『企業における情報セキュリティ実態調査』の2019年版(※1)によると、セキュリティインシデントの分野において、日本国内で「過去1年間で発生した事件・事故」の1位となったのは「電子メール、FAX、郵便物の誤送信・誤配送」です。継続的に行われているこの調査で、この順位は例年大きく変動しません。日本におけるセキュリティインシデントの原因として、メールは常に首位をキープしているのです。
『企業における情報セキュリティ実態調査』の2019年版(※1)によると、セキュリティインシデントの分野において、日本国内で「過去1年間で発生した事件・事故」の1位となったのは「電子メール、FAX、郵便物の誤送信・誤配送」です。継続的に行われているこの調査で、この順位は例年大きく変動しません。日本におけるセキュリティインシデントの原因として、メールは常に首位をキープしているのです。
ちなみに2位は「情報機器・外部記憶媒体の紛失・置き忘れ・棄損」、また4位には「システム設定ミス、誤操作」が入るなど、ヒューマンエラーに起因する事件・事故がいかに多いかがこの調査から読み取れます。
※1 NRIセキュアテクノロジーズ株式会社「NRI Secure Insight 2019 企業における情報セキュリティ実態調査(2019年)」
このように明らかに危険性が指摘されているメールですが、なかなか啓蒙と対策が進みません。個人情報のやり取りにメールを利用するなどというケースは後を絶たず、企業のセキュリティ担当者には頭が痛いところでしょう。
本稿では、メールの問題点を改めて整理し、事件・事故が起こる背景、改善点について明らかにしていきましょう。最後に、メールに代わる個人情報の適切な送付手段についても紹介します。
うっかりミスを起こしやすい構造
メールとは、そもそもミスを誘引しやすい構造になっています。メールの利用用途は、機密を含んだビジネス上のやり取りのほか、CC/BCCによる参考レベルの情報共有、さらには宣伝・広告の配信など多岐に渡り、個々のメールに求められるセキュリティレベルの高さには大きなばらつきがあります。求められるセキュリティレベルの違う案件が1つのトレイに一斉に並ぶ状況は、ユーザーの混乱を招き、ミスを誘発しやすい環境を作ります。
送ってしまったら「後の祭り」
ひとたび誤送信をしてしまったら、後から対策は取れません。第三者のチェック、いつでも高機密データを送信できてしまうのに、ミスをしたら取り返しがつかないという点は、大きなリスクととらえるべきです。
また、誤送信で特に注意したいのがインクリメンタルサーチ(※2)です。された同じ苗字の別人に、誤ってメールを送った経験のある方も多いのではないでしょうか。メールは日常使うインフラとして、より便利に、より快適に使えるよう、最適化されているものですが、セキュリティと利便性がトレードオフであることを考えると、この便利さが落とし穴になることを留意しましょう。
少なくとも、個人情報の受け渡しに使う送受信の手段には、なんでも気軽に送れないようにすること、送信した後でも取り消しできる機能が欲しいところです。
※2 文字入力1字ごとに対し、即座にアドレスの候補を表示する機能。メーラーの設定でオフにすることが可能。
メールを過信する人々からよく聞こえてくるのが、「添付ファイルを暗号化しているから大丈夫」という声。まず、暗号化と一口に言われますが、セキュリティの強度は暗号化の手法によって大きく異なります。簡単に復号化できるレベルの暗号化では、対策の意味はたいしてないでしょう。
パスワードそのものの安全性にも目を向けてください。多用されるのが、「日付と社名の組み合わせ」といったパスワード。企業で働く方なら、誰しも思い当たる節があるのではないでしょうか。ちなみに、このようなレベルのパスワードは、手軽に入手できるツールで大抵が簡単に破れます。
また、たとえ複雑なパスワードだとしても、添付ファイルを送ったすぐ次のメールで立て続けにパスワードを相手に送ることには、あまり意味がありません。盗聴される場合、同じ回線、プロトコルから送られたメールは、同時に見られている可能性が高いのです。さらに、誤送信の観点でも、同じ相手に立て続けにメールを送ることは推奨できません。多くの場合、同じ相手に2回続けて誤送信することにつながります。
暗号化のセキュリティレベルは、そのアルゴリズムはもちろんのこと、パスワードの強固さ、複雑さまで見越して評価する必要があります。こうした目で見た時、個人情報の扱いに適さないケースは多々あるのです。
上記の理由から、メールによる個人情報の送受信は、避けるのが正解だということは明らかです。決して漏えいさせてはいけない個人情報と、重要度の低い情報を同じツールで取り扱うのはミスの元。機密性の高いデータには相応の受け渡し手段を用意することで、ユーザーの気持ちの切り替えにつながります。
メールに代わる送信手段
ここからはメールに代わり、個人情報をやり取りするのに相応しいファイル転送サービスについて説明します。
ファイル転送サービスは、当初「郵便書留の電子化」というコンセプトで開発されました。送ったデータが相手に届いたかどうかの確認まで、電子データの世界でもしっかり担保するという、機密度の高いデータのやり取りに適したサービスです。
ただし、現在は様々な企業により、多様なコンセプトのファイル転送サービスが提供されています。なかには、無料の個人向けサービスなど、高機密データの扱いにはまったく適さないものも含まれますから、利用するには見極めが必要です。
扱うファイルや業務によってはファイル転送サービスを、個人情報保護法で定める「個人情報の委託先」ととらえるケースもあるので、やはり選定は重要です。
なお、ファイル転送サービスと個人情報、セキュリティに関しては、こちらの記事で詳しく解説していますので、ぜひご一読を。
NRIセキュアテクノロジーズの「クリプト便」は、ファイル転送サービスの本来のコンセプトを現在に受け継ぐサービス。個人情報をはじめとする、高機密データの確実な受け渡しを可能にします。
なお「クリプト便」は、株式会社アイ・エス・レーティングによる「情報セキュリティ格付け」において、クラウド(ASP/SaaS)サービスとしては2011年当時として初めて、国内最高のセキュリティ格付けAAAisを取得したサービスでもあります(全17段階中最高位)。
●第三者承認によるチェックと送信取り消しが可能
上長などの承認後にファイルの送信を可能にする「事前承認」と、送信と同時に上長にも確認メールを送る「事後承認」の2つの承認機能を用意しています。組織ごとに異なる業務ポリシーに応じた設定に対応。送信先や送信ファイルの間違いなど、うっかりミスを確実に防ぐための重要な機能です。
また、たとえ送ってしまった後でも「送信取り消し機能」を利用することで、その瞬間から受信者によるクリプト便からの当該ファイルダウンロードができなくなります。メールでは実現できない、ファイル転送サービスだからこその機能です。
●破られにくい、高度な暗号化
TLSによる通信の暗号化とAES方式によるファイルの暗号化で機密性を向上させています。また、SaaS型IRMソリューション「FinalCode」と組み合わせて利用すれば、相手にダウンロードされた後のファイルの取り扱い(閲覧、編集、印刷など)も、予め許可した権限のみに限定可能です。万が一の情報流出時にも「取り返しの効く」体制が実現します。