ヒントを送るなどで回避できますし、ウイルスチェックについても。事前にzip暗号化されている場合も、平文にしてサンドボックスで解析できれば問題ありません。クオリティアでは両方のサービスを提供しているので有効です。
というわけで、添付ファイルのZip暗号化(PPAP)そのものが悪であり、一切禁止する必要があるのではなく、その運用次第であると認識しています。
--- 添付ファイルのZip暗号化(PPAP)自体が危険というよりは、パスワードの送信方法やウイルスチェックをすり抜けることが問題なんですね。御社Active! gateでも提供されている「添付ファイルWebダウンロード機能」もそうですし、自社でメールサーバを運用されている方であれば「Active! zone × サンドボックス」は対策としてとても有効ですね。
誤送信してしまった場合の対処法
--- それでも起こってしまうのがメール誤送信。事後の対処法にはどのようなものがあるのでしょうか?
速やかにセキュリティインシデントの対応を実施することです。
中・大規模の事業者さまであればご用意されているかと思いますが、セキュリティインシデント対策部門と上司にいち早く報告する。対策部門はその報告フロー等について、きっちりマニュアル化しておく。この初動がしっかりできるかどうかが、後に大きく影響します。
例えば、メール誤送信に気づいた段階ですぐに上司への報告とセキュリティインシデント対策部門への連絡を行い、相手先に連絡して目視で該当のメールをサーバーから削除してもらうことで、大事に至らなかったという事例もあります。
ISMS規定など用意されているところはそのあたりも実施されているかと思いますが、されていない場合でも、同じように担当者を明確にし、社内でマニュアルを用意しておくことが大切です。
ちなみに独自調査によると、PマークやISMSを取得している企業でも一般企業に比べてメール誤送信が劇的に減少したり、ゼロになるわけではありません。その事実も踏まえて、事後の対応がしっかりしているかどうかが、現実的なリスクを低減できるかどうかのキーポイントになると思います。
まずは「漏洩しない」、次に「漏洩してしまったらどうするか」。そこまで含めてきっちり対策・実施することがとても重要です。
--- 万が一の事態に備えた対策が大切ですね。ありがとうございました。とても参考になりました。
メール誤送信防止機能のご紹介
CPIレンタルサーバーをお使いであれば、メール誤送信防止機能がご利用いただけます。
すでにご利用中の方はもちろん、旧サービスや他社からのお乗り換えとあわせてご検討ください。
▼メール誤送信防止機能(Active!gate)
共用レンタルサーバー
https://www.cpi.ad.jp/shared/sv/function/activegate.html
マネージド専用サーバー
https://www.cpi.ad.jp/managed/detail/activegate.html
まとめ
今回はメール誤送信に関する原因やリスク、その対処法についてクオリティア社の辻村さまにお話を伺ってきました。
運用ルールを設けるのはもちろん、リスクの大きさを考えると適切なツールを導入して防止する。さらに万が一に備えて事後の対応についても検討・準備しておくことが重要だということがよく分かりました。
みなさんの会社でもぜひ一度メール誤送信をどのように防ぐか、防ぎきれなかったときにどうするか検討してみてください。
