事例で学ぶセキュリティインシデント（第8回）情報漏えい事故の引き金となるメール誤送信を防ぐ

　「H社の○○さんですか。あなたから送られてきたメールと添付ファイルが間違って届いています。こちらで破棄しておきますが、一応、ご連絡しました」。電話を受けた○○は「すみませんでした。私の不注意でした」。謝罪と電話をくれたお礼を告げて受話器を置いた。そして、情報漏えい事故になりかねないメール誤送信のインシデント発生の経緯を上司と情報セキュリティを統括するIT担当者に報告した。

社員の「うっかりミス」でメールと添付ファイルを誤送信

　関西で印刷業を営むH社は大阪に本社、兵庫と岡山に支社を構え、社員40名ほどの中小企業だ。ペーパーレスの拡大など、印刷業を取り巻く業務環境は厳しさを増しつつあるが、H社は受注から納品まで期日厳守と高い品質を徹底するなど顧客満足度の高い仕事ぶりで評価を得てきた。

　顧客から受注する印刷物の中には、事前に外部に漏れては困る新製品のカタログやマニュアルなどもある。印刷物の校正原稿のやり取りについて、データ容量が少ないものはメールを利用したり、メールでは送受信が困難なデータ容量が大きいものは営業担当者が直接、顧客企業に持参したりしていた。

　メールに限らず、情報の取り扱いには徹底的な注意を払うように社員に伝え、ウイルス対策やファイアウォールなどのセキュリティ対策を講じてきた。外部からのサイバー攻撃に対応する一方、社員の不注意によるメール誤送信の対策は想定外で手つかずだった。今回の事案は印刷物の受注書の添付ファイルを誤送信したものだ。送信先からの指摘もあり情報漏えい事故は免れたものの、IT担当者はメール誤送信対策の不備を認めざるを得なかった。

　H社のように情報漏えい事故の原因として多いのが、うっかりミスによるメールの誤送信だ。送信先のメールアドレスを間違ってキーボードに打ち込み、業務とは無関係の第三者にメールが送られる。会社の機密情報や顧客・取引先などの個人情報が含まれる場合、ハイリスクの情報漏えい事故になる可能性もある。

　また、本人以外のメールアドレスを隠すBCCで送信すべきところを、他の人にもメールアドレスが示されるCCで送信してしまうミスもある。メールの受信者にすべての送信先が分かってしまい、その中に競合する取引先などが含まれていた場合、業務に支障を来すことにもなりかねない。

　各人のメールアドレスは個人情報であり、誤送信は本人の承諾なしに外部に公開されることになる。その結果、悪意のある第三者にメールアドレスが知られ、攻撃の対象となる恐れもある。メールの誤送信・誤操作は、送信者のうっかりミスと言っていられない状況を招く可能性があることを理解する必要がある。

事前のチェックでメールの誤送信と情報漏えいを回避

　メールの誤送信を防ぐには、従業員の情報リテラシー、情報の取り扱いにかかわるモラルを向上させることがポイントになる。ただ、従業員のセキュリティ意識の向上に頼るだけでなく、うっかりミスによるメール誤送信・誤操作が起こりそうになった場合にも、メール送信を停止するためのツールやサービスを活用する方法がある。

　例えば、メールの送信前に相手の名前、メールアドレス、添付ファイルの内容、CCとBCCなどの注意すべき箇所を視覚的に確認する機能や、送信前に間違いをチェックする一時保留機能、保留したメールを上長などがチェックした後に送信する承認機能、CCをBCCに自動的に変換する機能、添付ファイルの自動暗号化機能など、サービスやツールごとにさまざまな機能が提供され、メールの誤送信防止を可能にしている。

　また、自社でオンプレミスのメールサーバーを運用する形態の他、近年はMicrosoft365などのクラウドサービスを利用してメールの送受信を行う形態も増えている。そうしたクラウドサービスと連携したメールの誤送信防止の仕組みも提供されている。

　誤送信防止対策と異なるが、メールのセキュリティ対策として留意したいのが、Zip形式で暗号化した添付ファイルの送信とは別に、解読のためのパスワードをメールで送る、いわゆる「PPAP」だ。悪意のある第三者がZip添付ファイルとパスワードのメールを盗聴し、パスワードを解析、添付ファイルを復号化して内容を盗み取ったり、Zip添付ファイルとパスワードのメールを誤送信し、添付ファイルの内容が情報漏えいしたりするリスクもないとは言えない。主に大容量データのメール送受信にかかわるリスクを回避する方法として、メールの代わりに添付ファイルをやり取りすることができるクラウドストレージやファイル転送サービスなどがあり、PPAPを含むメールセキュリティ対策として効果的だ。

電帳法対応でメールの送受信が増え、セキュリティを強化

　H社のIT担当者は社長、役員をはじめ、全社員にメール誤送信の経緯を報告。メール誤送信防止のサービスとともに、クラウドストレージの導入を検討することになった。同社では電子帳簿保存法への対応に注力。従来、顧客取引先の要望に応じて紙と郵送で対応していた請求書や受発注書などの送付についても、メールの電子データでやり取りする方法へと移行しつつある。

　だが、メール操作に不慣れな社員もいることから、メールと添付ファイル送信時のうっかりミスを防ぐためにも上長の承認機能などを活用し、誤送信防止に役立てる考えだ。

　また、メールでは制限のあるデータ容量の大きな印刷物の校正原稿は営業担当者が顧客に持参したり、宅配便などを利用したりしていたが、クラウドストレージサービスを検討。これにより、業務のスピードアップと、原稿紛失などによる情報漏えい対策にも効果が期待できると見ている。校了時の印刷データとともに納品書の添付ファイルをストレージでやり取りするといった使い方も可能だ。誤送信防止サービスやクラウドストレージの導入に加え、社員の情報リテラシーやセキュリティ意識の改善に向け、今後、メールの送受信や添付ファイルの開封を含めた情報の取り扱いについて定期的な社員研修を計画。メール誤送信のインシデントを契機に全社的なセキュリティ対策の強化に取り組み、顧客からの信頼を高める意向だ。