Digital Arts News Watch

2017/03/30   
メール誤送信    クラウドのセキュリティ    m-FILTER   

Office 365やGmailなどの安全な運用には欠かせない「メール誤送信対策」

Office 365やGmailの導入を機にメール誤送信対策を強化

文部科学省は2017年1月10日、機密の人事情報を誤って省内全職員へメール送信した旨を発表しました。またそのわずか2日後、今度は厚生労働省が個人情報を含むファイルをメールに添付して外部へ誤送信したニュースが流れました。これらの例を見ても分かる通り、メール誤送信に起因する情報漏洩事故は日々あちこちで頻発しています。デジタルアーツが独自に行ったアンケート調査でも、6割以上の企業がメールの誤送信を経験しているにも関わらず、メール誤送信対策ソフトを導入しているのは約4割に留まっているという結果が出ています。

言うまでもなく、メール誤送信対策を怠ったばかりに情報漏洩事故を引き起こした場合、企業は賠償金の支払いをはじめとする莫大な実害を被るだけでなく、社会的信用の失墜も免れません。加えて、このようなメール誤送信リスクは、企業のIT施策にもさまざまな面で影響を及ぼしています。

近年、Office 365やG Suiteといったクラウド型業務アプリケーションを導入する企業が急増していますが、総務省が発表した平成28年度版「通信利用動向調査」によると、クラウド導入企業の半数以上がクラウドメールを利用しています。しかしその一方で、セキュリティ上の不安からメールをはじめとするクラウドサービスの導入に踏み出せない企業が約4割、との結果も公表されています。

改訂版「中小企業の情報セキュリティ対策ガイドライン」でも求められる誤送信防止

IPA(独立行政法人情報処理推進機構)は、中小企業の経営者・情報資産管理者やIT担当者が情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順等を示した「中小企業の情報セキュリティ対策ガイドライン」※1 を7年ぶりに刷新、2016年11月に公開しました。
刷新された第2版ではガイドライン本編とは別に「ツール」として、「情報セキュリティポリシーサンプル」を提供していますが、この中の「No.7  IT機器利用」では、「電子メールの利用」について、初版にはなかった詳細なポリシーサンプルを追記しています。

以下は、同ガイドラインの「付録3 - <ツールB>情報セキュリティポリシーサンプル」No.7からの引用です。

4.4 電子メールの利用
従業員は、業務で電子メールを利用する際には以下を実施する。

<誤送信防止>
●電子メールソフトの即時送信機能を停止する。
<メールアドレス漏えい防止>
●同報メール(外部の多数相手に同時に送信するとき)を送信する場合は、宛先(TO)に自分自身のアドレスを入力し、BCCで複数相手のアドレスを指定する。
※CC又は宛先(TO)に複数アドレスを指定すると、送信相手に複数全員のアドレスが通知され、個人情報の漏えいになります。
<傍受による漏えい防止>
●社外秘又は極秘の情報資産を送信する場合は、メール本文ではなく添付ファイルに記載し、ファイルを暗号化して送信する。

(引用元:IPA「中小企業の情報セキュリティ対策ガイドライン」付録3-<ツールB>情報セキュリティポリシーサンプル)

上記はあくまでも「情報セキュリティポリシー」の「サンプル」とあり、必須要件ではありません。しかし、直接の拘束力はないとしても、速やかに対応を進ることが望ましい項目だと考えられます。

標的型メール攻撃対策だけでなく、誤送信対策にも有効な「m-FILTER」

上述のような誤送信対策を全社一括で実施できるソリューションとして、デジタルアーツではゲートウェイ型メールセキュリティ製品「m-FILTER」を提供しています。「m-FILTER」は前回記事でもご紹介したように標的型メール攻撃に有効なメールセキュリティですが、同時にきめ細かい誤送信対策が可能な製品として実績があります。「m-FILTER」は、電子メールフィルタリング・アーカイブ市場において、出荷本数ベースで44.8%ものシェアを誇る、導入実績No.1※2の製品です。

この「m-FILTER」をOffice 365やGmailと組み合わせて運用することで、Office 365やGmailの標準機能では提供されないセキュリティ機能を補填し、クラウドサービスをより安心して導入・利用できるようになります。例えば「添付ファイルのZIP暗号化」は日本の企業・官公庁や自治体において利便性とセキュリティの両方の観点から大変ニーズの高い誤送信対策機能ですが、米国を始めとする海外では添付ファイルをZIP暗号化し、ZIPパスワードを別途メールで通知するような運用は一般的ではないため、Office 365やGmailではこれに対応する機能は提供されていません。

「m-FILTER」を導入することで、Office 365やGmailでは未提供のセキュリティ機能が補完できるようになります。「m-FILTER」は「添付ファイル自動暗号化」だけではなく、上述したIPA「中小企業の情報セキュリティ対策ガイドライン」の「情報セキュリティポリシーサンプル」に記載されている内容をすべて実現できます。

Lotus Notes環境のリプレースを機に「m-FILTER」を導入するケースも

メール誤送信対策の見直しや強化の契機は、何もクラウド移行時だけではありません。最近よく見られるのが、長年運用し続けてきたメール環境、例えばLotus Notes環境からExchange ServerやOffice 365など異なるメールシステムに移行する際に、あわせて「m-FILTER」を導入してメール誤送信対策の強化を図るというケースです。

前述のように、Exchange ServerやOffice 365では提供されていない添付ファイルのZIP暗号化も、「m-FILTER」なら簡単に追加導入できますし、その他の各種メール誤送信対策もあわせて強化できます。また、Office 365のクラウド型メール環境と、オンプレミスのExchange Serverのメール環境が混在したハイブリッド環境においても、メール誤送信対策を一括して行うことができます。

加えて、「m-FILTER」はメールアーカイブ機能も提供していますが、これもオンプレミスのExchange Serverとクラウド型のExchange Online(Office 365)、いずれのジャーナルメールアーカイブにも対応しています。特にクラウドメールのアーカイブをオンプレミスの「m-FILTER」に保持しておくことは、Office 365などのクラウドメール側がメンテナンス中であってもメールをいつでも検索でき、かつ、「アーカイブメールを他社に預けるのは不安なので、手元に置きたい」という情報システム担当者の意向も叶えることができます。

他製品との連携による「m-FILTER」の活用事例

既にさまざまな業種・業態の企業が、こうした「m-FILTER」のメリットを生かして、強固なメール誤送信対策を実現しています。例えば、医療機関もその1つです。医療機関ではカルテをはじめとして、患者の個人情報を多く扱うため、メール誤送信による個人情報漏洩防止には万全を期す必要があります。そこで「m-FILTER」と、ファイル暗号化・追跡ソリューション「FinalCode」を組み合わせ、院外に送信されるメールの添付ファイルを自動的に高度な暗号化(「IRM」暗号化)することで、万が一メールの誤送信でファイルが漏洩しても、患者の個人情報は漏洩させない仕組みを実現できます。

「FinalCode」との連携によるメール誤送信による情報漏洩対策

他にも、個人情報を含む添付ファイルのみ送信を禁止(削除)し、本文メールは添付送信許可するといったような運用も、「m-FILTER」をご利用いただくことで簡単に実現できます。個人情報保護法改正によって、マイナンバーを含む個人情報の漏洩について企業の法的責任が拡大する昨今、このような「個人情報の添付送信禁止」の機能はますます求められる傾向にあります。 業務上、個人情報をどうしても外部に提供したい場合は、個人情報を含む添付ファイルを削除する代わりに、自動的にファイル転送サービス「クリプト便 for m-FILTER」経由で指定した宛先に送ることも可能です。「クリプト便 for m-FILTER」経由での送信であれば、受信者はファイルダウンロード用のURLリンク通知を受け取るため、インターネットメールによるファイル送信時の盗聴の心配もありません。こうした機能をうまく活用することで、メール添付送信による情報漏洩のリスクを劇的に低減できます。

「m-FILTER」はこのほかにもさまざまな業種・業態の企業でメール誤送信対策として採用され、確かな実績を上げています。製品ページではそうした導入事例の紹介も行っていますので、興味を持たれた方はぜひご参照ください。
<「m-FILTER」製品担当:三浦>

資料のダウンロード(Office 365やGmailへの移行によるセキュリティとコストの課題を解決する方法)

Office 365やGmailでのメール誤送信対策には「m-FILTER」をおすすめします。

m-FILTER