EN

【メール誤送信を徹底解説】普段の防止策から「やってしまった」時の対処法まで

2019年版の『企業における情報セキュリティ実態調査』(※1)によると、日本国内の企業で過去1年間に発生したセキュリティインシデントのうち、一番多いのは「メールなどの誤送信」です。そしてメール誤送信は、些細なヒューマンエラーに起因することがほとんどですが、その結果、重大な事故を招くこともある高リスクのインシデントです。

本稿では、法人が誤送信対策に取り組む際に考えるべきこと、効果のある対策に加え、実際に誤送信をしてしまった際の対応について説明しています。「今まさに誤送信してしまった」という方は、こちらからご確認ください。

※1 NRIセキュアテクノロジーズ株式会社「NRI Secure Insight 2019 企業における情報セキュリティ実態調査(2019年)」

Cryptobin_ja_Logomark-RGB(posi 80)

なぜ、メール誤送信はなくならないのか? 

まず、最初に認識しておきたいのが、メール誤送信とは、あくまでもヒューマンエラーだという点です。システムやネットワークのために、いくら充実したセキュリティ機能を用意しても、アドレスを選んで送信ボタンを押すのが人間である以上、「うっかりミス」が起こる可能性は排除できません。どんなに対策しても、いつかは起こってしまうと考えるべきものなのです。

「高リスクなのに緊張感ゼロ」というメールの現実

メール送信は、一般的なメーラーを利用している場合、基本的に1人のユーザーの作業で完結する行為です。本文とタイトルを書き、必要ならばファイルを添付し、メールアドレスを入力する。たったこれだけの工程で、相手が世界中のどこにいようと送信されていくわけです。機密データを添付したメールですら、数クリック程度の操作で送信されてしまいます。操作ミスを招き、被害を大きくする要因の1つとして、この手軽さが挙げられます。

また、メーラーに搭載された便利な機能も、ヒューマンエラーの原因になります。例えば、メールアドレスを1字入力するたびに検索候補を示してくれるインクリメンタルサーチはとても便利な機能です。しかし、先頭部分が同じ文字列の別のアカウントを選択してしまい、ヒヤリとした経験はありませんか?

そして、CCBCCの入力ミスといった極めて初歩的なミスも、メール黎明期から変わらぬリスクとして存在し続けています。技術がいくら進歩しても、人間が操作してメールアドレスを選択する限り、ミスをなくすのは難しいものです。そのため、名刺から手打ちで文字列を転記する際にも、入力ミスは頻繁に起こります。

そもそもメールというものは、非常に誤送信を起こしやすいツールです。受信トレイには、ビジネス上の重要な情報からダイレクトメールまで、機密度の違う様々なメールが寄せ集めの状態で並んでいます。毎日あたり前のように、このような状態で利用しているせいで、危険性についての感覚が麻痺している人が大半です。緊張感の欠如が誤送信を招きやすい環境を作っているとも言えるでしょう。

knowledge-9-1

 

誤送信はなくせない、それならば……

ここまでで述べてきたように、誤送信をゼロにすることは、おそらく不可能です。しかし、減らすことはできます。ここでは誤送信対策として、どんな点に注意すればよいか?ポイントを紹介します。

個人の裁量で、気軽に送信できないように

「送ったものは取り返しがつかない」という、メールの弱点を補う仕組みについて検討しましょう。例えば、なんでも気軽に個人の裁量で送信できないようにする仕組みです。上長による承認機能は誤送信対策として効果的です。代表的な誤送信対策ツールの1つ、デジタルアーツ社の「m-FILTER」は、宛先に社外へのアドレスが含まれるメールについては、上長の承認を要求するなどの機能を搭載しています。また、メールを一時的に送信サーバーに留めて、時間をおいてから送信することも可能です。

「もうメールは使わない」という選択肢

いっそメールの利用を止めてみる──、という選択肢も存在します。非現実的な対策に聞こえるかもしれませんが、実は、これも有効です。もちろん、すべてのメールの利用を廃止するということではありません。添付ファイルの重要度によってはメールの利用を禁止して、ファイル転送/共有サービスなど、別のプラットフォームを利用するという使い分けです。

ヒューマンエラーの温床であるメールから、重要度の高い情報を切り離すことは、大きな効果の見込める施策です。緊張感の薄れがちな社員たちの意識を切り替えるためにも、このような方法は有効でしょう。


knowledge-9-2

誤送信対策としてのファイル転送/共有サービスなら「クリプト便」

「クリプト便」は、メールに代わる安全なデータのやり取りに適したファイル転送/共有サービスです。安全なサーバーを介してファイルをやり取りする仕組みを採用しており、万が一の誤送信時、サーバーのデータを削除することで、送信先がダウンロード前ならば、ファイルの流出を防ぐことも可能です。

また、承認後にファイルの送信を可能にする「事前承認」と、送信と同時に上長にも確認メールを送る「事後承認」の2つの承認機能も用意。こちらも誤送信対策として有効です。

ユーザーの権限をコントロールする仕組みの一つ、「クローズドグループ」を使えば、あらかじめ登録されたグループ内でのみファイルの送受信を行うことも可能です。これならば、たとえ誤送信を行ってしまったとしても、少なくともグループ外へと情報が漏えいすることはありません。

クリプト便のファイル転送/共有サービスについて、詳しくはこちらからご確認ください。

誤送信をしてしまった時にすべきこと

実際に誤送信をしてしまった場合には、どのように対策すべきでしょうか?一番問題なのが、自分で判断してなんとかしようとすることです。誤送信に気付いたら、自社のセキュリティ・ホットラインに連絡することが大切です。多くの企業のセキュリティ部門は、インシデントに対する窓口を開設しており、状況に合わせた対策を講じています。

なお、クレジットカード番号、個人情報の誤送信のようなセキュリティインシデントに対応するには、管理面・技術面において素早く専門的な対応が求められます。流出したメールの重要度や影響範囲の調査、証拠の保全、顧客対応、再発防止策の策定など、すべきことは山積です。

セキュリティ事故の対応支援については、NRIセキュアテクノロジーズでも専門家によるコンサルティングを実施しています。詳しくはこちらからご確認ください。