メール誤送信を防ぐ!企業が行うべき対策を徹底解説

IIJ ネットワーク本部 サービス推進部

メールセキュリティエバンジェリスト

久保田 範夫

メール、セキュリティを専門とし、M3AAWG会員、及びサービスの企画、戦略を担当。国内だけでなく、ASEAN、米国、欧州でのグローバルサービス展開を精力的に推進しながらメールセキュリティのエバンジェリストとして活動。講演多数。

執筆・監修者ページ/掲載記事:11件

サイバー攻撃の多くはメールを悪用して実行されますが、リスクは外部から来るとは限りません。組織の中にもリスクは存在します。もし社外秘の情報を間違って送付してしまったら…。“うっかり”の代償は決して小さなものではありません。人によるチェック体制は欠かせませんが、それだけに頼る運用には限界があります。見過ごしがちなリスクを紐解き、誤送信を防ぐ効果的な対策を徹底解説します。

効果的な誤送信対策を実現
メールセキュリティサービス ガイドブック
ダウンロードする(無料)
目次
  1. メール誤送信は情報漏えい原因の上位
  2. ヒューマンエラーのよくあるパターンとその原因
  3. 企業として行うべきメール誤送信対策
  4. クラウド型メールセキュリティのメリットと選び方
  5. 「IIJセキュアMXサービス」は充実した誤送信対策を実装

メール誤送信は情報漏えい原因の上位

間違えて社外秘の顧客リストを添付してしまう――。機密情報を関係のない第三者に送ってしまう――。BCCで送るべきものをCCにしてしまい、全員のメールアドレスが丸見えに――。

メールの誤送信は誰もが犯し得るミスですが、それによって取り返しのつかない事態に陥ってしまうことがあります。新製品の開発情報、経営戦略に関する情報などトップシークレットの機密情報が漏えいしたら、ビジネスへの影響は計り知れません。

顧客情報が漏えいしたら、プレスリリースを発表し、その事実を迅速に公開しなければなりません。企業イメージや社会的信用の低下は避けられないでしょう。取引停止や株価が下落すれば、経済的に大きなダメージを被ります。情報漏えいした顧客への謝罪や賠償も大きな負担です。ウイルス感染や不正アクセスによる情報漏えいは外的な脅威によるものですが、誤送信は組織内のミスが原因。その分、世間の風当たりも強くなるかもしれません。

東京商工リサーチが調査した2022年の情報漏えい・紛失事故(165件)を原因別に見ると、「誤表示・誤送信」(43件、構成比26.0%)は最多の「ウイルス感染・不正アクセス」(91件、同55.1%)に次いで多い結果となっています。しかも世界的な衣料ブランドや自動車メーカなどが誤表示・誤送信を引き起こしており、漏えいした情報の数も膨大です。

※出典:「個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~」(株式会社 東京商工リサーチ)

2023年にはメーカ、大学、官公庁などでメール誤送信による情報漏えいが相次いでいます。メール誤送信は決して他人事ではない、深刻なセキュリティリスクなのです。

ヒューマンエラーのよくあるパターンとその原因

では、なぜ誤送信が起こるのでしょうか。よくあるのが、宛先のミス。メールアドレスを手入力しているため、一部が違うだけで別の人に届いてしまいます。

メールソフトのオートコンプリート機能も注意が必要です。アドレスの一部を入力すれば、これまでの履歴からその後のアドレスを補完してくれますが、似ているアドレスだと別の人のアドレスが上位に表示されることもあります。よく確認しないまま送信すると、意図しない人にメールが送られてしまいます。

添付するファイルの間違い、コピペによる文面のミス、冒頭で紹介したようにCC/BCC間違いもよくあるパターンです。

これらのミスは、間違いはないという思い込みや、十分な確認ができていないことが原因です。メールを送信する前に、鉄道や工場でKY(危険予知)活動の一環として行われる指差し確認のように、「誰に、何を送るのか」を今一度チェックすることを習慣付けることが大切です。

運用面では、これまでの常識を見直すことも重要です。その象徴が「PPAP」です。パスワード付きZIPファイルを送信し、別メールでパスワードを送信するという手法。しかし、そもそも暗号化ファイルはその中身のウイルスチェックができないため、この手法は海外ではほとんど利用されません。リスクを受信者が判断しなければならない点も問題視されています。こうした意識が日本でも広がりを見せ、日立グループやソフトバンクグループ、そしてIIJもPPAP廃止を宣言しています。

(関連記事)PPAPとは – パスワード付きZIPファイルの概要と課題

企業として行うべきメール誤送信対策

送信前のチェックを習慣付けることで、うっかりミスは相当程度なくすことができるでしょう。人によるチェックは欠かせませんが、組織としての誤送信対策はこれだけでは十分とは言えません。人によるチェック体制に加え、誤送信を防ぐシステム的な仕組みも必要です。この併せ技で防止効果はより高まっていきます。

メーラの誤送信防止機能の活用はその1つです。メーラには送信ボタンクリック後、一定の間隔を置いてから送信する機能があります(送信保留機能)。保留中に間違いに気付いたら、送信を取り消すことで誤送信の発生を未然に防ぐことができます。宛先などの再確認を求めるポップアップ表示も注意喚起策として有効です。

上長によるメール監査も有効な対策になります。例えば、特定のファイルタイプが添付されている場合や、個人情報(名前、住所、電話番号、メールアドレス、マイナンバー、クレジットカード番号等)が一定数含まれている場合は、送信前に上長によるチェックを実施。問題がないことを確認し、承認されたものだけ送信するのです。多重にチェックすることで、うっかりミスを防げます。

これらの仕組みは組織として導入し、ルールとしてプロセス化することが大切です。しかし、メーラの機能はユーザ各自が自分で設定するもの。設定を促しても、面倒に思って使わないユーザもいるでしょう。

クラウド型メールセキュリティサービスなら、この課題を解消できます。どんなメーラでも利用でき、管理者による一律のルール適用が可能なのです。

「添付ファイルのURL置き換え」機能も利用できます。メールから添付ファイルを取り出し、外部のクラウドストレージに格納。その添付ファイルのダウンロードURLを記載したメールを受信者に配信する仕組みです。

添付ファイルの入手には、ダウンロードというワンクッションが必要になるわけです。もし宛先やファイルを間違えても、相手がダウンロード前なら取り消しできるため、誤送信対策として有効です。先述したPPAPに代わるファイル授受の方法としても注目されています。メールにファイルは添付されていないので、受信側のウイルスチェックの手間も減らせます。

これまで紹介した誤送信対策は、ミスやチェック漏れを防ぐ以外に、内部リスクの防衛策にもなります。顧客リストや機密情報の転売や横流し、インサイダー情報の提供など、社員による意図的な情報持ち出しのリスクはゼロとは言えません。意図的な情報持ち出しを企んでも、誤送信対策が徹底されていれば、その実行を検知し、未然に防ぐことができるでしょう。実行が難しいことが分かれば、それが強い抑止力にもなります。

クラウド型メールセキュリティのメリットと選び方

クラウド型メールセキュリティサービスは、機能面以外でもさまざまなメリットがあります。自前でシステムを構築する必要がなく、アセットレスで導入が可能です。オンプレミスのメールサーバだけでなく、クラウド型のメールサービスでも利用でき、メールサーバ環境が変わっても継続的に使い続けられます。自前で資産を持たないので、EoS(End Of Support)の心配もありません。

市場では様々なタイプのクラウド型メールセキュリティサービスが提供されています。誤送信対策として導入する場合は、メール監査機能や添付ファイルのURL置き換え機能の有無、送信者の確認作業の使い勝手などがチェックポイントになります。特にメール監査機能は、意図的な情報漏えいを防ぐ手段として非常に有効です。

クラウドのメリットはコストバランスを考えて、利用の停止や他サービスへの移行に柔軟に対応できること。契約期間に縛りがあるかどうかも重要なポイントです。

「IIJセキュアMXサービス」は充実した誤送信対策を実装

効果的な誤送信対策を実現するクラウド型メールセキュリティサービスとして「IIJセキュアMXサービス」をおすすめします。

上長承認によるメール監査機能、添付ファイルのURL置き換え機能が備わっており、企業ポリシーに応じた柔軟な制御が可能です。こうした設定を管理者側で行えるため、設定したポリシーを全ユーザに漏れなく適用することができます。

オンプレミスのメール環境でもMicrosoft 365やGoogle Workspaceでも利用でき、既存のメール機能を補完します。メーラの送信保留機能や送信確認のポップアップ表示など、システマティックな二重確認を強制的に実施させることも可能です。もちろん、利用にあたって契約期間の制約もありません。

意図せぬこととはいえ、メール誤送信によって情報漏えいが発生すれば、組織の信用やブランドの低下、経済的損失など大きなダメージが懸念されます。サイバー攻撃による情報漏えいは外的要因が引き金になりますが、メール誤送信による情報漏えいは自分たちのミスやルールの不徹底が原因。その発生は対策次第でゼロに近づけることができます。メール誤送信対策は、メールセキュリティの一環として欠かせない対策となりつつあります。

IIJは「IIJセキュアMXサービス」を提供するだけでなく、その特徴や詳細な機能を紹介した「メールセキュリティサービス ガイドブック」も無償で公開しています。ぜひご活用ください。