電子メール送受信によるセキュリティ事故を防ぐ為のルールを考える

電子メールは、通常、特に暗号化などの措置がなされずに送受信されるため、個人情報や機密情報はメール本文には書かず、パスワードを設定したファイルを添付して送信します。また、送信相手を間違うなどの人為ミスが比較的発生し易く、また、BCC欄に入力すべき複数の送付先アドレスを、宛先欄やCC欄に入れて送信し、送り先に第三者のアドレスを知られて(漏らして)しまう事例は、たびたび報道されており、会社や企業、組織のセキュリティ事故を防ぐ為に、電子メールの送受信には特に注意が必要です。

この記事では、情報セキュリティ担当者が、会社や企業、組織など職場で扱う電子メールの送受信について、適切なルールを定める為の参考となる文言を掲載しています。
スポンサーリンク
スポンサーリンク

電子メールやインターネットは最も警戒すべき出入口

電子メールやインターネットは、標的型メール攻撃やウイルス感染、ランサムウェア被害の経路となることが多く、セキュリティ上、最も警戒すべき「出入口」といえます。会社、企業の機密情報をはじめとした重要データを、インターネット経由のリスクから守るためには人的対策はもちろんのこと、今後は電子メールについては添付ファイルの無害化措置を、インターネットについては仮想化技術をつかった接続をするなど、必要な技術的対策をとることも検討していく必要がありますが、まずは今すぐ出来る対策やルールを見直していきましょう。

電子メール利用時の主なルール

もし、まだあなたの会社や組織に電子メール利用時のルールが明文化されていなければ、次に述べるようなルールを必要に応じて定めましょう。重要な情報を守ることが目的であり、ルールを定めることが目的ではありませんが、ルールを定めれば、折を見て啓発しやすくなる、会社や組織全体の情報セキュリティに対する意識が向上する、など、情報漏えいやマルウェア感染といったインシデントに対する壁が少しずつでも積み上がっていくでしょう。

業務上必要のない電子メールを送受信しない

業務に関係のない私的な電子メールを送受信することは、コンプライアンス的にも社内規定違反になる会社や企業多いはずですが、情報資産の業務外利用となり、情報漏えいの温床にもなります。

HTML形式で送受信ぜず閲覧プレビュー機能も利用しない

HTML形式のメールは、不正なプログラムを埋め込むことが可能なため、テキスト形式のメールのみ送受信する設定にしましょう。設定漏れがあり、意図せずにHTML形式のメールを読み込んだり、添付された不審なファイルを開いたりしないよう、閲覧機能やプレビュー機能も利用しないようにします。

互いに関係のない複数人に、同時にメールを送信する場合、BCC機能を利用するか、個別に送信する

一斉送信する際に、宛先(To)欄やCC欄に入れたアドレスは、一斉送信された全ての受信者が知ることとなります。複数のあて先に一斉に同じメールを送信する際は、メーラーのBCC欄にアドレスを入力して、一斉送信先アドレスが漏洩しないようにしましょう。

初期設定ではBCC欄が表示されていないメーラーもあるので、BCC欄が表示されていなければ、メーラーの取り扱いマニュアル等を確認して表示させます。

私の所属する組織でも、BCCで一斉送信すべきところ、担当者が誤ってCCで送信してしまうというセキュリティ事故は、残念ながら毎年数件発生していました。メール配信業務の委託先が設定ミスによりCCで送信してしまった、という事案もありましたので、個人情報を扱わせる外注先にも厳重なる情報セキュリティ対策を要求する必要があります。

誤送信がないように、宛先や添付ファイルなどを、よく確認する

これは当たり前でもっとも基本的なことですが、実際に起きる事故の多くは、この確認を怠ったために発生しています。送信前には宛先や添付ファイルの内容を再度確認する習慣をつけましょう。

電子メールの自動転送をしない

電子メールの自動転送機能は便利ですが、メールの内容を確認しないまま自動転送すると、当該メールに予期せず重要な情報が記載、添付されていた場合、文字通り取り返しのつかない情報漏洩につながるため利用しないようにしましょう。

不審な電子メールは削除する

電子メールをテキスト形式で受信していれば、メール本文を開いただけでウイルス等に感染することはありません。件名や本文の内容、差出人などを見て、少しでもおかしいなと思ったら、添付されているファイルや本文中に記載されたWebサイトへのリンクを開かず削除しましょう。

私の所属する組織で不審なメールに対する注意喚起を行うと、必ず「心当たりのないメールが届いたが、これは不審メールか?」という問い合わせがきます。その際に1件1件メール内容を調査することは不可能なので、「内容が自分に無関係なら添付ファイルがあっても開かず無視して削除、削除メールフォルダも空にしてください」と一意的に答えています。

機密性の高い情報を送信する場合は、パスワードを付した添付ファイルに記載するなどして、責任者の許可を得て送信する

電子メールの本文は、誰かに見られたり、改ざんされたりするリスクがあると考えてください。機密性の高い情報は、所属長等の許可を得た上で、本文中に記載せず、パスワードを付した添付ファイルで送信します。

当たり前の事をちゃんとやる

ここで述べた電子メールを送受信する際に気をつける事、ルール化すべき事は、多くの人が知っている内容だと思います。しかし当たり前だからとルール化もしていないと、当たり前の事をちゃんとやろうとする企業風土も育たず、「なぜそんな単純なミスをするのか」という人的原因の事故も減りません。ルールとは特別な事を規定するのではなく、当たり前のことをちゃんとやるために定める必要があるのです。

今まではちゃんとやっていたのに、たった一度のうっかりミスで情報セキュリティ事故の当事者になってしまう、そうならないために、あなたの仕事の出入り口となる電子メール送受信の基本をこの機会に今一度見直してみてはいかがでしょう。

CC欄に複数アドレスが入力されている場合、強制的にBCCとして送信したり、送信ボタンをクリックしても再度内容を確認させたりして、電子メールにかかる事故を防ぐシステムが多数あるので、今後導入することも視野に入れておきましょう。ちなみに私の組織では強制的にBCCで送信するシステムを導入して、メールアドレス漏えい事故はなくなりました。
arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。新人の情報セキュリティ担当者に向けた組織の情報セキュリティ対策のヒントや、個人でパソコンやスマホを使う場合の情報セキュリティ対策を、私の実体験を交えながら解説しています。

arisaをフォローする
情報セキュリティマネジメント
arisaをフォローする
情報セキュリティ対策の真実

コメント