2015.04.03

メールのうっかりミスが思わぬ事態に!?
クラウド時代の情報漏えい防止策を探る

このエントリーをはてなブックマークに追加

 ビジネスにおいて、なくてはならないツールのひとつに「メール」がある。非常に便利なツールであることは誰もが認めるところだが、一歩間違えれば業務において大きな損失をもたらすこともある。しかし、そのことに気づいていない人は意外と多い。

 例えば、イベントなどのお知らせメールを送る際に、顧客のアドレスをBcc欄に入れて送信したつもりがなぜか「Cc欄に入力されていた」というのは定番のミス。しかも、そのミスに「送信ボタンを押した瞬間に気づく」というのもよくある話だろう。そのほか単純に「記述途中のメールを送信してしまった」などもあり、この手のミスは誰でも一度ぐらいは経験しているはずだ。しかし、そんな単純なミスが大きなクレームにつながることもある。では、このようなメールの誤送信はどのようにしたら防げるのだろうか。

 2015年3月18日、チームスピリットはメールの誤送信をはじめとした企業のセキュリティ対策に関するセミナーを実施。ここでHDE 執行取締役の汾陽 祥太(かわみなみ しょうた)氏は、「メール誤送信の始末書にサヨナラ:クラウドメールに後付できるセキュアサービス『HDE One』」と題した講演を行なった。

HDE 執行取締役の汾陽 祥太氏

メールの誤送信にありがちな3つのパターン

 汾陽氏はまず、日本ネットワークセキュリティ協会の調査報告書を披露。企業における2大セキュリティインシデントとして「メールの誤送信」と「スマートフォンや携帯電話の紛失」を挙げた。

 「メールの誤送信」については、セキュリティや個人情報の関連ニュースサイト「Security NEXT」でいくつかの実例を紹介。2014年7月に起きた北海道教育庁のメール誤送信では、学生ボランティア73人のメールアドレスが流出した。この事例は、メールを送る際にBcc欄に入れるべきアドレスをCc欄に入れて送ってしまったというもの。冒頭でも紹介した定番のミスだが、汾陽氏は「個人情報にセンシティブな官公庁や金融業界などであれば、単純ミスであってセキュリティインシデントに数え上げられてしまう」と述べ、「謝れば済むケースも当然あるが、そうでないケースがあることにも気を付けてほしい」と警鐘を鳴らした。

 また、メールの誤送信には「3つのパターンがある」とのこと。もっとも多いのは、BccとCcを間違えてしまい、メールアドレスがすべての人に見える状態で送ってしまうケース。まさに、さきほど紹介した事例がこれにあたる。

 二つ目は、個人宛に送るべきメールを複数人に誤って送ってしまうケース。例えば、アドレス帳からAさんにメールを送ろうと思って"あ行"のAさんを選んだつもりが、"あ行"すべてのアドレスが送信先に選ばた状態でメールを送ってしまった場合などがこれにあたる。また、会社単位のフォルダでアドレスをまとめていた場合などに、フォルダ内の全員にメールを送ってしまうようなケースもこれに含まれる。

 三つ目は、オートコンプリート機能によるミス。オートコンプリート機能は、過去に送信したことがあるメールアドレスを入力途中で自動的に表示して選べるようになる便利機能だ。しかし、A社の山田さんに送信するつもりで"山田"と入力したが、以前送信したことがあったB社の山田さんのアドレスが自動で表示され、気づかずにB社の山田さんに送信してしまったなどというケースがこれにあたる。

セキュリティインシデントは「メールの誤送信」と「スマートフォンや携帯電話の紛失」が多い

スマホ紛失時に遠隔で初期化できない理由とは?

 次に、「スマートフォンや携帯電話の紛失」について見てみると、2013年のデータでは「6.5%の人がスマホや携帯電話の紛失経験がある」とのこと。さらに、「そのうちの30%は、紛失したことを会社に報告しない」と汾陽氏は説明する。

 一方、スマホや携帯電話の紛失に対するセキュリティ対策としては、リモートワイプやMDM(Mobile Device Management)などの機能がある。リモートワイプは、遠隔操作で端末を工場出荷状態に戻す手法のこと。紛失したスマホや携帯電話から会社のデータにアクセスできたり、業務データが端末内に残っていたりした場合でも、すべてを消去し無効にすることが可能だ。MDMは、スマホや携帯電話にエージェントアプリを入れておき、そのアプリと通信して端末を管理する手法となる。

 しかし、ジュニパーネットワークの報告書によれば「スマホの紛失時にリモートワイプをやっても70%が成功しなかった」というデータがある。これはなぜか。それは、多くの人が「無くしてもすぐには報告せず、数日間は自分で探してしまう」からだ。

 さきほど説明したが、リモートワイプなどは遠隔操作で端末を初期化するため、そもそも電波が届かないと操作できない。しかし、すぐに報告せずに2~3日経過してしまうとスマホや携帯電話のバッテリー切れで通信ができなくなるため、せっかくの機能が利用できないわけだ。さらにいえば、さきほど述べたように30%の人は報告さえしない。結果として「70%が成功しないという数値が出てしまう」と汾陽氏は嘆いた。

HDE Oneの3つの機能

 このような「メールの誤送信」や「スマホや携帯電話の紛失」に対して、有効な解決策となるのが、HDEが提供する「HDE One」だ。HDE OneはマイクロソフトOffice 365やGoogle Appsといったクラウドサービス(セールスフォースやチームスピリットなどにも対応)に必要なセキュリティを、同じくクラウド上で提供するサービスとなる。

 HDE Oneには「メッセージングセキュリティ」「アクセスセキュリティ」「デバイスセキュリティ」という3つの機能がある。それぞれの詳細について、汾陽氏が解説した。

「HDE One」のサービスの概要イメージ

 「メッセージングセキュリティ」は、メール経由での情報漏えいを未然に防ぐ機能。通常であれば送信後すぐに相手に届くメールを、この機能では一時的に保留する。そのため、送信ボタンを押した瞬間にメールアドレスや添付ファイルなどのミスに気づいた場合、メールの保留場所にアクセスすることでそのメールの送信を止めて修正できるのがポイントだ。保留する時間などのルールは管理者側が自由に設定でき、例えば5分でも1時間でも無期限にでも設定可能。そして、設定時間を超えればきちんと送信される。

 さらに、このルールは時間以外の設定にも対応。例えば、Cc欄に同僚や上司を入れた場合、その同僚や上司宛のメールは保留せずにすぐに届くようにも設定できる。こうすることで「同僚や上司から間違いを指摘してもらうこともできる」と汾陽氏は語る。そのほか「添付ファイルがある場合は保留時間を延ばす」「Cc欄の@マークが10個以上出てきた場合は保留期間を無期限にし、本人にも通知をする」「上長などが承認しないとメールが送信されない」「メールの本文や添付ファイル名に"社外秘"や"極秘"といった単語があったら無期限保留にする」などの設定も可能だ。「このような機能を上手く組み合わせることで、メールの誤送信を極力防ぐことができる」と汾陽氏は力説した。

 「アクセスセキュリティ」は、社内と社外の区分けがつけられないクラウドサービスへのアクセスを管理する機能。IDとパスワードさえあればどこからでもアクセスできるクラウドサービスに対して、事前に設定しておくことでアクセスを一定レベルで制御できる手法だ。

 この機能を利用した場合、社外から業務で利用しているOffice 365などのクラウドサービスにアクセスしようとすると、自動的にHDE Oneのログインページを表示。ここで社外からのアクセス権限のないユーザーがログインしようとすると、ポリシーによりログインが拒否されるようになる。一方、権限のあるユーザーの場合はIDとパスワードに加えてOTP(ワンタイムパスワード)の入力を求められる。OTPはアプリなどから利用できる使い捨てパスワードで、このパスワードを入力するとログインできるようになる。

 最後の「デバイスセキュリティ」は、スマホや携帯電話の紛失への対応となる。近年は、利便性を踏まえて個人のスマホから企業のクラウドサービスへのアクセスを許可するケースも増えている。その一方で、紛失した場合に初期化されるリスクを恐れてそれを嫌がる社員も多い。これらの問題を解決するのが「セキュアブラウザー」というアプリだ。

 セキュアブラウザーをスマホにインストールすれば、このアプリからクラウドサービスのメールやカレンダーなどを見ることが可能になる。しかし、汾陽氏によれば「このアプリはブラウザーベースで動いている」という特徴を持っている。そのため「見られるけれども、ファイルをダウンロードしたりコピーしたりするはできない」とその安全性を補足した。

 さらに、落とした際にはこのセキュアブラウザーのアクセス権のみを無効化すればよいため、「リモートワイプ機能のように、スマホ自体を初期化する必要はない」というメリットについても言及。これにより「個人のスマホでも安心・安全に会社のシステムにアクセスできる」とした。

 最後に、汾陽氏は「どこからでもアクセスできるクラウドサービスのセキュリティ対策をワンストップでできる。それがHDE Oneの魅力」と述べて講演を終えた。

text/photo:Toshinari Kondoh(Spool)

このサイトに掲載されている記事・写真・図表などの無断転載を禁じます。著作権はチームスピリット、またはその情報提供者に帰属します。掲載情報は、記事執筆時点のものです。

© 2016 TeamSpirit Inc., All Rights Reserved.

このサイトについてお問い合わせ