メールセキュリティのCipherCraft/Mail > メールセキュリティのコラム > 情報漏えいを未然に防ぐ!「メール誤送信対策ツール」導入のすすめ
情報漏えいを未然に防ぐ!「メール誤送信対策ツール」導入のすすめ
連絡手段として、様々な情報のやり取りのツールとして、ビジネスの現場でも欠かせないメールですが、メールの利用には常に誤送信の問題があります。誤送信によって、情報が外部に漏えいするなどの深刻なインシデントも起きており、情報漏えいの原因として大きな問題となっています。
今回のコラムでは、なくならないメール誤送信について、現状とヒューマンエラーを防ぐための施策、および、それを助けるメール誤送信防止システム導入のメリットや選定のポイントについて紹介します。
企業のセキュリティを脅かすのは、悪意ある攻撃者からのハッキングだけではありません。悪意ある攻撃によらなくても、誤って送信したメールの内容に個人情報が含まれていた場合、重大なセキュリティ事故につながる可能があります。社員のちょっとしたミスが、深刻な情報漏
えいにつながってしまうのが、メール誤送信の特長であり、恐ろしさです。
一般財団法人日本情報経済社会推進協会(JIPDEC)は、同協会の報告書「平成29年度 個人情報の取扱いにおける事故報告にみる傾向と注意点」の中で、2014年度〜2018年度に同協会に報告された事故報告において、発生原因別割合でみると「メール誤送信」が26.5%ともっとも高く、次に「紛失」(19.1%)、「その他情報漏えい等」(15.5%)の順になったとしています。また、前年度からの変動幅でも「メール誤送信」の増加幅がもっとも大きく、前年度差+5.8ポイントだったとも報告しています。
メール誤送信の原因のほとんどはヒューマンエラーによるものです。しかし、近年ではそのヒューマンエラーを引き起こす背景に企業のIT環境の変化による影響があることもわかってきました。
その1つが、クラウドサービスの導入によるメールシステム変更の環境変化です。
それまで使い慣れていたメーラーからクラウドの導入によりメールシステムが変わってしまったことで、通常の確認ルーティンがおろそかになり、初歩的なミスをおかしてしまうこともあります。
一方、それら初歩的なミスによるメールからの情報漏えいを防止するIT製品があります。それが「メール誤送信防止ツール」です。現在、とまらない誤送信の事故とその影響の大きさからメール誤送信防止のニーズや認知度は高まり、市場は成長しています。
情報・通信分野専門の市場調査を行うミック経済研究所は、同社の調査資料「Web&メールセキュリティ編 2019年版 サイバーセキュリティソリューション市場の現状と将来展望」のなかで「メールシステムの更改時期を迎えたユーザがOffice 365を導入するケースが多く、それをきっかけにメールのセキュリティ対策の一環として誤送信防止ツールが導入されている」と分析。さらに、業種別の動向についても「現在は、業種を問わずOffice 365を中心としたクラウドサービスの導入をきっかけにセキュリティも強化が必要な企業や団体からの引き合いが増加している」としています。
ミック経済研究所はまた、「2018年度以降もOffice 365を中心にクラウドのメールシステムへの入れ替えは続きメールセキュリティとしての需要は安定して続く」と予測しており、クラウドサービスの市場拡大とともにメール誤送信防止ツールの需要もますます高まっていくことを示唆しました。
では、メール誤送信とはどのようなものであり、実際に、どのような事故が起こっているので
しょうか。
メール誤送信の代表的な原因には
などのケースが挙げられます。
その中でも特に本来はBccにしなければいけないところをToやCcにしてしまったため、Bcc送付予定先のメールアドレスが流出するなどの被害が発生する「To/Cc/Bccの誤り」は、ニュースになりやすい事故です。2020年に入ってからも頻繁に「To/Cc/Bccの誤り」による事故が起きています。
また、メール誤送信はそれがたとえ“うっかりミス”であっても企業に大きな損害を与えるためトラブルが大きい場合、誤送信をした社員は、次の3つのリスクから懲戒処分や解雇なとの厳しい処分の対象になっています。
まず、最も重大なメール誤送信のリスクが「情報漏えい」です。サービスや商品、機密など企業秘密について書いたメールを誤送信してしまった場合「情報漏えい事件」に発展する可能性もあります。
2つめが「プライバシー侵害」です。特に電話番号や住所など、個人情報を記載するメールの場合は注意しなければなりません。これらを含むメールの送り先の方の私的な事情やプライバシーに関するメールを誤送信してしまった場合、プライバシー侵害になります。
そして3つめが「会社の信用低下」です。大きな法的リスクのあるメールの誤送信を繰り返すような社員がいる会社だと思われれば、会社の信用が低下し、企業イメージが悪化することは免れません。
ヒューマンエラーである限り、こうしたメールの誤送信は様々な人的対策が必要です。
まず「メール送信前の再確認の徹底」です。メールアドレスは正しいか、BccとTo/Ccを間違えていないか、宛名は正しいか、メール本文内の個人情報は正しいか、添付ファイルは正しいかなどの再確認がそれにあたります。
またアドレス帳の整理も大事です。社外と社内、クライアントごとのフォルダ分けや姓名の正しい登録、社外の人がメンバーに含まれるメーリングリストを誤送信しないようアドレス帳を整理するとことでメールの宛名間違いを防ぎます。
さらに「メーラーの設定変更」も有効です。宛先のオートコンプリート機能の無効化や、すぐに送信されない設定、手動でメールを送信する設定、送信前に送信先を表示する設定などにより送信前に再度確認する猶予ができます。
ほかにも「ファイルやフォルダの命名規則の策定」「社外宛添付ファイルのパスワード保護」などもメールの誤送信対策として有効です。
しかし、個人が意識するだけの人為的な対策だけでは、メールの誤送信を完璧には防げません。当然、防止できなかった場合は、個人情報、機密情報の漏えいなど重大なセキュリティ事故につながる可能性があるのです。
これを防止するために導入するのが「メール誤送信防止ツール」です。メール誤送信防止ツールは、メール送信前の再確認をツールによって義務付けたり、送信者だけでなく上長などの第三者が確認し、承認した上で送信させたり、送信ボタンを押下した後でも一定期間であれば送信を取り消せる機能を持たせるなどメール誤送信のリスクを縮小させます。
メール誤送信防止ツールには、メールの宛先やCc、Bccの再確認を促す機能が搭載されています。例えば、メールソフトが送信処理を行う際にポップアップウィンドウを開き、送信先の再確認を義務付けるようなツールを使えば、かなりの数のメール誤送信を回避できるようになります。これにより、メール送信者の意識改革も期待できます。
管理画面より、どの組織で添付ファイルの利用が多いのか、どのような頻度で送信キャンセルをしているのか、などの情報を統計的に把握できます。この情報をもとにメール誤送信対策の効果の把握や、誤送信の危険の高い組織の把握などを行うことでリスクの芽を早期に発見し、より効果的な誤送信防止対策を先回りして実施することができます。
添付ファイルを必ず圧縮・暗号化して送信するルールにすれば、添付ミスによる無用な情報漏えいを防止できますが、ファイルの圧縮・暗号化を手動で実行するルールにしても手間がかかるため、なかなか定着しないことが多いようです。メール誤送信防止ツールを導入すれば、送信時にパスワード付きの圧縮ファイルに変換するとともに、パスワードを別メールで自動送信することが可能になり、情報漏えいリスクは大幅に低下します。
メール誤送信を防止するために、上長やセキュリティ担当者がメールの宛先とメッセージの内容をチェックしてから送信するというプロセスを取りたい場合も、メール誤送信対策ツールを導入すれば、上長とセキュリティ担当者をメール承認者に設定して、いずれかの承認が下りた 際に送信することも可能です。
メール誤送信防止ツールを選定する際には、次のような条件を満たしているか確認する必要があります。
なお、会社の既存環境への対応に関連しては、従来のシステムや他製品との連携も確認する必要があります。
また、メール誤送信対策ツールは送信メールサーバ、メールゲートウェイ、クライアントPCで稼働するメールソフトと連携して運用します。さらに、昨今では「Office 365」や「GSuite」などのクラウドメールサービスに対応するツールやアドオン製品も提供されているため、導入時には、従来のシステムへの影響や動作確認、管理者への負担についてもテストを行うことが重要です。
メール誤送信防止ツールの導入形態は、大きく次の4種類に分けられます。
クライアントPCに導入する製品です。サーバを設置することなく、容易に導入できるのが特長で、コストや管理負荷の面でもクライアントの数が少なく、システムの規模が小さい場合に向いています。送信メールのポリシーはセキュリティ担当者が作成し、各PCに配布してインストールします。メールソフトのプラグインとして導入するアドオンタイプの製品もあります。
メール誤送信防止ツールを導入したサーバを設置し、内容をチェックしたのちに送信メールサーバへ送るタイプの製品です。送信メールサーバの先に設置して、ポリシーを一括適用する製品もあります。多くのクライアントを抱えるシステムでの導入・運用に適しており、企業向け製品の多くはサーバ型です。クライアント型に比べ、送信保留、第三者承認など多くの機能を利用できるのが特長ですが、ライセンス体系によってトータルコストが大きく異なってくることに留意する必要があります。
ハードウェアとソフトウェアをあらかじめ組み合わせ、メール誤送信対策ツールを専用ハードウェアに搭載したアプライアンスとして提供している製品です。機能面や導入方法はサーバ型と同様ですが、メールサーバに接続するだけで容易に導入できるため、導入/運用の手間やコストを軽減できるというメリットがあります。その一方でファームウェアのアップデートをはじめとする保守作業の工数がかさみ、2台以上の冗長構成を組む際には、ライセンスコストが余分に掛かってしまうといったウィークポイントもあります。
クラウド上でメール誤送信対策を実行するサービスです。クラウド型は、専用サーバを設置する場合と共用サーバを利用する場合があり、サーバやメールソフトなどの環境に依存せず最小限の手間とコストで導入できることから、近年、選択する企業も増えています。ユーザ当たりの月額課金となるケースが多く、専用サーバを使う場合は、共用サーバより豊富な設定が可能になりますが、その分コストが高くなります。
メール誤送信防止ツールの導入や社内ルールを設定しても、社員の間では、それらは時を追うにつれ形骸化の一途を辿ります。そのため、社員にはメールの誤送信が万が一発生した時の影響や損失を十分に学習するとともに、対策の重要性と導入・設定された背景や目的を理解してもらう必要があります。それでも最終的に送信ボタンを押すのは人であるため、ヒューマンエラーの可能性は少なからず残ります。
ヒューマンエラーを「人間工学」の観点で防止するのがNTTテクノクロスのメール誤送信防止ソフトウェア「CipherCraft/Mail 7」です。
「CipherCraft/Mail 7」は、メールを書いてメーラーの送信ボタンを押すと、メール誤送信防止画面がポップアップ表示され、メールの内容を再チェックさせることで誤送信を防止します。メール誤送信防止画面は、デザインを毎回変えることも可能で、画面を見慣れることによる確認の形骸化やチェックの甘さを防ぐことにより、さらに対策の効果を向上させることが可能です。
また「CipherCraft/Mail 7」は、「Office 365」や「G Suite」などのクラウド型メールサービスにも対応しており、メール誤送信防止に加え、大容量ファイル転送システム、ビジネスメール詐欺対策(BEC)、標的型メール訓練サービスを提供するなど、トータルメールセキュリティソリューションとして広く活用できます。
さらには、人間工学の考えを取り入れ、直感的に操作が行えるシンプルなインターフェースを採用しており、既存のメール環境をそのまま利用できることも大きな強みの1つ。
株式会社ミック経済研究所の調査レポート「Web&メールセキュリティ編 2019年版 サイバーセキュリティソリューション市場の現状と将来展望」によれば、2018年度のメール誤送信防止市場で「CipherCraft/Mail 7」は出荷金額43.7%のシェアを占め、12年間連続シェアNo.1を獲得しています。
「CipherCraft/Mail 7」は、さらにオプションの「AI+」と組み合わせることで、ルール設定や人によるチェックでは気づきにくい誤送信リスクも検知します。
AI(機械学習)が過去の送信履歴を学習して「初回送信時の入力ミス」や「似ているメールアドレスの確認ミス」「メールアドレスの誤った組み合わせ」などを検知し、状況に応じた誤送信リスクをより強いアクションで注意喚起し、誤送信防止をサポートします。
メール誤送信による情報漏えい対策は、利用者の意識付けと、システムでの制御双方へのバランスが重要です。自分や自社にとってよりよい方法やツールを選択し、情報漏えいの発生につながらないように、しっかりとした対策を行うようにしましょう。