セキュリティコラム

「電子メールの情報セキュリティ対策」


あなたはこの言葉を聞いてどのような対策をイメージされますか?

今は情報漏えい防止対策のための、様々な機器がリリースされています。
メール監視、スパムフィルタ機能、不正プログラム対策...

こうした機能を備えた機器を導入することは、
電子メール(以下、メール)の情報セキュリティ対策を行う上で重要です。

しかし、それよりも優先して実行すべき
「電子メールの情報セキュリティ対策」があります。


それは、メールソフトの正しい使い方を覚えることです。

あなたは、会社でメールソフトの使い方を教わりましたか?

今は小学生までもがパソコンを操作する時代。
インターネットやメールは、パソコンを使う人であれば、
多くの方が使用していると思います。

そのため、「教育を受けたことがない人」の方が多いでしょう。


これは危険です。


実は、電子メールの情報漏えいは、
人の誤操作が原因で起こっている割合が高い
のです。

この原因は、メールソフトの正しい使い方を教育をしていないためです。

本記事「メールソフトの正しい使い方を教育しよう」では、
メールソフトの使い方を教育する上で「押さえておくべき15のポイント」を説明します。 


1.緊急時でも急がない、焦らない、慌てない。


これは、メールソフトを使う際、常に意識してほしいことです。

忙しい時は、情報漏えいを起こす可能性が高くなります。
そのため、忙しい時に送信するメールは大変危険です。

誤って、宛先に関係ない人のアドレスを選択したり、
本文に送信してはいけない情報を入力したりと。

緊急時はメールではなく、電話やファックスという
別の伝達手段を選択する方が良いケースもあります。


2.メールソフトの設定後は、パスワード変更を行う。


メールを受信する際は、受信方法を問わずパスワードを求められます。

このパスワードに、アカウント作成時の初期パスワードを
そのまま使っている方がいますがこれは危険です。

アカウントの作成は、通常自分自身で行いません。
システム管理者、または小企業であればパソコンに詳しい方が
行っていることが多いです。

パスワードを変更しない場合は、
あなた以外の方もパスワードを知っていることになります。

そのため、その分リスクが高くなります。


パスワードは必ず変更してください。

変更したパスワードは、あなたしか知りません。
そのため、パスワード変更することにより、リスクが低減されます。


3.使用するメールソフトを統一する。


中小企業では、会社で使用するメールソフトの選定を
スタッフに任せていることが多いです。

この場合、スタッフが好きなメールソフトを使用しているため、
会社で統一されていないことになります。


これは良くありません。


確かにこの場合は、使い慣れているソフトのため、
作業効率は上がるでしょう。

しかし、情報漏えいの危険性は高まります。

なぜなら、情報セキュリティ体制や教育が複雑になるからです。

統一されていない場合、メールソフトに応じた教育を行わなければなりません。

セキュリティの設定一つをとっても、メールソフトにより手順は異なります。

また、更新プログラムの確認も、メールソフト毎に実施しなければなりません。

メールソフトを統一することで、これらの問題は回避されます。


4.送信前に宛先メールアドレスを確認する。


メールは1度送信したら取り消すことができません。

そのため、送信前に宛先メールアドレスを確認することを徹底させてください。

万が一、誤送信してしまった場合は、すぐに上司に報告してください。

もし、あなたが権威ある方なら、すぐに送信した方に連絡してください。

誤送信した方には、
「内容を確認せずに削除してください」とお願いしましょう。

宛先メールアドレスの確認は、メールの内容を問わず、必ず行うべき作業です。


たった数秒でできるこの作業。
それを怠り、取り返しのつかないことになった人は大勢います。


5.メール送信後、「すぐに送らない」設定にする。


送信前は、送信するメールの情報に誤りがないかを確認します。

しかし、うっかり間違ってメールを送ってしまう場合の
対策を考慮しておかなければなりません。

急いでいる時は、確認漏れが起こる可能性があります。


そのために行うのが、メールを「すぐに送らない」設定です。


メールソフトには、メール送信後、
メールを「すぐに送らない」設定ができるソフトがあります。
※Outlook、Outlook Express、Windowsメールは可能

これを設定することで、[送信]ボタンをクリックしても、
メールソフトはすぐにメールを送信しません。

送信するのは、[送受信]ボタン(または再度[送信]ボタン)をクリックしてからです。
それまでは、送信トレイに保存されます。

この設定をすることで、メール送信前に確認する時間を設けることができます。


6.メール転送を安易に行わない。


メールの転送機能は便利な機能です。
受信したメールを第三者に簡単に送信することができます。


しかし、メールの転送は安易に行わないように心がけてください。

転送前は、「転送するメールの情報」を必ず確認するようにします。

もしかすると、転送先の相手には「知られてはいけない情報」が
含まれているかもしれません。

また社員には、許可なく個人用メールアドレスへ
転送してはならないことを通知してください。

転送する際は、上司及びシステム管理者の承諾を取るなど、
ルールを決めて従うようにしてください。


7.メールアドレス入力の自動補完機能をオフに設定する。


メールアドレス入力の自動補完機能とは、
最初の文字を入力すると、それに続く文字を予測して
自動で入力してくれる機能です。

例えば、aから始めるメールアドレスが
「abc@local.com」しかないとします。
この場合は、自動補完機能がaと入力した後に、
続く文字(bc@local.com)を自動で入力してくれます。


これは大変便利ですが、この機能に頼り過ぎるのは危険です。

この機能が原因で、メールの誤送信が起こる可能性があるためです。


この機能を使う場合は、自動補完後に、
「メールアドレスに間違いがないか確認する作業」を
設けることを徹底させてください。


8.HTMLメールに含まれる外部コンテンツは「ダウンロードしない」設定にする。


Outlook 2003/2007やOutlook Express 6.0 SP2には、迷惑メール対策として、
「HTMLメールに含まれる外部リンクを開かない機能」が搭載されています。

この機能により、Webビーコン(※1)を悪用した情報収集を防ぐことができます。
※1 WebページやHTML形式の電子メールに埋め込まれた、
非常に小さなサイズの画像のこと


ただし、この機能を有効にすることで、
HTMLメールが届いてもすぐに画像が表示されないため、
煩わしさを感じる人がいるかもしれません。

無効にすれば、販促効果の高いHTMLメールが表示されます。

しかし、その分セキュリティのレベルは低下します。


9.怪しいと感じたメールのリンクはクリックしない、添付ファイルは開かない。


メールを通じた、クレジットカードやパスワードなどの情報をだまし取る事件が
相次いでいます。

いわゆる、フィッシング詐欺という事件です。


悪意ある人の「なりすまし」のレベルは日々高度になっています。

メールの送信元は簡単に偽装することができます。

そのため、怪しいと感じた場合は、相手の方に連絡をし、
メールの安全性を確かなものにしてください。


10.実行形式(拡張子がexe)の添付ファイルはメールで送らない。


情報セキュリティを確保するため、プロバイダなどのメールサーバでは、
実行形式の添付ファイルを「受け取り拒否」している会社が多くなっています。

Outlook、Outlook Expressなどのメールソフトでも、
初期設定では実行形式の添付ファイルを受け取ることができません。


理由は、実行形式の添付ファイルはウイルスの可能性があるためです。


添付ファイルの受け取りができないため、相手の方にも迷惑をかけます。

どうしても送信する必要がある場合は、送信後に相手の方に、
「実行形式の添付ファイルが受信できているかどうか」の確認をしてください。


11.TO(宛先)、CC、BCCの違いを理解する。


CC、BCCは、TOで指定した送信先以外に、
メールを送りたい相手がいる場合に使用する機能です。


社外の複数人に同時にメールを送る場合は、
BCCを利用するのが適しています。


「CCではなく、なぜBCCを利用するのか?」


理由は、CCで送った場合、送信した人それぞれに、
TOとCCに追加した全員のメールアドレスが通知されてしまうためです。

山田さん、佐藤さん、田中さんにCCで送った場合、
山田さんのメールソフトに佐藤さんと田中さんのメールアドレスが
表示されてしまいます。


これは、場合によっては、メールアドレスの漏えいと判断されます。

CCとBCCの違いを理解していない人は多いため、
事例を用いて説明してください。


※Outlook、Outlook Expressでは、メール作成画面で
BCCが表示されません(初期設定の場合)。
この問題は、次の操作で解決できます。
Outlookの場合 ... [オプション]から[BCCの表示]を選択。
Outlook Expressの場合 ... メニューバーの[表示]から[すべてのヘッダー]を選択。


12.添付ファイルにはパスワードの設定や暗号化を施す


添付ファイルをメールを送る場合は、会社で使用しているため、
業務に関連したファイルが大半だと思います。

そのため、添付ファイルには、出来るだけパスワードを設定するようにしてください。

機密情報や個人情報が含まれる場合は必須です。


パスワードの通知は、事前に相手の方に電話で通知するのが良いです。

その際、周りの人に注意をして通知してください。


13.更新プログラムの適用を行う。


ソフトウェアには、動作上問題のある欠陥があります。

悪意のある人は、この欠陥を攻撃して、悪意のある動作を行います。


この欠陥を修復するのが更新プログラムの役目です。
更新プログラムを適用することで、悪意のある人は、
同じ欠陥を攻撃することができなくなります。


しかし、更新プログラムはメールソフトによって、提供している場所や
リリースするタイミングが違います。
当然、欠陥も異なります。


メールソフトを統一しておけば、この問題を回避することができます。


14.アドレスに記入する項目は社内で統一させる。


アドレスの作成には、「名前」、「メールアドレス」、「会社名」、「住所」、「電話番号」
など様々な項目があります。

アドレスの作成では、各項目に記入する内容を統一させるようにしてください。
また、作成後は、記入した項目に誤りがないかを確認してください。


アドレスに設定した名前は、相手のメールソフトの画面に表示されます。
そのため、誤記入がないように注意しましょう。


アドレス帳の管理で最も良いのは、1つのアドレス帳を共有して使用することです。
個々で作成して管理する場合は、項目の記入ミスというリスクが生じます。


15.重要な電子メールを送信する場合の注意事項。


メールソフトの使い方ではありませんが、これは重要なことです。

重要な電子メールを送信した後は、相手の方に到着の確認をしてください。

また、メールを送信する際に、到着後に連絡をもらうように、
文面にその旨を記入しておくのも良いです。


メールソフトの正しい使い方を教育することは、
情報セキュリティ対策を行う上での重要なファクターです。


メールソフトの正しい使い方を覚えることで、リスクは低減します。


メールソフトの誤操作による危険性を理解することで、
スタッフのセキュリティ意識も高まるはずです。

守るべき情報資産をできるだけ減らすことで、
情報漏えいのリスクを小さくすることができます。


もしも、会社に、情報資産が何も無いとしたら?


当り前ですが、
情報セキュリティ対策を実施する必要がなくなりますよね?


そうです。ここから言えるのは、
守るべき情報資産が少なければ少ないほど、
リスクが小さくなるということ
です。

不要な情報であっても、保持したままであれば、
責任を持って守らなければなりません。

不要な情報は、管理がルーズになる恐れがあります。
そうなると、そこからリスクが生じます。
個人情報が悪用されたり、情報が漏えいしたりと。
その際は、皆さんに責任が問われます。
例え不要な情報であろうと、保持している以上、
それは1つの情報資産に変わりはないのです。


リスクを小さくする対処の1つとして、
情報資産を減らすことは検討すべきことと言えます。
日頃から、必要がない思う情報は収集しないように心がけると良いです。


しかし、1つ注意してください。
「収集しない」という行為に対して、
過剰な対応をするのは危険
だということを。

お客様との名刺交換を断ったり、セミナーでのアンケート記入を拒否したり...
このような過剰な対応は、ビジネスに支障をきたします。
この点は、自社のビジネスとバランスを取ることが大事です。


既に収集している個人情報で、不要だと思う情報は廃棄するべきです。

ただし、安易に廃棄してはいけません。
廃棄ルールを定めて、ルールに従って適切な廃棄を行うようにしてください。

  1. 印刷物・書類などの文書を廃棄する場合は、シュレッダーを使用する。
  2. パソコンを廃棄する場合は、ハードディスクを物理的に破壊してから捨てる。
  3. CD、DVDなどのメディアは、読み取り不可能な形になるように破壊してから捨てる。

このように、廃棄ルールを決定します。
廃棄については、ルールを遵守するように徹底させてください。


リスクが全くない会社というのは、世の中に存在しません。
しかし、1つでも情報資産を減らせば、その分リスクが小さくなります。
リスクをいかに減らすは、情報セキュリティ対策の大事なポイントです。

自社の情報セキュリティ対策の事情を、
皆さんは理解していますか?


「情報セキュリティ対策の重要性」を認識している企業は
年々増加しています。

警察庁の調査によると、
「情報セキュリティ対策の必要性を感じている」
と回答した企業はほぼ100%のようです。

しかし、情報漏えいも比例して増加しています。
必要性を感じている企業が多い中、この原因は何だと思いますか?


この理由は、大きく分けると次の3つのことが考えられます。

  1. コストがかかりすぎるため実行に移せない
  2. 投資対効果が見えない(見られない)ため実行していない
  3. 何を行えば良いのか分からないため実行できない


これらの問題をカバーするために、政府は、
「情報セキュリティポリシーに対するガイドライン」
を提供しています。

しかし、こうしたガイドラインを1から読んでいる企業は少ないと思います。

「そんなものを1から読むのは面倒だ!」
「何を書いているのかよく分からない!」
「量が多すぎて読んでいる時間がない!」

このような嘆きの声が聞こえてきます。


皆さんの嘆きはよく分かります。
「情報セキュリティ対策」という概念は、今まで考えもしなかったこと。

そのため、情報セキュリティ対策を実行するのであれば、
1から学ぶ必要があります。
これは大変ですよね。皆さんのお気持ちは大変よく分かります。


しかし、今の時代、分らないからと言って無視するわけにはいきません。
今日起こっている"あの漏えい事件"が、
明日、あなたの会社で起こるかもしれません。

そう、逃げることは決してできないのです。

そこで、中小企業で優先して取り組むべき情報セキュリティ対策をまとめました。


次の対策を実施すれば、御社のセキュリティ対策は確実にアップします。
紹介しているのは、短時間で実行でき、多額な設備投資が必要のない対策です。

そのため、どの中小企業でも取り組んでいただけると思います。


1.経営者がセキュリティ意識を誰よりも高くもつ


情報セキュリティ対策を実行する上で、これが最優先項目となります。


私はこれまで、何件もの中小企業の現場を見てきました。
今は、毎日のように情報漏えいの事件が報道される日々です。
そのため、現場の方には、セキュリティ意識が大変高い方もいらっしゃいます。

しかし、多くの中小企業経営者のセキュリティ意識は驚くほど低いです。

IT関連企業に勤める方でも意識の低い方はまだまだ多いです。


経営者がセキュリティ意識を高くもつのは、
情報セキュリティ対策を実行する上では絶対条件
です。
これを外すと間違くなく成功しません。


2.自宅のパソコンを会社に持ち込んで使用するのを禁止させる


皆さんは、自宅のパソコン(以下、私物パソコン)を会社に持ち込んで使用していませんか?

私物パソコンの使用についてルールを定めていないのは大変危険です。

私物パソコンが、ウイルスなどの危険にさらされている場合、
会社の重要な情報に危害を与える可能性があるためです。


業務上、"どうしても"持ち込む必要がある場合は、ルールを定めてください。
しかし、ルールを定めていてもリスクは残ります。


最も良いのは、私物パソコンが不要になるような業務形態に変えることです。
そして、会社に私物パソコンを持ち込んで使用することを禁止させてください。


3.会社のノートパソコンの持ち出しを原則禁止する


会社で使用しているノートパソコンの持ち出しは原則禁止してください。

しかし、業務上やむをえない場合はあると思います。


この件の良い対策は、
「持ち出し許可申請」の手続き書を作成することです。

しかし、いきなりこのような書類を作り、
責任者を任命して運用するのは難しいかと思います。

そこで、まずは口頭でも良いです。
パソコンを持ち出す場合は、
上司やパソコンを管理している担当者に報告をし、
承諾を得る仕組みを取り入れてください。

「こういう目的で、○○月○○日まで持ち出しをします」
と。


また、ノートパソコンには盗難防止のための措置を行ってください。

盗難防止グッズは、鍵付き鞄やワイヤーなどがあります。
数千円から購入できるため、必ず導入すべきです。

漏えいした情報はお金にはかえられません。


4.USBメモリの使用に制限を設ける


数ギガバイトもの情報を小さなポケットに入れて持ち運びができるUSBメモリ。
今は容量2GBのUSBメモリでも2千円以下で購入できる時代です。

とても便利ですよね。
多くの企業で重宝しているアイテムだと思います。

しかし、その反面には大きなリスクがあります。

利便性が向上すると、一般的にセキュリティリスクは増大します。

USBメモリは小さい分、いつでもどこにでも持ち運びができます。
その分、公共の場への置き忘れが多くなります。

また、ズボンのポケットやYシャツのポケットにも簡単に入れれます。

電車の切符はなぜなくすことが多いのか?
それは、ポケットがたくさんあるからです。

皆さんが知らない間に、とんでもない場所に落としているかもしれません。


想像してみてください。

「2GBもの重要な情報を保存したUSBメモリを
街中で落としたとしたら...」

ゾッとしますよね。
最悪の事態になる前に、USBメモリには使用制限を設けることです。

  • ストラップをつけて首からぶらさげる。
  • 持ち出しの際は上司から許可を得る。
  • お客様のパソコンへは接続しない。
  • 流出したときのためにデータを暗号化する。
  • 破損した時のためにバックアップを必ずとっておく。


使用制限には色々あります。
1つでも実行すれば、その分セキュリティレベルが高くなります。


今は、ノートパソコンや外付けハードディスクも軽量・小型化し、
大変便利になりました。

利便性の向上によるリスクの増大をどのようにバランスさせるかは、
情報セキュリティ対策の重要な問題です。 


5.ファイル交換ソフトは絶対に使わない


これは会社のパソコンだけではありません。
会社でWinnyのようなファイル交換ソフトを使っている方は、
少ないと思います。

注意しなければならないのは、
自宅のパソコン(私物パソコン)で使ってる
ファイル交換ソフトが原因で発生する漏えい
です。


Winnyをはじめ、ファイル交換ソフトによる情報の流出、
漏えいはあとを絶ちません。

自宅で使用している私物パソコンに利用制限をかけるのは
難しいかと思います。

しかし、ファイル交換ソフトを甘く見てはいけません。
Winnyにより流出した情報は回収不可能に近いのです。

もちろん、ファイル交換ソフトは悪いソフトばかりではありません。
合法な正しい使い方もあります。


しかし、ファイル交換ソフトの使用によるリスクは恐ろしいほど高い。
顧客信頼度、社会的評価、利益、スタッフの人生...
これまで築いてきた大切なものを一瞬で失うことだってありえるのです。

法的責任を問われることもあります。

これらの影響を避けるためにも、会社・自宅のパソコンを問わずに、
ファイル交換ソフトを使用するのは避けるべきです。


利用制限をかけるのが厳しい場合でも、
次のことは最低限決めておくべきです。

  • 自宅のノートパソコン(私物パソコン)を会社で使わないこと。
  • 会社のノートパソコンを自宅で使わないこと。
  • 個人用のUSBメモリを会社では使わないこと。
  • 会社のUSBメモリを自宅のパソコンでは使わないこと。



以上の5点が、
中小企業が優先して取り組むべき情報セキュリティ対策です。

「えっ?たったのこれだけ?他にもやることがあるんじゃないの?」

そう思われた方も多いと思います。
その通りです。やるべきことは他にも山ほどあります。


入退室、パスワード管理から、プログラムの更新、
サイバー犯罪の対策から、アクセス権の設定まで...

しかし、突然、10も20もセキュリティ対策を実行しようとすると
失敗する可能性が高くなります。

そのため、この5つの項目まで絞りました。
これだけの項目であれば、どの企業でもすぐに実行へ移せると思います。


情報セキュリティ対策を実施したことがない企業にとっては、
実行に移すのは簡単なことではないかもしれません。
大変なのも理解できます。

しかし会社として、
情報セキュリティ対策の実施は避けては通れない道なのです。


まずは、上記5つの対策を実行することをおススメします。
これが私の考える、
中小企業が取り組むべき情報セキュリティ対策の第一歩
です。


参考にし、積極的に活用していただければ幸いです。

文字サイズ変更

月別アーカイブ

このサイトを購読する

RSS登録

  • My Yahoo!に追加
  • Add to Googleに登録
  • はてなRSSに登録
  • lvedoorリーダーに登録
  • エキサイトリーダーに登録
あわせて読みたいブログパーツ

テクノラティのお気に入りに追加する


にほんブログ村 IT技術ブログ セキュリティ・暗号化へ