セキュリティの
学び場

今回の解説ニュース

キャンペーンサイトでメールの誤送信が発生し、個人情報が漏えいしてしまったということです。メール誤送信の対策やセキュリティポリシーの見直しについて説明します。

今回のインシデントは、県が事務局を委託する企業が、宿泊施設の従業員氏名を含むメールアドレスが記載されたファイルを添付したメールを誤送信したことが、送付先の宿泊施設からの問い合わせで発覚しました。原因として、送付先メールアドレスをシステムにアップロードすべきところ、誤って送付先リストを添付してしまったことが挙げられています。

対策として、誤送信先全てに謝罪とデータ削除依頼のメールを送信しています。また、県は委託契約書等の規定内容を遵守するよう改めて指導するとともに、これらの実施状況について随時報告を求めています。再発防止策として、ダブルチェックを実施し宛先・内容等の確認を徹底し、監督者を増員するとともに作業時の指示監督系統を明確化し、これらを含む業務マニュアルを整備するということです。

なお、委託を受けていた企業では、ISO/IEC 27001を取得しており、同社の情報セキュリティ基本方針では「情報資産の保護を危うくする行為を行なった者は、就業規則および法令等に従い処分を行なう」としています。

誤送信添付ファイルの削除は受信側に委ねられる

添付ファイルをメールで誤送信してしまった場合は、受信者に削除をお願いするしかありません。ただし、添付ファイルにクラウドストレージなどを利用している場合は、送信者がファイルを削除することができる場合があります。

メールを誤送信してしまった場合、メールと添付ファイルのデータは受信者のパソコンに保存されます。パソコンに保存されたデータの操作は、基本的に所有者であるメールの受信者にゆだねられます。よって、メールの削除が必要であれば受信者に依頼することが必要です。メールアプリによっては、送信者からメールの削除依頼を出せる機能がある場合もありますが、削除が実行されるかどうかは受信者の判断に依存します。送信者がメールを勝手に削除できてしまうと、セキュリティ上の問題だけではなく、言った言わないや契約上の問題も発生してしまうからでしょうか。

メール自体を削除することは難しいのですが、添付ファイルにクラウドストレージ等を利用している場合は、送信者が削除することができます。添付ファイルが実際にダウンロードされた場合もクラウドストレージのログから確認することが可能です。ただし、パソコンにダウンロードされた添付ファイル自体はメールと同じく、受信者に対して削除依頼をするしかありません。理由はメールの添付ファイルと同様に、パソコンに保存されたデータの操作は所有者のみが行えるからです。

一般企業がセキュリティ規則を見直すタイミングは？

セキュリティ規則やセキュリティポリシーの見直しは、社会状況が変化したり、新しいセキュリティの脅威が発生したりした際に行うことが必要です。

働き方の変化で見直すセキュリティ対策

ここ3年間で日本人の働き方も大きく変わりました。働く場所として在宅勤務が進み、訪問先の会議室で行っていた打ち合わせもWeb会議に置き換わりました。そのような社会状況の変化に合わせて、セキュリティ対策もその変化に対応させるために、セキュリティ規則も見直すことが必要です。

社内インシデントを招く「シャドーIT」

例えば、Web会議にどのようなサービスを利用していいか規則を定めることは、従業員のシャドーIT利用を抑止します。シャドーITとは、組織の管理者が把握せず、従業員の判断で使われているデバイスやサービスです。セキュリティの設定が各個人に委ねられることで、十分なセキュリティが担保できずにインシデントの原因につながる可能性があります。

現在のセキュリティポリシーに不足がないかを評価する

また、新種のマルウェアやフィッシングの新たな手口など、新しいセキュリティの脅威は日々発生しています。かつては有効であったセキュリティ対策やルールが、すぐに陳腐化してしまうこともしばしばです。そこで、最新のセキュリティ情報を収集しながら、現在のセキュリティポリシーに不足がないか評価することが必要です。セキュラジもリスナーの皆さんにとってセキュリティ情報を収集する方法の一つですね。

今回はメールの誤送信対策とセキュリティポリシーの見直しについて取り上げました。ミスは発生するものと理解した上で、利用者が安全にインターネットを利用してもらうために、適切なセキュリティポリシーが必要とされます。