メール誤送信による情報漏えいリスク対策

第2回 セキュリティの専門家が解説!対策方法は「リスクに対する管理策の実践」

IT・情報セキュリティ
名和 利男

企業は年々、情報管理や社員教育などセキュリティ対策を強化しつつあるものの、悩みの尽きない問題のひとつが「情報漏えい」といえるでしょう。本特集では、情報漏えい問題について、特に「メールの誤送信」を中心に、様々な角度から対策方法を模索していきたいと思います。

第1回では、個人情報保護の実務に詳しい牛島総合法律事務所の影島 広泰弁護士に、法的な観点から解説いただきました。第2回となる今回は、セキュリティの専門家であるサイバーディフェンス研究所の専務理事であり上級分析官の名和 利男氏に、解説いただきました。

マルウェア感染等と同等レベルで懸念すべき「メール誤送信」

最近よくある情報漏えい事故について教えてください。

企業において発生したインシデントへの対処支援の経験に基づいてお答えしたいと思います。

まず、前提として「情報漏えい事故」に対する認識や対処のあり方は、外的要因や組織内部の文化・慣習によって大きく異なっています。そして、社外に公表すべきと(容易に)判断できる「情報漏えい事故」より、事故であるか否かの判断が難しいものがはるかに多く発生しており、会社によってその判断基準や定義(正確には解釈)に大きな違いが見られます。つまり、私たちが報道等で見聞きする「情報漏えい事故」は、実態からすると氷山の一角に過ぎません。

そのような状況において、組織に対して大きな被害をもたらしているのは、「個人データの漏えい事故」です。改正個人情報保護法が全面施行されたされた平成29年5月30日から、それまでの主務大臣制は廃止され、内閣府に設置された個人情報保護委員会が事業者の監督をすることになりました。万が一、個人データを漏えいした場合、次の告示に基づいて報告することになっています。

この個人情報保護委員会が、平成29年度上半期(5月30日〜9月30日)に受け付けた個人データの漏えい等の事故の件数は290件です。

比較可能な前後のデータが見当たらないため、このデータから動向変化を見出すことは難しいですが、各方面から断続的に届く依頼内容や実際の対処支援の限りでは、「個人データの漏えい事故」は増加の一途をたどっている印象を強く感じています。最近、様々な事情により、外部委託する業務範囲の拡大や専門職のアウトソーシング化も行われている状況の中で、内部情報を委託先に一時的に預けるため、自組織において直接管理できない個人データや重要情報が増加し、一部で(委託先からの)漏えいを検知できなかったケースが発生しています。

特に、目立っている「情報漏えい事故」は、IT関連のメディアでよく報道されている「マルウェア感染やサーバへの不正アクセス等による個人データの外部流出」です。これは、個人情報保護委員会への報告義務や二次被害の防止、類似事案の発生防止の観点からプレスリリースすることが多いためです。

メール誤送信による情報漏えい問題についてはどうお考えですか。

頻度は高くありませんが、「メール誤送信による大量のアドレス流出」の話題も上がります。しかし、メール誤送信のうち軽微なものは、個人情報保護委員会への報告を要しないとなっているため、メール誤送信の実態を推し量ることは難しくなっています。

ただ、次のような状況からある程度推定することはできます。

一部の大手企業ではメール誤送信防止の強化を始めており、システム的な対策により不可抗力による情報漏えい事故(誤送信や誤配送等)の発生頻度を減らすことに成功しています。しかし、委託先における対策は、未だに注意喚起や意識向上のための貼紙が大半です。さらに、外部への委託範囲が拡大し、かつ一人一人の業務量が増加している状況を鑑みると、不可抗力によるメール誤送信は増えることはあっても減ることはないと見ることができます。特に、メール誤送信は、郵便物やFAXと異なり、その利用頻度の高さや一度に処理する情報量の多さから発生しやすいものであるため、インパクトや被害が甚大化しやすいものです。

したがって、報道等で騒がれている「マルウェア感染やサーバへの不正アクセス等による個人データの外部流出」と同等レベルで、「メール誤送信」も懸念すべきケースと捉えるべきです。

メール誤送信を防ぐには

社員の誤操作を防ぐ方法にはどのような対策が考えられますか。

企業において業務負荷の多い社員ほど、メール誤送信を発生させやすいものです。そのため、メール誤送信を防ぐ対策の検討にあたっては、特に現場における稼ぎ頭の社員の業務効率を下げないようにすることも重要な要因となります。過去に、現場の業務の効率性を十分に考慮せずに、画一的かつ極端な対策に踏み切ったことにより、稼ぎ頭の人材がモチベーションを下げて離職したケースがいくつかあります。

筆者が現場で直面した例として、大規模な情報漏えいを起こした企業の経営層が、再発防止策として一律に不安全サイトへのアクセス遮断および特定ドメインのメールアドレスの受信拒否の仕組み導入を決定したことにより、現場のエンジニアが(顧客を含む)社外の技術者コミュニティとの交流が困難になり、生産性の低下や優秀な人材の流出が発生しました。

そのため、対策を検討するチームには、フロントオフィス(顧客に直接対応する外部との接点となる部門)の中核社員を参画させる必要があります

また、メール誤送信を防ぐ目的ではありませんが、社内および委託先を巻き込んだプロジェクト推進において、メールではなくビジネスチャットツールの利用に踏切るケースが増えています。業務効率化やパフォーマンスの向上などを狙ったものですが、メール誤送信が非常に少なくなったという副次的効果が出ています。

メール誤送信の防止を含む機密情報の外部流出に対する抑制策としては、業務を推進するための運用方法やIT環境を見直したケースもあります。たとえば、部下が社外に送信するメールのすべてをBccで上司に転送させる仕組みにすることで、メール送信時における部下の緊張感を促し、送信先および送付内容の確認行動を心理的に求める手法です。

さらに、機微性および重要性のある情報を扱うことの多い社内向けメールと、不特定多数の相手とやり取りすることの多い社外向けメールを切り分けるために、別途社内向けのメールアドレスを設ける手法や、社外へのメール送信前の(ややしつこい)確認機能を追加するという手法もあります。社外に送信可能なメールアドレス数を制限しているという企業もあります。

その他、PCのメーラーやWebのメールサービスに誤送信防止のための拡張機能(送信後、一定時間において送信内容を取り消せる機能)の追加インストールや、メール誤送信対策を支援するソフトウェアやサービスの導入などがあります。

自社でなく、メール配信業務を委託している会社での誤送信を防ぐには、どのような対策が考えられますか。

自社のプロダクトやサービスの積極的通知や販路拡大あるいはブランディング戦略の一環としてメールマガジン(メルマガ)の配信を積極的に行う企業が増えています。このメルマガ配信を行うためには、メール配信システムを利用することになりますが、これを自社内で構築および運用保守するよりも、外部専門業者に委託するほうが、圧倒的に低いコストで実現できます。さらに、運用ノウハウに加えて適切な配信先の獲得支援サービスを受けることもできます。

しかし、このようなメルマガ配信システム事業者間の競争は激しく、無理なコストカット等の影響と思われるオペレーションミスが時々発生しています。一部では、Bcc指定をToやCcに指定するミスを犯し、大量のアドレス流出事故となったケースもあります。ところが、このような委託先が流出事故を起こした際、被害を被り、最終的な責任を持つのは発注者となるため、委託管理を適切に実施する必要があります。

委託先との契約内容や金額により、委託管理のあり方は異なってきますが、最も効果が期待できる管理方法は、活動記録を適切に残していくことで委託業務に係るプロセスを確認可能な状態に置くことです。これは、デジタル・フォレンジック(鑑識)における Chain of Custody(保管証拠の連続性:保管場所、取り扱い、状態遷移などに関して日時や内容、作業者など詳細な記録を取ること)に近いものですが、全ての活動記録を残すのではなく、業務プロセスの重要箇所(滞ると全体に影響を与えるところ)のみにすることで、委託先に不必要な負担をかけることを避けることができます。ミスを発生させにくい業務プロセスであれば、活動記録を取ることに対する負担は少ないはずです。

誤送信に限らない、メールに関する漏えいリスク

メール関連で気をつけるべき外部からの攻撃などはありますか。

「メール誤送信」は、不可抗力といった「非意図的な行為」と言えるものですが、「外部からの攻撃」は、悪意のある者による「意図的な行為」です。前者に対しては、一般に管理策と言われる「評価されたリスクに対するセーフガード」を選択して実践することでリスクを減らすことが期待できます。しかし、後者に対しては、人間の意思が働き常にリスクが変動するものであるため、管理策のみでは防ぐことはできません。その時々のサイバー空間で発生する頻度の多い攻撃や、深刻な被害を発生させやすい特定箇所を把握したうえで、その攻撃を食い止めるための技術的および運用的(人的)対策を行っていく必要があります。

数多くの「外部からの攻撃」の中で、スピアフィッシングメール攻撃特定のターゲットに対して重要データや個人情報を奪おうとして偽メールを送りつける攻撃)が、最も深刻な被害を発生させています。最近、この攻撃に使用されるメールが本物と見分けにくくなってきていることに加え、多くの方が関心を強くする突発的な社会での出来事に乗じて発生しています。そのため、何度もセキュリティ教育を受けた社員ですら、メールを開封してマルウェアに感染してしまい、自組織あるいは関連組織に対して大きな被害を発生させるケースが出てきています。

また、現時点(本記事の執筆時)において強く懸念されている「外部からの攻撃」は、「アカウントハイジャック」です。2017年12月に14億件、2018年2月に3,000データベース(数億件以上)のID・パスワードが闇サイトで公開されました。会社のシステムで利用しているパスワードを、外部のサイトにも使用している場合、第三者がそのID・パスワードを利用して、ターゲットとしている会社のシステムへログインする恐れがあります。一般的なシステムは、このような不正ログインを異常と検知することができないことが多いため、全く気づかずに内部情報を第三者に取得されてしまう可能性があります。

情報漏えいの可能性がある場合の対処方法

万が一、情報漏えいの可能性がある場合、企業はどのように対処すればよいのでしょうか。

情報が漏えいした可能性を認知した場合、最優先で行わなければならないことは、情報の所有者(該当者)の利益保護を目的とした、あらゆる対処を即座に行うことです。

まず、情報漏えいの事実確認を行います。ところが、様々な事情(過度なコストカット、業務負荷の高まり、攻撃の高度化・巧妙化等)により、確認および判断に必要な痕跡や記録が残っていないケースが散見されています。そのため、対処をしようとしても、いつ、どこから、どのようにして、どの情報が漏れたのかが確定できずに、対処したくても適切な対処ができないというジレンマに陥ることがあります。これは以前にはあまり見られなかった状況です。

したがって、事後発生時にすべてのシステムをコントロール可能な状況に置くことができ、かつそれぞれのシステムでどのような動作が行われていたのかを即座に把握することができる仕組みを、事前に構築しておくことが最善の対処法となります。以前と異なり、事故発生後の対処を実施できない可能性があることを念頭におく必要があります。

関連する特集

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する