セキュリティの
学び場

今回の解説ニュース

ルール違反とメール誤送信が重なり、個人情報が漏洩してしまったということです。メール誤送信で管理者ができる対策や、イベントなど一時的なシステムのセキュリティ対策について説明します。

今回のインシデントは、専用サイトからテストを受験した生徒の成績ファイルをダウンロードしたものを、エクセルファイルとして添付したメールを正担任に送信した際に、誤って別人に送信してしまい、個人情報が漏洩してしまったということです。原因として、添付データにパスワード設定していない状態で、メールアドレスを誤入力したことが挙げられています。なお、学校のセキュリティポリシーでは、生徒の個人情報は原則としてメール送信できず、送信しなければ職務の遂行に支障をきたす場合は、管理責任者の許可を得た上で暗号化やパスワード設定等の措置を講じる必要があったということです。

対策として、誤送信先に連絡し謝罪するとともに添付ファイルの削除を依頼しています。また再発防止策として、教育委員会では当該校に対し、重要度の高い個人情報については校外への持ち出しやメール送信を行わないことと、暗号化やパスワードの設定、個人情報の匿名化、アクセス制限等を実施し厳重に管理するよう指導しているということです。

「ダブルチェック」ができる仕組みの導入は効果的

管理者ができるメール誤送信のセキュリティ対策として、ダブルチェックの仕組みを導入することや、添付ファイルの分離と暗号化の自動化をすることが挙げられます。

メール誤送信をセルフチェックのみで対策していた場合、どうしても抜け漏れが発生します。そこで、メールを外部へ送信する際に、管理者の承認を経てから送信される仕組みが考えられます。ただし、ダブルチェックの工数が追加で発生したり、管理者の承認が得られない場合、急ぎのメールでも送信できなくなる可能性があります。

パスワードのかけ忘れなど、添付ファイルを経由した情報漏洩だけでも防ぎたい場合、メールの添付ファイルを自動で検出して、メールから分離し、添付ファイルを暗号化する仕組みが考えられます。万が一、宛先を間違えてメールを送信しても、気が付いた段階で添付ファイル自体は送信者の権限で削除することができます。また、パスワード付き暗号化ZIPを使う必要がなくなるため、一般的に期待できるセキュリティの効果が低いとされている、PPAPを廃止することにもつながります。

セキュリティ用語のPPAPとは、「パスワード付きzip暗号化ファイルを送ります」「パスワードを送ります」「暗号化」「プロトコル」の頭文字を取った、メールで添付ファイルを送信する際の習慣です。2020年11月より、官公庁や一般企業でも脱PPAPが進んでいます。

一時的なシステムへのセキュリティ対策、比重はどう置くか

イベントなど一時的なシステムのセキュリティ対策として、緊急度の高い脆弱性から対策しておくことが挙げられます。ただし、個人情報などを預かるWebサイトなどでは、監視や診断など十分に行うことが求められます。理由は、守るべき情報資産の価値とセキュリティ対策に掛ける費用は、比例関係にあるべきと考えるからです。

セキュリティ対策対策にかける費用は

セキュリティ対策にいくらの費用をかけるべきか、という疑問は多くの方が思い浮かべるのではないでしょうか。日本情報システム・ユーザー協会が2020年度にまとめた「企業IT動向調査2021」によると、情報セキュリティー関連費用がIT予算の15％以上を占めると回答した企業は32.6％となり、その割合は増加傾向にあるということです。

対策費に予算を割く企業・グループは増えている

これらの数値がセキュリティの予算として掛けるべき費用の定量的な目安の一つになると考えられますが、ベースとなるIT予算は情報資産の価値に紐づいており、運用後に付加される個人情報やサービスが持つブランドなどを合算して、総合的な情報資産の価値が算出されます。その結果、保持する個人情報が多く、永続的に運用されるECサイトなどに対して、セキュリティ対策の費用は十分に掛けるべきであると考えられます。

有限な予算の中で最善の対策を

一方で、誤解を恐れずに言えば、個人情報を保持しておらず、一時的なキャンペーンサイトなどに対しては、有限な予算の中であれば、緊急度の高い脆弱性に絞ってセキュリティ対策をしてみてもいいかもしれません。

今回は、メール誤送信の対策と、セキュリティ予算の掛け方についてお届けしました。ご覧の皆さんが社内でセキュリティ予算の稟議を上げる際に、ご参考にしていただければ幸いです。