メールは連絡には欠かせないものですが、その一方でメール誤送信、迷惑メールをきっかけとしたフィッシングメールによる情報漏洩、標的型攻撃の入り口等重大な問題を引き起こすリスクがあります。ここでは企業でメールを利用する際のリスク事象その対策を整理していきたいと思います。
1.メール誤送信対策
メールの誤送信の原因は、大きくは以下2点と言われています。
・TO/CCとBCCの入力ミス
・宛先メールアドレスの入力ミス
TO/CCとBCCの入力ミス
メールの宛先としてTO、CC、BCCがあります。TOとCCは相手方に見える、BCCは相手方に見えないという大きな違いがあります。
例えば、
TO:a@xxx.com;b@xxx.com
CC:c@xxx.com
BCC:
をメール送信したとして、aはbとcが同時送信されていると分かりますが、
TO:
CC:
BCC:a@xxx.com;b@xxx.com;c@xxx.com
とすることでaはbとcが同時送信されていると分かりません。
この違いを利用して、状況に応じCC、BCCを使い分けることはビジネス上よくありますが、最悪の例として、「販社様限定 当社商品を10%割引します」のようなメールをBCCと間違えてCCで送ってしまうと、販社に他の販社を知られてしまうということになります。
以下、NHKの例です。この例は社員のITリテラシーの低さによるもので、そもそもミスとも認識していなかったパターンです。
NHKがメール誤送信 参加者の氏名やメルアド丸見え
宛先メールアドレスの入力ミス
宛先のメールアドレスを入力ミスして別の相手に届けてしまうケースです。入力ミスしたアドレスがネット上に存在しなければエラーメールとして誰にも届きませんが、存在するアドレスであれば届いてしまいます。他にもアドレス帳に登録した名前とアドレスの間違いによるケースもあります。
NHKの例です。中小企業なら倒産レベルのミスです。
取材した住民の音声データ、NHKが「アレフ」に誤送信
メール誤送信対策
送信したメールを取り消しすることはできませんが、システム的な予防策として以下のようなものがあります。これに加えて社員のITリテラシーを高めれば100%エラーを防げるとは言えませんが、誤送信の発生は少なくなります。
~ メーラーによる送信後すぐの取消機能 ~
GMAIL及びOutlookはメール送信取消機能を提供しています。
| メーラー |
送信取消 |
説明 |
| GMAIL |
〇 |
下図の設定により最大30秒間メール送信の取消しが可能です。送信後すぐにメール誤送信に気付くことが多いことに着目した機能です。高機能メーラーとして独自ドメインをGMAILに登録して利用する企業が増えています。 |
| Outlook |
〇 |
仕分けルールで「指定時間〇分後に配信する」を設定することで最大120分間メール送信の取消しが可能です。 |
Windowsメール
Windows Live メール |
× |
メール送信ボタンを押しただけではメール送信にはならず、送受信ボタンを押して初めて送信するという送信までにワンクッション置く設定は可能です。 |
| Thunderbird |
× |
|
| Becky! |
× |
|
~ GMAILのメール送信取消設定 ~
~ 対策ソフト利用 ~
各SIerは自社製品とは限りませんがそれぞれ対策ソリューションを持っており、プロパーから要請があれば提供できるよう準備しています。一般的に金額がオープンにされていないことが多いです。以下の「m-FILTER MailFilter」はベンダーから紹介される商品ではありませんが、機能的にはベンダーが紹介してくる商品と同じで、
・上司承認機能
・自動BCC変換機能
・自動添付ファイル暗号化機能
が実装されています。
~ m-FILTER MailFilter ~
Digital Arts(https://www.daj.jp/bs/mf/function/mailfilter/gososhin/)
~ 添付ファイルの暗号化 ~
添付ファイルはパスワード付ZIPで圧縮し、パスワードは後のメールで送る。ビジネスマナーのように言われる日本特有の商習慣です。メール誤送信した場合も、そのメールにはパスワードが表記されていないので誤送信対策にもなるのですが、手間がかかることが難点です。上記「m-FILTER MailFilter」等利用すれば、この手順を専用ソフト側が自動化してくれます。
~ 追記による弁明 ~
様々な対策を施し十分注意していても、完全に誤送信を防ぐことはできないでしょう。この為、万一誤送信した場合に備え、以下の一文をメールに入れておくことが一般的です。あくまで送信相手の善意に頼るものですが。
~ 文例 ~
このメールには機密情報を含む場合があります。誤ってこのメールを受信された場合は、速やかに破棄いただくと共に以下宛先へご連絡お願い申し上げます。また、このメールについては、一切の開示、複写、配布、その他の利用、または記載内容に基づくいかなる行動もされないようにお願い申し上げます。
2.迷惑メール対策
一度メールアドレスが悪意ある迷惑メール配信者にリストされるとあらゆる送り名を偽装して際限なく迷惑メールが送られてきます。未然にメールアドレスが漏れないようにしたいとはいえ、これは自社だけで対応できるものではなくメールを送信した宛先全てから漏れないように対策しなければならず現実的ではありません。
このため迷惑メール対策は、送られてきた迷惑メールを何等かの形でブロックすることが唯一の対策です。
メールサーバー、ウイルス対策ソフト、メーラーで対策します。
~ メールサーバーで迷惑メール対策 ~
一部の大企業ではNTTネオメイトやNTTコムの社員を常駐させ自前のメールサーバーを運用しているケースもありますが、最近ではプロバイダ、ホスティングにメールサーバーの運用を任せるのが一般的です。
迷惑メール対策の仕組みは、各社AI、迷惑メールコミュニティのブラックリスト、DKIM、SPF、Sender ID等を用いて迷惑メールを判定しています。
プロバイダ、ホスティングによる迷惑メール対策サービスですが、以下OCNのように有償の場合とさくらInternetのように無償の場合とに分かれます。一般的に大手キャリア系は有償、格安ホスティングは無償の場合が多いです。
~ OCNの場合 ~
迷惑メールを自動判定しメールのタイトルに「meiwaku」等の文字を追加する無料サービス「迷惑メール自動判定」と迷惑メールを自動判定しサーバー上で迷惑メールを保留しメーラーには届かないようにする月額216円(税込)の「迷惑メールブロックサービス」が提供されています。
OCN(https://support.ntt.com/ocn/support/pid2900000o7b)
~ さくらInternetの場合 ~
さくらInternetではホスティングの月額料金内で無料で迷惑メールフィルタが用意されています。この機能はOCN有償サービス「迷惑メールブロックサービス」と同等の機能を有します。
さくらInternet 迷惑メールフィルタ
~ ウイルス対策ソフト、メーラーで迷惑メール対策 ~
ウイルス対策ソフト、メーラーでは迷惑メールを自動判定し迷惑メールフォルダに振り分けるだけです。メーラーに届かないようにしたいならメールサーバーで対策するしかありません。
3.デジタル署名付きメール
上図のようなマークがついているメールは「デジタル署名付きメール」と呼ばれます。これはメール送信者がVeriSign等の第三者認証局にデジタル証明書を発行してもらい、メール受信者はこのデジタル証明書によりメール送信者が偽装されていないことを確認できます。メール送受信はセキュリティ的に仕組みが不十分で送信者を簡単に偽装できてしまいます。SPF等メールサーバー上で様々な対策が取られてはいますが、完全に防ぐことはできず、このデジタル署名付きメールはこれを補完する一つの方法です。
