-
タグ
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- OWASP
- SASE
- Tech Crawling
- XDR
こんにちは。デジタルアイデンティティ&ガバナンスグループの牛田です。
突然の質問ですが、当記事をご覧いただいている方のなかでメールの誤送信をしてしまった、またはメールの誤送信をしてしまいそうになった経験をお持ちの方はいらっしゃいますでしょうか?
ビジネスにおいて昔から利用され続けてきた電子メールですが、誤送信による情報漏えいは後を絶たず今でも起こり続けています。この記事では、これまでのメールの誤送信対策を振り返りながら、これからの具体的な誤送信対策をまとめます。
個人情報漏えい、メールの誤送信が依然として多い現状
今日まで報告されている事例の多くは「ファイルの誤添付」や「宛先メールアドレスの誤設定」によるものが大半を占めています。
一般財団法人日本情報経済社会推進協会(JIPDEC)の「2023年度 個人情報の取扱いにおける事故報告」によると、2023年度の事故報告件数は9,208件で、事象分別の記載があった7,460件のうち2,138件(28.7%)が誤送信と報告されています。また、原因別で見ると「作業・操作ミス」が3,824件、「確認不足」が2,844件と担当者のヒューマンエラーによる事故が目立ちます。
2023年度「個人情報の取扱いにおける事故報告集計結果」
これまでのメール誤送信対策と事後対応
現代のビジネスにおいて電子メールは欠かせないコミュニケーションツールですが、その便利さゆえに誤送信というヒューマンエラーが発生することも珍しくありません。
一通のメールが引き起こすリスク
もしメールの誤送信により情報が漏えいしてしまった場合、どうなるのでしょうか?
- ①個人情報や機密情報の漏えい
※ 損害賠償請求の事例あり - ②信用の低下や取引企業数、規模の縮小
- ③誤送信をした本人、ならびに上長の対応工数の増大
一通のメール誤送信で企業が受ける損害や損失は図りしれません。
これまでのメール誤送信対策
多くの企業が、宛先の選択ミスや添付ファイルの間違いが情報漏えいや信用失墜といった深刻な問題に繋がるリスクであることを認識し、メール誤送信対策をしています。
- 宛先メールアドレスや添付ファイルの指差し確認
- 宛先メールアドレスや添付ファイル送信時に上長や同僚とダブルチェック
- PPAP(パスワード付きZIPファイルを送り、別メールでパスワードを送る)による対策
- PPAP(パスワード付きZIPファイルを送り、別メールでパスワードを送る)の際に上長や同僚とダブルチェック
しかし、ここまでやってもメールの誤送信を完全に無くすことは非常に難しいです。その理由の一つに、チェックをするのが人、操作をするのが人。結局は「人がオペレーションをするから」という現実があります。
メール誤送信発生時の対応
一度送ってしまったメールは送信者側で意図的に削除することは困難です。そのため、誤送信が発生した場合は送ってしまった相手と本来送るはずの相手方にお詫びをし、送ってしまった相手へメールの削除を依頼することしかできません。そして送ったファイルの内容から影響範囲を確認したうえで関係者へ謝罪し、その後の対策を講じることになります。
これからのメール誤送信対策
いくら気を付けても、送信者やチェック者が人である以上無くならないメール誤送信問題。人ではなくシステムに置き換えて対策する場合、具体的にどのように是正していけば良いのでしょうか。
- 送信前に気付く仕組みを作る
→誤送信対策機能 - 誤って送ってしまっても、取り消す仕組みを作る
→PPAP代替機能
メール誤送信対策に有効な3つの機能
大きく分けると、以下3つの観点となります。メールが送られる前に、気付ける仕組みや気付いた直後に取り消す仕組みをシステム的に用意するのが昨今のトレンドです。
送信時宛先チェック
メール送信時に宛先メールアドレスが正しいか確認ポップアップを表示し、「OK」ボタンを押さないと送信させない機能です。誤って送信ボタンをクリックしてしまった場合の送信キャンセルや、宛先メールアドレスの再確認が行えるものです。
一時保留
メール送信後、メールサーバー上で一時保留され一定期間経過後に送信される機能です。送信直後に誤送信に気が付くケースも多々あり、送信キャンセルをすることで誤送信を未然に防げます。
条件処理
あらかじめルールを設定し、その条件に応じた処理が行われる機能です。例えば、添付ファイルがある場合は送信をブロックしたり、上長をCcに追加ができたり、To/Cc/Bccに社外のドメインが含まれている場合は上長へ申請処理がまわり、上司の承認後にメールが送信されるなどのルールが設定できます。
クラウドメールサービス(Microsoft ExchangeやGmail等)を利用する企業も増えてきていますが、誤送信対策機能はメールサービスの契約プランによって利用できる場合もありますのであらかじめ契約内容を確認することをお勧めします。
PPAP代替機能
そもそもPPAPがNGな理由
PPAP方式のメール送信はメール誤送信時の取り消しが困難です。さらに添付ファイルを第三者に転送されてしまう情報漏えいリスクもあります。また、メールサービスやネットワーク上のウイルスチェックが行えずにウイルスを拡散させてしまうセキュリティリスクが潜在しています。
PPAP代替≒クラウドストレージ経由でのファイル受け渡し
クラウドストレージ経由のファイル受け渡しでは、相手方のアクセス権を付与したうえでファイル共有を行うため、第三者による閲覧や、ファイルをダウンロードされることはありません。また、万が一共有するファイルに誤りがあった場合は、アクセス権の削除や招待URLを無効にすることが可能です。
PPAP代替を自動化
PPAP代替としてクラウドストレージにアップロードしたファイルの共有リンクを付与する受け渡し方法が主流となりましたが、昨今ではユーザの利便性を高めるために、添付ファイルの共有リンクを自動化するソリューションも増えています。
これにより、8つのステップで行っていたファイルの受け渡しが、たったの4つのステップで行えるようになります。
- 共有リンクの自動化前
- ①送付するファイルを確認
- ②Webブラウザからクラウドストレージにログイン
- ③ファイルをアップロード
- ④共有・権限設定しリンク発行
- ⑤発行したリンクをメール本文に追記
- ⑥メール本文に追記したリンクにアクセスし、閲覧状況やファイルの中身、共有先が正しいか確認
- ⑦メールの宛先・本文の会社名・宛名を確認
- ⑧メール送信
- 共有リンクの自動化後
- ①送付するファイルを確認
- ②添付ファイルをzip圧縮せずメールに添付
- ③メールの宛先・本文の会社名・宛名を確認
- ④メール送信
メール誤送信対策機能とPPAP代替機能の導入ポイント
メールサービスの契約状況を確認する
メールサービスの契約プランによって誤送信対策機能の利用が可能な場合があります。可能な場合は、メールサービスの誤送信対策機能の利用を検討ください。
| 機能 | 区分 | Outlook(Exchange) | Gmail(Google Workspace) |
|---|---|---|---|
| 送信時確認 ポップアップ |
誤送信対策 | メールヒント機能 ※ Exchange Online契約 |
Safety for Gmail (Chrome拡張機能) ※ Googleより無料機能 |
| 一時保留機能 | 誤送信対策 | 遅延送信機能 ※ Exchange Online契約 |
送信取り消し機能 ※ Gmailの設定で30秒まで取り消し可能 |
| 条件処理 | 誤送信対策 | トランスポートルール ※ Exchange Online契約 |
Gmail DLP利用により可能 ※ Enterprise Standard契約 |
| PPAP対策 | PPAP対策 | クラウドストレージ契約が別途必要。また、メール利用者による運用負荷軽減のため共有リンクの自動化製品もご検討ください。 | |
| 機能 | 区分 | Outlook (Exchange) |
Gmail (Google Workspace) |
|---|---|---|---|
| 送信時確認 ポップアップ |
誤送信対策 | メールヒント機能 ※ Exchange Online契約 |
Safety for Gmail (Chrome拡張機能) ※ Googleより無料機能 |
| 一時保留機能 | 誤送信対策 | 遅延送信機能 ※ Exchange Online契約 |
送信取り消し機能 ※ Gmailの設定で30秒まで 取り消し可能 |
| 条件処理 | 誤送信対策 | トランスポートルール ※ Exchange Online契約 |
Gmail DLP利用により可能 ※ Enterprise Standard契約 |
| PPAP対策 | PPAP対策 | クラウドストレージ契約が別途必要。また、メール利用者 による運用負荷軽減のため共有リンクの自動化製品もご検 討ください。 |
|
契約プランで対応していない機能はサードパーティ製品と組み合わせる
メールサービスやクラウドストレージによっては、サードパーティ製品と組み合わせることによりセキュリティと利便性を高めることができます。
・誤送信対策機能のみGmailを利用する例
| 機能 | メールサービス(Gmail) | クラウドストレージ(Box) | PPAP対策の自動化 |
|---|---|---|---|
| 送信時確認ポップアップ | Safety for Gmail (Chrome拡張機能) ※ 無料機能 |
- | - |
| 一時遅延機能 | 送信取り消し機能 ※ Gmailの設定で30秒まで取り消し可能 |
- | - |
| 条件処理 | Gmail DLP利用可能 ※ Enterprise Standard以上 |
- | - |
| PPAP対策 | - | 〇 (URLを手動送付) |
〇 (URLを自動送付) |
| ストレージ指定 | - | - | Box/OneDrive/Google Driveより選択 |
| 備考 | - |
|
遅延機能や条件処理機能がないため、メールサービス側で対応プランを要検討 |
| 機能 | メールサービス(Gmail) | クラウドストレージ(Box) | PPAP対策の自動化 |
|---|---|---|---|
| 送信時確認 ポップアップ |
Safety for Gmail (Chrome拡張機能) ※ 無料機能 |
- | - |
| 一時遅延機能 | 送信取り消し機能 ※ Gmailの設定で30秒まで 取り消し可能 |
- | - |
| 条件処理 | Gmail DLP利用可能 ※ Enterprise Standard以上 |
- | - |
| PPAP対策 | - | 〇 (URLを手動送付) |
〇 (URLを自動送付) |
| ストレージ指定 | - | - | Box/OneDrive/ Google Driveより選択 |
| 備考 | - |
|
遅延機能や条件処理機能が ないため、メールサービス 側で対応プランを要検討 |
・メールサービスに誤送信対策機能がないため、サードパーティ製品を利用する例
| 機能 | メールサービス | クラウドストレージ(Box) | PPAP対策の自動化 |
|---|---|---|---|
| 一時遅延機能 | × | - | 〇 |
| 条件処理 | × | - | 〇 |
| PPAP対策 | × | 〇 (URLを手動送付) |
〇 (URLを自動送付) |
| ストレージ指定 | × | - | Boxのみ |
| 備考 | - |
|
海外からのアクセスに弱い(接続できない場合がある) |
| 機能 | メールサービス | クラウドストレージ (Box) |
PPAP対策の自動化 |
|---|---|---|---|
| 一時遅延機能 | × | - | 〇 |
| 条件処理 | × | - | 〇 |
| PPAP対策 | × | 〇 (URLを手動送付) |
〇 (URLを自動送付) |
| ストレージ指定 | × | - | Boxのみ |
| 備考 | - |
|
海外からのアクセスに弱い (接続できない場合がある) |
推奨するクラウドストレージ
共有リンクを自動化する製品によってはOneDriveやGoogle Driveなどを利用できるものもありますが、そのなかでもBoxを推奨します。
- 強固なセキュリティ対策
Boxは他のクラウドストレージと比較しても数多くのアクセス権を設定することができます。誤って違う人にメールを送ってしまっても、アクセス権をコントロールすることで閲覧を無効にしたり範囲を絞ったりすることができます。
その他にもディープスキャンやAIによる不正アクセス検出、ファイルの削除制御、無制限のバージョン管理など高度なコンテンツセキュリティ機能が豊富であることから、安心して運用することができます。 - 容量無制限
何といってもBoxの最大の特徴は容量無制限である点です。添付ファイルをBoxに移動することでメールボックスのストレージ容量を気にすることなく利用でき、コスト削減にも繋がります。
メールだけに限らず、通常業務における非構造化データ(ファイル)や機密情報の一元管理などITガバナンスを実現することができます。
上記理由以外にも連携できる製品が圧倒的に多いこともBoxの強みとなり、クラウドストレージの枠を超えた利用用途や利用価値があります。
さいごに
1970年代より今日まで使われてきたメールですが、コミュニケーションの用途ではSlackやTeamsのチャット機能に代わりつつあるもののクラウドやSNS等の認証用途で今後も引き続き使われる見込みです。私たちのビジネスで一番親しまれてきたものだからこそ、今一度見直してみてはいかがでしょうか。
お客様環境に応じて適切なセキュリティを紹介させていただきます。お困り事がございましたらラックまでお声がけください。
プロフィール
牛田 徹
インフラエンジニアとアカウント営業を経験し、現在はプリセールスとしてゼロトラストを軸にお客様のセキュリティ課題の解決に向けたご支援をしています。
プライベートでは娘2人の育児に奔走中。仕事と育児の両立で今後も頑張ります。
この記事をシェアする
関連記事
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- もっと見る +
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- OWASP
- SASE
- Tech Crawling
- XDR