電子メールの情報セキュリティ
情報管理の不徹底が原因で発生する情報漏洩事故の報告が絶えません。標的型攻撃やフィッシング詐欺など電子メールに対する外部からの攻撃による個人情報の流出だけでなく、「メールの送信先を間違えた」「間違った添付ファイルを送信してしまった」などといった電子メールソフトの誤操作やシステムの管理ミスといった、社内の従業員が原因の情報漏洩事故も依然として発生しています。
忙しいビジススパーソンにとって、電子メールはなくてはならないツールの一つです。日常的に使われるツールだからこそ、誤った操作による事故が発生し、そのたった一度のミスで事業の存続に関わる重要な事故に発展する可能性があります。
電子メールのセキュリティは、外部からの攻撃に対するインバウンドセキュリティと、誤送信の防止などを目的としたアウトバウンドセキュリティの2つに分類できます。標的型攻撃やフィッシング詐欺に対する対策であるインバウンドセキュリティ対策が注目されていますが、見過ごされがちなアウトバウンドセキュリティ対策に対しても力を入れていく必要があります。
いっこうに無くならない情報流出
JNSA(日本ネットワークセキュリティ協会)の調査
(http://www.jnsa.org/result/incident/data/2016incident_survey_ver1.2.pdf)によると、情報漏洩の原因の第一位が管理ミス(34.0%)、第二位が誤操作(15.6%)、第四位に紛失・置き忘れ(13.0%)、第七位に設定ミス(4.7%)と半分以上が故意ではない原因から発生しています。
情報流出といえば不正アクセスやマルウェア感染のようなサイバー攻撃によって発生すると思われがちですが、そういった原因以上に実際にはメールの誤送信や情報管理のミス、そして紛失や置き忘れなどの偶発的なミスで発生している割合が多いことがわかります。
また、情報漏洩事故で注目を集めることが多い内部犯罪・内部不正行為による情報の流出は社内の情報を換金することが目的であり、漏洩する情報は数十万件と多くなりますが、情報漏洩の件数としては全体の0.9%に過ぎません。このことからも、情報漏洩の原因としては誤操作や管理ミスのような故意ではない原因に目を向ける必要があります。
個人情報・重要情報の流出を防ぐメールDLPという技術
社外への持ち出しが禁止されている企業の重要情報や個人情報の流出は、メール誤送信のようなありがちな原因によって簡単に発生します。それを防ぐために有効な対策として、注目されているのがメールDLP(Data Loss Prevention)と呼ばれるソリューションです。
これまでの情報漏洩対策は、データの暗号化や不正なユーザによるデータ操作の制限、操作に対するログの収集などによって行われてきました。これらの情報漏洩対策はすべての情報に対して徹底的に行う事によって初めて効果を発揮する手法です。そのため利用するデータやユーザが増えるにつれて運用負荷が高くなり、システムの抜け穴を作り出す可能性がありました。
しかし、メールDLPでは従来の暗号化やログの収集などとは異なり、予め社外への持ち出しが禁止されている機密情報を設定し、データを操作する際にシステム側で自動的に機密情報かそうでないかを判別します。つまり、メールDLPは外部に流出してはならない情報そのものをブロックするという仕組みといえます。
メールDLPを導入すれば暗号化やログの収集が不要になるというわけではありません。しかし、メールDLPによる情報漏洩対策を行った上で、従来の暗号化やログの収集を補完的に運用することで、機密情報漏洩の潜在的リスクをさらに抑えることが可能になります。
メール誤送信防止システムはどれだけ普及しているのか
キーマンズネットの「メール誤送信防止システムの導入状況」のアンケート(http://www.keyman.or.jp/at/30008670/)によると、「既に導入済みである(追加リプレイスなし)」が34.0%、「既に導入済みである(追加リプレイスあり)」が1.9%と合計約35%の企業がメール誤送信防止システムを導入していることがわかります。
従業員規模別では100名以下の企業が13.0%、101~1001名以下の企業では29.2%、そして1001名以上の企業では49.7%の企業と、従業員規模が大きくなるほどメール誤送信防止システムが導入されている割合が増えています。
またこのアンケートでも、情報漏洩の原因として、メールの誤送信が68.4%、モバイルデバイスの紛失が38.0%、書類の紛失・盗難が23.5%と人的ミスに起因していることがわかります。
実際にメールの誤送信をしたことのある従業員にその後どのような対応を行ったのかというアンケートでは、53.1%の従業員が「報告はしなかった」と回答しており、「管理者もしくは上長に報告した」の46.9%を上回っています。特にIT関連外の製造業ではメール誤送信後の報告数は3割に留まっています。
このようにメール誤送信防止システムの導入は進みつつありますが、依然としてメール誤送信による情報漏洩件数は多く、メール誤送信後の対応も不十分です。これからもさらなる対策が必要であることがわかります。
システムの導入前には、メールの宛先や添付ファイルのチェックは上司や同僚によって目視で行われていたケースもありましたが、システム導入後のチェックは「承認機能」により簡便に行われ、これまで確認に要していた時間が短縮されます。メールの送信は頻繁に行われるからこそ、一つ一つのチェックをシステムで解決することが生産性の向上につながります。
このようなシステムを導入した企業に対する「メール誤送信防止システム導入後の満足度」のアンケートでは約80%の企業が「満足している」と回答しています。システムの導入にはコストや機能の問題もありますが、概ね良好に受け入れられていることがわかります。
情報セキュリティ対策に「今」取り組む理由とは
日本情報システム・ユーザー協会の「第24回 企業IT動向調査2018」の調査(http://www.juas.or.jp/cms/media/2017/02/it18_ppt.pdf)によると、経営層が情報セキュリティに関与している企業は増加傾向ですが、中小規模の企業においては経営層の関与が低いことがわかります。
これには情報セキュリティ対策にはコストがかかるという理由だけでなく、中小企業では情報セキュリティ人材が不足しており、経営層が情報セキュリティ対策の重要性を理解するための環境が整っていないことが関与しています。
しかしながら、そういった中小企業こそ情報セキュリティ対策の導入を決断する必要があります。
情報セキュリティ対策に取り組むことは、社会において「選ばれる企業」になるための条件に成りつつあります。そして情報セキュリティ対策を「運用コスト」としてとらえるのではなく、企業における「付加価値」を作り出す活動としてとらえる視点が今後重要になってきます。それは、「これから」の成長が必要な中小企業ならなおさらです。
業種や事業規模によらず情報セキュリティ対策の導入が不十分な企業にとって、セキュリティ対策の導入は万が一の事故発生時における事業継続に関わる重要な経営課題です。だからこそ、「今」取り組むことが企業にとって重要なのです。