2023/10/05セキュリティソリューション
メール誤送信と対策
CISO事業部 豊田 英稔
本記事では、業務上欠かせないメールにおいて、誰にでも起こりえる誤送信について焦点を当てています。誤送信による被害の実例に触れながら、最も多い原因であるヒューマンエラーについて説明し、これらの問題を防ぐための対策として、
・メール送信待機時間の設定
・オートコンプリート機能の無効化
など、個々のユーザーが取り組むことができる対策を紹介します。
さらに、企業全体として誤送信を防ぐために導入可能なツールとしてアイディルートの「m-filter」をご紹介します。
メールの誤送信は、誰もが当事者になる可能性がありますが、適切な予防措置とツールを使用することで、そのリスクを大幅に軽減することができます。
企業の内部通信、顧客とのコンタクトなど、あらゆる場面でメールが利用されています。コミュニケーションツールだけで完結することは少なく、使い分けることが多いと思います。そうしたコミュニケーションツールの機能の違いによって、メールの誤送信を起こしてしまう可能性も0ではありません。
以下ではメールの誤送信によって生じた被害を、実例を交えてご紹介します。
最初にご紹介する誤送信の例は、「TO」、「CC」、「BCC」のミスによる誤送信です。送信者がこれらの使用方法を正しく理解していない場合、メールが意図しない受信者に送られ、情報漏えいとなる可能性があります。また、下記の記事のように「BCC」欄に記載せず誤って「TO」欄に記載してしまうヒューマンエラーによって、個人情報を漏えいしてしまうこともあります。
*【デジタル庁は4月1日、BCC欄に記載すべき5件のメールアドレスを誤ってTO欄に記載して送信したため、受信者間で他者のメールアドレスが閲覧できる状態になっていたと明らかにしました。】
*出典:"ITmediaデジタル庁、宛先ミスでメール誤送信 「再発防止に努める」としながら2度目の失敗".2022年4月22日公開, ITMEDIA.CO.JP. (n.d.).https://www.itmedia.co.jp/news/articles/2204/01/news166.html
より引用.
次は添付ファイルの誤送信です。先ほどの誤送信と同様に、間違った宛先に重要な添付ファイルを送信することも頻繁に報告されています。この問題は、似た名前の連絡先が多い場合や、送信前の確認不足、メールシステムのオートコンプリート機能が誤った宛先を提案することが原因で起こります。
*【国立大学法人東京工業大学は6月30日、学生の個人情報が含まれるファイルを誤添付したメールを在学中の正規課程学生に送信してしまったと発表しました。】
*出典:"ITmediaデジタル庁、宛先ミスでメール誤送信 「再発防止に努める」としながら2度目の失敗".2022年4月22日公開, 東工大でメール誤送信、約1万件の学生情報を含むファイルを添付. ScanNetSecurity. (2023, July 22). https://scan.netsecurity.ne.jp/article/2023/07/20/49694.html
より引用.
誤送信の報告の中で、最も多い原因はヒューマンエラーです。多忙な業務環境では、間違ったボタンを押す、間違った名前をクリックする、添付すべきでないファイルを添付するなどミスが発生しやすいです。また、多くのメールシステムには連絡先のオートコンプリート機能があります。この機能は時間を節約する一方で、誤った宛先にメールを送ってしまう可能性があります。名前が似ている場合や、頻繁に連絡を取る人を誤って選択してしまうことは珍しくありません。しかし、誤送信は適切な予防措置とツールを使用することで、リスクを大幅に軽減できます。他にも、メールのダブルチェックをすること、CCとBCCの違いを理解して適切に使用すること、重要なメッセージや添付ファイルを送る前に最終確認をすること、送信前に確認する習慣をつけることが、誤送信という大きなトラブルを防ぐ最大の鍵となります。
以下では、メール誤送信の対策として、Outlookのメール送信待機時間の設定と、オートコンプリート機能を無効化する設定をご紹介します。
a)ファイルタブから、「仕分けルールと通知」を選択する。
b)「新しい仕分けルール」を選択する。
c)「送信メッセージにルールを適用する」を選択する。
d)何も選択せずに「次へ」を選択する。(全ての送信メッセージに適用する)
e)「指定した時間分後に配信する」にチェックを入れ、ステップ2の「指定した時間」を選択する。
f)任意の時間を設定する。その後、完了を選択することで反映される。
設定後、送信したメールは「送信トレイ」に入り、任意時間経過後に送信されます。
a)「ファイル」タブから「オプション」を選択する。
b)「メール」タブを開き、「メッセージの送信」からオートコンプリート機能のチェックを外す。
メールの誤送信を防ぐツールとして、アイディルートの「m-FILTER」のご紹介です。メール送信時にポップアップで"気付き"を与えて「うっかり誤送信」をチェックします。他にも誤送信対策として、
・「宛先」「差出人」「本分」「添付ファイル」を条件としたフィルタリングルールの作成
・「添付ファイル自動暗号化」
・「送信ディレイ」
・「上長承認」
・「Bcc強制変換」
・「上長アドレス強制追加」
など様々なメール送信制御を実施できます。最大の特徴は大幅なシステム変更なしで、すぐに利用可能です。ネットワーク構成変更・サーバー新設など大規模なシステム変更がないため、サーバー購入や構築コストをかけずに、短期間で導入でき、管理者ツールを利用すれば、全社共通または部署ごとに一括設定が可能です。
誤送信だけでなくメールセキュリティも実現しています。
・安全なメールだけを受信するホワイト運用
・柔軟な送受信設定で、業務の邪魔をしないメール利用が可能
・外部攻撃対策と誤送信対策を1つの製品で実現
これらのセキュリティ対策により、企業のメールセキュリティを大幅に強化します。
※出典:https://www.daj.jp/bs/mf/より引用
さらに、安全なメールだけを受信する仕組みとして「メールデトックス」を採用しています。「メールデトックス」は、受信したメールの「送信元」「本文」「添付ファイルの拡張子」の偽装判定の実施や、「本文」または「添付ファイル」内のURLを「i-FILTER」と連携してカテゴリ判定などを実施して、特定の閾値を超えたメールは標的型メールと見なして隔離する仕組みです。クライアント端末には隔離通知のみされるため、「安全なメール」だけを端末に受信します。
大規模なシステム変更を必要とせずに、誤送信とメールセキュリティの問題を解決する強力なツールが「m-FILTER」です。企業のメール環境を安全かつ効率的な運用を実現します。
豊田 英稔(とよだ ひでとし)
2023年にアイディルートコンサルティング株式会社(IDR)の前身であるデジタルアーツコンサルティング株式会社に新卒で入社。
大学ではコンピュータサイエンスと情報セキュリティを中心に学び、エンジニアとしてCISOサービス事業部に参画。
監修:吉田 卓史(よしだ たくし)
20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。