メールからの情報漏洩事故は、毎日のように起き続けています。
全国でここまで頻発している様子を見て、「うちの会社には関係ない」とは言いがたいですよね?
メールからの情報漏洩はどのようにして起こるのか?
そんなリスクに対して、どんな防止対策が効果的なのか?
原因と対策をしっかりと把握して、「漏洩させた当の本人」にならないようにしていきましょう!
メールからの情報漏洩はどのようにして起こるのか?
メールからの情報漏洩を防止するには、まずはよくある事例を知ることが大切です。
どんな操作が原因で情報漏洩をしてしまったのか?
どんなメールを受信したら、情報漏洩の危険性があるのか?
事例を先に知ることにより、具体的な対策方法が見えてくるからです。
簡単な入力とクリックひとつだけで操作が行えるメールでは、特に次のようなケースで情報漏洩事故が起こります。
①誤送信
個人情報が載っている本文や添付ファイルを、間違った宛先に送信してしまうことで起こる情報漏洩の一例です。
- メールアドレスを手入力したときのスペルミス
- アドレス帳の中のよく似た名前の人に間違って送る
など、操作自体のミスと最終確認の怠りの二重ミスによって引き起こされます。
②To、Cc、Bccの使い分けミス
複数の人に向けて同じ内容を一斉送信したときによく起こるのが、To、Cc、Bccの宛先設定のミスです。
【To】
Toに複数人数のメールアドレスを入力して送信すると、受信側が互いに他の人のアドレスを閲覧できる状態になる
→受信者全員が顔見知りで、互いのアドレスをあらかじめ知っている場合なら使っても問題ない。
受信者同士面識がなく、互いのアドレスも知らない状態で使うと個人情報(メールアドレス)の漏洩になる。
【Cc】
Ccに複数人数のメールアドレスを入力して送信すると、受信側が互いに他の人のアドレスを閲覧できる状態になる
→受信者全員が顔見知りで、互いのアドレスをあらかじめ知っている場合なら使っても問題ない。
受信者同士面識がなく、互いのアドレスも知らない状態で使うと個人情報(メールアドレス)の漏洩になる。
【Bcc】
Bccに複数人数のメールアドレスを入力して送信すると、受信側には互いのアドレスが伏せられた状態になる
→受信者同士面識がなく、互いのアドレスも知らない場合の一斉送信に使えば、同じ内容のメールが誰に送られているのか特定されずに済む。
この違いがよく分からない状態でToやCcを使って、個人情報(メールアドレス)が漏洩した事例は現在でも頻発しています。
例えば、企業や団体がイベントを主催していて、そのお知らせメールを参加者全員に送信するときなどです。
本来なら互いのメールアドレスが確認できないBccを使って一斉送信するはずが、ToやCcで一斉送信をおこなってしまい、面識のない参加者同士の間でお互いのアドレスが見えてしまうのです。
③問い合わせメールアドレスの表記間違い
「お問い合わせはこのメールアドレスまで」と指定されたアドレスに表記の誤りがあった場合、問い合わせメールは当然のことながら正しい送信先に向かいません。
誤った表記のメールアドレスが第三者のものであれば、全く関係のない人物に送信者の情報が漏れてしまうことになります。
名前、メールアドレス、問い合わせメール本文中に書かれているその他の個人情報・・・。内容によっては、送信者の個人情報のほとんどが筒抜けになる可能性があります。
④添付ファイルの誤った取り扱い
- 機密性の高い情報をパスワードロックせずに添付して送る
- 添付ファイルの選択ミスで、間違ったファイルを送る
このように、添付ファイルの取り扱いを誤り、そこから情報漏洩につながることもよくあります。
そもそも宛先設定を誤りやすいメールに、重要情報を添付すること自体が危ないとも言えます。
それでもメールでデータを送らなければならない場合は、添付ファイルをすぐに見られないようなカタチにしておくべきです。
⑤ウイルス付きメールの受信
メールには、受信の際にも情報漏洩のリスクがあります。
代表的なのが「ウイルス付きメール」です。
ウイルスは、銀行・ベンダー・公的機関などを装った偽メールや、スパムメールなどに潜んで送られてきます。
本文中のURLに誘導されてクリックしたり、IDやパスワードを入力して送信したりすると、そのパソコンはハッキングされた状態になります。
そうなると、ウイルスを送りつけてきた何者かの思い通りに、情報が抜き取られていくのです。
個人のメールアドレスやID、パスワードなどは、ブラックマーケットで高値で取引されています。
ウイルス付きメールを送ってくる者の目的は、個人情報を入手して売るためです。
- 誤送信
- To、Cc、Bccの使い分けミス
- 問い合わせメールアドレスの表記間違い
- 添付ファイルの誤った取り扱い
- ウイルス付きメールの受信
メールからの情報漏洩がどのようにして起きるのか?
その事例を見ていくと、多くの場合が「不注意や確認不足、知識不足による人的ミス」であることが分かります。
メールのシステム自体の不具合が原因ということはほとんどありません。
つまり、メールからの情報漏洩を防止するには、人的ミスをとにかく減らす工夫を追求していくことになります。
メールからの情報漏洩事例
情報漏洩の原因の比率について、「日本情報漏えい年鑑 2019 」によると、このような結果が出ています。
(引用:「日本情報漏えい年鑑 2019 」より)
不正アクセスによるものが大半を占めていますが、「紛失」や「誤送信ほか操作」などの人的ミスの占める割合が多いこともわかります。
では、実際に発生した情報漏洩の事例をいくつか見てみましょう。
事例1.メールアドレス入力間違いによる誤送信
某リゾート企業の従業員が、メールアドレスの入力間違いにより、1つの誤ったメールアドレスへ、会員の個人情報が含まれるファイルを添付して送信。
会員権の宿泊実績情報(代表利用者名、利用日、利用施設、利用金額など)約2万8,000件が流出した。
従業員が誤送信に気付き、直ちに誤送信先に謝罪と当該メールの削除依頼をおこなった。
事例2.ファイルを誤って添付したまま送信
某オンラインショップサイトが利用者に向けて送信したメールに、利用者約1,300名以上のメールアドレスが記載されたファイルを誤って添付。
利用者からの指摘によって流出が発覚。
利用者全員にお詫びと、メール及び添付ファイルの削除を要請して対応した。
事例3.メールアドレスへの不正アクセスによる漏洩
ある社団法人の職員が使用するメールアドレスが、外部からの不正アクセスを受けた。
その結果、アカウント内の情報が不正閲覧された上、アカウント内に記録されたアドレス約1,700件に対し、職員になりすましたフィッシングメールが送信されていたことが判明。
メールの本文には、フィッシングサイトへの転送URLが記載されていた。
これらの事例は全て、2020年内に発生しています。
現在でもやはり、人的ミスによるメールからの情報漏洩が多いことは事実です。
メールからの情報漏洩を防ぐ7つの方法
メールからの情報漏洩を防止するには、人的ミスを減らす工夫をメインとしながらも「セキュリティ性の高いネットワーク環境の構築」や「社員へのIT教育」も視野に入れた対策をしていきます。
メール対策だけピンポイントでおこなう考え方よりも、社内の情報全般の守備を固めるという広い意識を持って取り組んだ方が、情報セキュリティの重要性が浸透しルールが根付きやすいからです。
そこでここからは、人の目によるメールチェックからシステムを用いたセキュリティ環境構築まで、幅広い対策をご紹介していきます。
①メール送信は承認制に
宛先入力から内容の打ち込み、送信まで、全ての作業がひとりでおこなえてしまうのがメールです。
そのため「正しく操作できている」との思い込みから、情報漏洩に発展するケースが多いのです。
そんな思い込みによるミスをなくすためには、送信する前のメールの内容を複数の人物でチェックしていきます。
- 宛先は正しいか?
- To、Cc、Bccの使い分けは適切か?
- メールの内容に間違いはないか?
- メールに不要な個人情報は記載されていないか?
- 返信先のメールアドレスの表記に間違いはないか?
- 添付ファイルに間違いはないか?
これらをメール作成者とは別の人物(できればITに関する知識があり、責任のある立場の人)がチェックしていき、問題がなければそこで初めて送信をおこないます。
マニュアルやチェックシートなどを用いて、確認する項目に漏れがないようにする方が確実です。
原始的な方法ではありますが、「自分の作成したメールを責任ある立場の人にチェックされる」という緊張感が生まれれば、ケアレスミスは防ぐことにつながります。
メール送信承認制のメリット
- メールシステム自体を変えなくて済むのでコストがかからない
- 社員のメール送信に対する意識が高まる
メール送信承認制のデメリット
- 複数人がチェックする分、メール送信までに時間がかかる
- 体制に慣れてくるとミスに気付かない可能性もある
②添付ファイルの暗号化
情報漏洩のリスクを最小限にするには、むやみに添付ファイルをメールで送らないというのが大前提です。
しかし、やむを得ず社内のデータをメールに添付して送るときには、その添付ファイルには必ずパスワードを設定しておきましょう。
そうすれば、万が一送り先が間違っていたとしても、パスワードが分からなければファイルを開くことができません。
具体的な流れとしては、メールを2通に分けます。
1通目に暗号化した添付ファイル付きのメールを作成し、のちにパスワードを送信する旨を伝えて送ります。
そして2通目に、パスワードを記載したメールを送ります。
どちらも送る前には宛先に間違いがないか、注意深くチェックしておきます。(ここで別の人物によるチェックを入れてもいいでしょう)
1通目を送った後にもし宛先の間違いに気付いても、パスワードが送られてこなければ相手は添付ファイルを簡単には開けません。
添付ファイルを暗号化すること、宛先のチェックを入念におこなうこと、メールを2通に分けることの3点がポイントです。
添付ファイルを暗号化する方法
添付ファイル暗号化には、メール送信者が1回1回手動でおこなうやり方と、暗号化機能が付いたメールソフトを使って自動で暗号化するやり方の2種類があります。
手間がかからず確実なのは、ソフトを使うことです。
NTTテクノロス株式会社の「CipherCraft/Mail」や、株式会社ケイティケイソリューションズの「@Securemail Plus Filter」などの法人向けソフトが代表的です。
これらのソフトでは、添付ファイルの暗号化とパスワードの生成を自動でおこなうことができます。
暗号化のし忘れや、簡単すぎるパスワードを設定したなどの人的ミスを大幅に減らせるため、メールのセキュリティを保つにはかなり役立つツールです。
(あまりおすすめはしませんが)そもそも添付ファイルを送る回数がごくわずかで、手動で暗号化でも構わないという場合は、「Lhaplus」という無料のファイル暗号化ソフトがよく使われています。
Lhaplusをパソコンにインストールし、そこに暗号化したいファイルを入れれば、パスワード付きのZipファイルを作ることができます。
↑Lhaplusのインストールの最後に出てくる画面で、「デスクトップ」にチェックを、「Zip(Pass)」を選択してOKをクリックします。
↑デスクトップ上にできたショートカットに、暗号化したいファイルをドラッグ&ドロップします。
↑開くためのパスワードを設定すれば、そのファイルはパスワードロックされます。
↑ファイルを開こうとすると、パスワード入力画面があらわれます。
添付ファイル暗号化のメリット
- 正しい宛先にパスワードが渡れば、添付ファイルのセキュリティ性が高まる
- 自動で暗号化できるツールを使えば、いつものメール作成の手順で手間なく添付ファイルのセキュリティ性を高められる
添付ファイル暗号化のデメリット
- 手動で暗号化していると、その都度手間がかかる
- 単純なパスワードは解析される可能性があり、情報漏洩防止にはあまり役立たない
- 間違った宛先に添付ファイルとパスワードが渡ってしまうと意味がない
- ツールを使うとなるとコストがかかる
③誤送信防止機能付きのメールソフトを使う
宛先に間違いはないか?To、Cc、Bccの使い分けは正しくできているか?本文に不要な個人情報が含まれていないか?
メールを頻繁に使うオフィスでは、誤送信に対するチェックを簡素化できた方が負担が減ります。
そこで便利なのが、誤送信防止機能付きのメールソフトです。
具体的な機能例として、
- メールの内容を自動チェックし、情報漏洩につながりそうな部分を送信前に知らせる
- メールの送信を一時保留にできる
- 添付ファイルを自動で暗号化する
- 複数のメールアドレスがToやCcに設定されていた場合、自動でBccに書き換える
などがあります。(各メーカーの製品によって機能は違います)
目視でのチェックには、どうしても人的ミスのリスクが付きまといます。そして、時間もかかります。
ソフトの機能がチェックの役割を担ってくれれば、早く確実に情報漏洩を防ぐことができます。
誤送信防止機能付きメールソフトの例
- NTTテクノロス株式会社「CipherCraft/Mail」
- 株式会社ケイティケイソリューションズ「@Securemail Plus Filter」
- 株式会社USEN ICT Solutions「USEN GATE2」
など
誤送信防止機能付きのメールソフトのメリット
- 情報漏洩防止のためのチェックが簡素化、自動化でき、社員の負担が減る
- チェック漏れなどのうっかりミスを減らすことができる
誤送信防止機能付きのメールソフトのデメリット
- 既存のメールソフトからの変更や連携作業など、初期設定が必要
- コストがかかる
- 使い方に慣れるまでサポートが必要
④社内SNSやビジネスチャットを活用する
社員同士での情報のやりとりにメールを使っている場合、それを社内SNSやビジネスチャットに置き換えることで情報漏洩のリスクを減らすことができます。
宛先のメールアドレスや、To、Cc、Bccの設定を間違いやすいメールの数そのものを減らし、他のコミュニケーション手段で代用するという考え方です。
社内SNSやビジネスチャットは、簡単に言えばビジネス版LINEのようなものです。
メッセージを送るための手順が直感的なため相手を間違いにくく、一度送ったメッセージを削除したり、後から編集することもできます。
情報を共有したい者同士あらかじめグループを作れば、そのグループ内に情報を一度送信するだけで全員に届きます。
メールのように、いちいち宛先設定しなくてもいいのです。
社内の人間にメールしたつもりが、間違えて取引先の人に送っていた!
こんなケースで情報漏洩している事例も世の中にはあります。
従業員同士のコミュニケーションは社内SNSやビジネスチャットで、社外の人とのコミュニケーションはメールで。
使うツールを分けることで、宛先間違いのミスをなくしていきましょう。
社内SNS・ビジネスチャット活用のメリット
- メールの数を減らし、うっかりが原因の情報漏洩リスクを下げる
- 送信したメッセージを後から編集や削除が可能
社内SNS・ビジネスチャット活用のデメリット
- コストがかかる
- 導入後の初期設定や、使い慣れるまでのサポートが必要
⑤ファイルサーバー中心のネットワークを作り「データを送らない」環境に
社員間でデータをやりとりしようとして、間違って外部の人にメールを送ってしまう。
このようなパターンの情報漏洩を防ぐには、そもそもメールでデータを送らずとも情報共有できる環境にしておきます。
顧客情報や社外秘の営業データなど、会社の運営にかかわる重要な情報の保管先は、各々のパソコンではなくファイルサーバーに集約します。
社員にはファイルサーバーへのアクセス権限を与え、自ら参考にしたいデータを見に来る状態をつくるのです。
そうすれば社員間でメールでのデータのやりとりがなくなり、誤送信による情報漏洩リスクを下げることにつながります。
本社のサーバーに支社からアクセスするなど、離れた拠点間で社内情報をやりとりする場合は「VPN(仮想専用ネットワーク)」を使います。
VPNは、第三者が不正に情報を抜き取れないようにセキュリティを強化した通信回線のことです。
一見難しそうですが、専用のルーターを互いの拠点に設置するだけで導入できます。
ファイルサーバー中心のネットワーク構築のメリット
- 社員間でのメールのやりとりを減らし、誤送信などによる情報漏洩を防ぐ
- ファイルサーバーそのものがセキュリティ性が高く、中に保管された情報の守りを固められる
- 各パソコンの行動を記録できるため、不適切なデータの取り扱いを防ぐ(社員の意識が高まる)
ファイルサーバー中心のネットワーク構築のデメリット
- サーバーやルーターなどの物品がない場合は導入コスト、ランニングコストがかかる
- データの取り扱いに関する教育が必要
⑥メールフィルタリング製品を使う
情報漏洩は、受信メールから引き起こされる場合もあります。
スパムメールやウイルス付きメールが代表例で、それら本文に書かれているURLをクリックしたり、添付ファイルを開いたりするとパソコンに感染します。
多くのウイルスには、パソコン内の情報を外部に勝手に送信するプログラムが組まれているため、感染すると重要データはどんどん漏れ出てしまうのです。
そんな迷惑なメールは、最初から受信しない対策を取っておきます。それが、メールフィルタリング製品です。
メールフィルタリング製品はその名の通り、不正なURLや添付ファイル付きのメールをあらかじめブロックしてくれる機能を持っています。
さまざまな会社がソフトウェアをリリースしていますが、有名どころで言えばトレンドマイクロ社の「InterScan Messaging Security」や、デジタルアーツ社の「m-FILTER」があります。
ただし弊社の見解としては、メールフィルタリング製品を単体で使うよりも、もっと社内ネットワーク全般を守れる仕組みを作った方が安全だと考えています。
今や会社の重要情報を狙う者たちは、メールからだけでなく、ネットワーク回線のセキュリティの穴から不正侵入したり、WindowsなどOSの脆弱性を狙ってウイルスを送り込んだりしてきます。
いろんな入り口から社内の情報を奪いに来るので、それぞれのドアを固く閉めておかなければなりません。
これまで社内の情報漏洩対策にそれほど力を入れてこなかった場合は、メールフィルタリング単体よりも「UTM」という総合的なセキュリティ対策ができる製品の導入がおすすめです。
UTMは、迷惑メールフィルターの機能以外にも、
- 社内ネットワークへの不正侵入のブロック
- ウイルス付きWEBサイトのフィルタリング
- 大量のデータ送信による攻撃活動(DoS攻撃)のブロック
など、1台の機器であらゆる情報漏洩のリスクに対処できます。
社内ネットワークの入り口につなぐだけで導入できるため、設置にかかる費用や時間も少なくて済みます。
総合的にUTMで対策するか、ピンポイントでメールフィルタリングだけにするか?は、企業により考えは違うでしょう。
どちらにせよ、クリックしては危ないURLや添付ファイルがくっついたメールは、受信BOXに入れさせない工夫が必要です。
メールフィルタリング・UTMのメリット
- 情報漏洩目的でウイルスが仕込まれたメールを、受信BOXに入る前にブロックできる
メールフィルタリング・UTMのデメリット
- コストがかかる
⑦情報セキュリティに対する継続的な教育
メールからの情報漏洩は「人がうっかり起こしてしまったミス」が原因になることがほとんどです。
その「うっかり」の中には、「1回くらい添付ファイルをパスワードなしで送っても大丈夫だろう・・・」とか、「うちみたいな中小企業では、情報漏洩なんて無縁だ」のように、油断の気持ちも含まれています。
どれだけ優秀なセキュリティツールを導入しても、最終的にそれを操るのは人です。
社員ひとりひとりが情報漏洩に対して危機感を持っていなければ、ツールや決まりはただの面倒な存在となります。
どうしてその手順を踏んでメールを送らなければならないのか?
データの取り扱いにルールがあるのはなぜか?
情報を漏洩させてしまった本人になったら、どうなるか?
このイメージを全社員で共有し意識を高めるためにも、情報セキュリティに対する学びの機会は必要です。
しかも、継続的に。
避難訓練は繰り返しおこなわれてこそ段取りが身に付くように、情報セキュリティに対する知識や正しい行動も、繰り返し触れることで身に付きます。
今手元にある社内データは、お金に換えられる「資産」であること。
その資産を狙って、日々攻撃がおこなわれていること。
情報漏洩は、甘いセキュリティを突いて一瞬で起こってしまうこと。
資産である情報を外部に流出させた責任は、会社だけでなく当の本人もとること。
情報漏洩を起こした会社がたどるその後のイメージ
このようなリアルな現状を、1年に数回は研修の機会を設けて全体で共有しておきましょう。
社員の意識の高さが、情報漏洩を防止する何よりの対策となります。
情報セキュリティ教育のメリット
- うっかりミスを生む「油断」をなくすことができる
- 社員の意識改革につながり、ツールの使い方や決まりが遵守されるようになる
情報セキュリティ教育のデメリット
- 社内に専門知識がある人がいない場合、十分な教育ができない
- 教育プログラムの作成などに時間を取られる
情報漏洩防止対策は、どの程度おこなうのが正解なのか?
ここまで、メールからの情報漏洩を防ぐ手段として、
- メール送信は承認制に
- 添付ファイルの暗号化
- 誤送信防止機能付きのメールソフトを使う
- 社内SNSやビジネスチャットを活用してメールの数を減らす
- ファイルサーバー中心のネットワークを作り「データを送らない」環境にする
- メールフィルタリング製品やUTMを使ってウイルス付きメールをブロックする
- 情報セキュリティに対する継続的な教育
の7つを解説していきました。
さて、どれがあなたの会社に必要で、どれが不必要か、判断できましたでしょうか?
おそらく、ハッキリと線引きできた方は少ないはずです。
というのも、ベストの対策は「その会社のネットワーク環境や、メールを使う頻度、社員のIT知識を確認してからでないと分からない」からです。
今までのやり方や使っているツールを変えるときには、社員の理解度に合わせた方法の選定、業務への支障を最小限にするための手順、導入しようとしているツールが会社の機器に対応しているかの確認など、全体レベルでさまざまなことを把握する必要があります。
その社の現状を踏まえて、ではどうするか?
情報漏洩対策は、まさにオーダーメイドなのです。
情報漏洩対策の正解は、一社一社違います。
社内にIT専門チームがあれば安心ですが、もしも詳しい人材がいない場合、無理矢理内部で対策を練ろうとはせず、外部の専門家にサポートに入ってもらいましょう。
その方が、後からやりにくさを感じることなく新しい体制をスタートできます。
「自社のセキュリティ体制がどうなっているのか知りたい」
「最適なコストで情報漏洩対策をしたい」
「情報セキュリティ教育のプログラムを作りたい」
こんな希望をお持ちの方は、まずは無料相談をご利用ください!
今回は、メールからの情報漏洩をどう防ぐか?というお話をしていきます!