キヤノンMJ/サイバーセキュリティ情報局
パスワード後送は有効? メール誤送信による情報漏えいを防ぐ対策とは
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「メールの誤送信はなぜ起こる?事例から見えてくる3つの対策」を再編集したものです。
昨今のビジネスにおいて、必要不可欠な存在となっているメール。しかし、宛先間違いをはじめ、単純なヒューマンエラーによって生じる重大な情報漏えい事故は後を絶たない。こうした事故は時に、企業の事業継続に大きな影響を及ぼしてしまう。この記事では、メールの誤送信が起きる要因から、その具体的な対策を紹介する。
「メールの誤送信」が情報漏えいの原因として多くを占める
東京商工リサーチが2021年1月に発表した、2020年版「上場企業の個人情報漏えい・紛失事故」の調査では、上場企業とその子会社における情報漏えいの事故件数は103件にも上った。これは2013年の107件に次ぎぐ2番目の水準で、実に7年ぶりに100件を超えたことになる。事故によって漏えいした個人情報は2515万47人に至っている。
このうち、情報漏えいの原因として最も多かったのは「ウイルス感染・不正アクセス」で49.5%だった。次いで「誤表示・誤送信」が31.0%となっており、メールの送信間違いなどの人為的ミスが中心とされる。
コロナ禍の影響で急速に普及しているテレワークによって、在宅での業務が増加した。在宅勤務はオンオフの切り替えが難しく、長時間労働につながりやすいとの声も聞かれる。その結果、業務への集中力を失ってしまう可能性が高まることなども、メールを誤送信してしまう要因の1つとみなせよう。実際、メールの送信間違いによる個人情報漏えいのニュースは後を絶たない。
メールの誤送信による情報漏えい事故の例
メールの誤送信による事故が発生している企業は業種や規模もさまざまだ。過去に起こった情報漏えいの事例をいくつか紹介していく。
1)取引先企業2750社の金融機関情報が漏えい
2020年10月、ある企業でメールの添付ファイルを誤送信したことによる情報漏えい事故が発生した。取引先32社に向けた添付ファイル付きの業務メールに、誤って被害企業2750社の金融機関情報を添付してしまった。添付されたファイルには、本来送付すべきではない被害企業の銀行口座番号、口座名義人などの情報が含まれていたという。流出に気付いた同社は速やかに送付先へ削除依頼を行い、被害企業へ謝罪状を送付している。
2)後期高齢者8903人の医療保険データを誤送信
2021年8月、保険団体が8903人分の後期高齢者の被保険者データを別の自治体に誤って送付するという事故が起こった。データに含まれる情報は氏名などの基礎情報、医療健診・介護情報など合計238項目に及んだ。本事例では、データをシステムから抽出する段階で条件を間違うという人為的なミスが生じていた。
3)約3000人の受験者のメールアドレスが流出
2021年6月、自治体の教員選考試験の日程をメールで送信する際に、ほかの受験者のメールアドレスが漏えいするという事故が起こった。本来、BCCで送信しなければならないところを、TOで一斉送信してしまったことが原因だった。その結果、約3000人の選考試験受験者のメールアドレスが外部に漏えい。同自治体では今後、電子メールによる連絡ではなく、電子申請システムによる連絡へ切り替える考えを表明している。
なぜメールの誤送信が起こるのか
そもそも、なぜメールの誤送信が起こるのだろうか?メールの誤送信が起こる要因は大きく2つに分類することができる。
1)宛先の設定ミス
1つ目は宛先の設定ミスだ。送信アドレスの入力ミス、アドレス帳やオートコンプリートからの選択ミスなど初歩的なミスだけでなく、一斉送信におけるBCCの設定間違いなども発生しやすい。また、メール配信システムを利用する際に、宛先の抽出条件の設定ミスが原因で誤送信を招くケースも見受けられる。本来送るべき相手ではないユーザーがメールを受け取ることで、メール文面や添付ファイルから情報が漏えいしてしまう。
2)ファイルの添付ミス
2つ目は添付するファイルの誤りだ。宛先は意図した相手であっても、添付するファイルを間違えることで情報漏えいは起こり得る。本来、別の相手に送付すべきであったファイルを誤って添付してしまうことにより、ファイルの内容によっては事業継続に悪 影響を及ぼすリスクがある。
宛先の設定ミスもファイルの添付ミスも、従業員の確認における意識の低さや、急いで送信することによるヒューマンエラー、あるいは長時間労働などが招く注意散漫状態などが要因で起こる。
もはや安全とはいえない「PPAP」
こうしたメールの誤送信予防とメールの盗聴対策として、PPAPと呼ばれる手法が多くの企業・組織で採用されるようになって久しい。PPAPとは、ファイルをZIP暗号化し、パスワードを後送するという添付ファイルの送信方法である。暗号化した添付ファイルとパスワードの送信に一定のタイムラグがあることで、仮にファイルを誤送信してしまっても、パスワードを送らなければその安全性は確保されると考えられてきた。
しかし、最近のサイバー攻撃の高度化、マルウェアの進化などもあり、安全性について疑問符が付くだけでなく、その非効率な側面も改めて問われている。例えば、PPAPが抱えるセキュリティリスクの1つとして、セキュリティソフトがZIP暗号化されたファイルの中身を解析できず、マルウェアがすり抜けてしまうリスクが指摘されている。
ZIP暗号化(PPAP)問題におけるベストプラクティスは存在するか?
https://eset-info.canon-its.jp/malware_info/special/detail/210310.html
メールの誤送信を予防するための3つの対策
メールの誤送信を予防するには、アドレスの設定ミスとファイルの添付ミスをどのように抑制できるかが重要なポイントだ。この2つに共通するのは「ヒューマンエラーの抑制」である。そのため、そうしたエラーが起こりにくいシステムを用いて解決するのが望ましい。もちろん、従業員への啓蒙やトレーニングも実施するべきだが、それでも、ヒューマンエラー自体を完全に回避するのは現実的ではないだろう。そこで、システムを用いた3つの対策を紹介したい。
1)メールソフトの設定を見直す
GmailやOutlook for Microsoft 365をはじめ、最近のメールソフトには「送信保留」の機能が搭載、あるいはアドオンで追加できるものが増えている。例えばGmailでは、送信保留の時間を最大30秒まで設定でき、間違いに気付いた場合は送信を取り消すことができる。
また、過去にやり取りしたメールアドレスを自動的に入力する「オートコンプリート機能」は便利だが、ミスも起こりがちだ。この機能は無効化も可能なため、手間ではあるものの、メールアドレスを都度入力、あるいはコピー&ペーストすることで、意図しない相手に送信するようなミスを抑制できる。細心の注意を払う必要がある場合は、このような判断も検討する余地があるだろう。
2)クラウドストレージのファイル共有を利用する
添付ファイルの送信間違いを抑制する方法として「そもそもメールに添付しない」というやり方もある。クラウドストレージには、リンクでファイルを共有できる機能があり、開封時のパスワードなども設定できる。送信後、共有ミスに気がついた場合は、クラウドストレージ側で該当ファイルを削除、あるいはパスワードを変更するなどの対応で、意図しないファイル閲覧を抑止することも可能だ。
3)メールセキュリティサービスを利用する
メール誤送信への対策をさらに盤石にするならば、メールセキュリティサービスを導入するという方法もある。例えば、「GUARDIANWALL Mailセキュリティ・クラウド」では以下のような機能を搭載している。
・送信前確認機能
メールの送信ボタンを押すと、件名や宛先、添付ファイル名などを確認するためのポップアップが表示される機能。宛先の設定ミスなどを抑制できる。
・添付ファイルのダウンロードリンク化機能
メールにファイルを添付送付すると、自動的にその添付ファイルがクラウドストレージへアップロードされ、ファイル共有リンクに変換される。万一、添付ファイルのミスがあった際、リンク解除などの対処によりリスクを抑制できる。
・上長承認機能
承認ルールに合致したメールについてのみ、上長が確認して送信するというプロセスを踏む。事前のルール設定を適切に行うことで、承認者の負荷を最小化しつつ誤送信対策を行うことができる。
・一斉メールの送付先をBCC化
一斉メールの送付先を自動でBCCに変換する機能。CCとBCCの設定間違いによるメールアドレスの漏えいは少なくないが、この機能を用いればその予防が可能だ。
クラウドのメールサービスを利用する際のセキュリティ対策とは?
https://eset-info.canon-its.jp/malware_info/special/detail/210114.html
メールの誤送信にはシステム、仕組みで対応
メール誤送信のリスクを従業員に啓蒙し、継続的にトレーニングを実施することは非常に重要な対策の1つである。しかし、一時的に業務負荷が高まることで、集中力が途切れてしまうといった人的要因は完全に排除することは難しいだろう。だからこそ、先述したようなシステムを用いた対策を講じることが有効となる。
メールの誤送信は、取引先からの信用を大きく損なうばかりでなく、情報漏えいなどの損失を被った企業が訴訟を起こせば、多額の賠償金が生じる可能性も考えられる。従業員の安全かつ効率的な業務遂行のためにも、システムの積極的な利用と誤送信防止のための社内ルール整備を検討してほしい。
この記事の編集者は以下の記事もオススメしています
-
デジタル
クラウドから機密情報漏えい、どうやって防ぐ? -
sponsored
いま「Microsoft 365」のセキュリティ強化が必要な理由 -
sponsored
家庭のPCにも法人向けクラスのセキュリティを実現する「ESET V15」の新機能「LiveGuard」って何? -
sponsored
テレワーク中のあなたが狙われる、最新のセキュリティ脅威を知る -
デジタル
企業を狙う「サイバーアタックサーフェス」のリスクを軽減 -
デジタル
退職者からの情報流出を考える -
デジタル
企業が脱パスワードに向けて検討するべき点