【セキュリティレポート】過去3年間の国内セキュリティインシデントを集計 2023年のインシデント総数は916件 マルウェア感染を除くすべての項目でインシデントが増加
- 2024年04月22日
- 10:00
- デジタルアーツ株式会社
- テクノロジー・IT
2020年はメール誤送信による情報漏洩が約2割増加 「PPAP」も疑ってかかれ メールのセキュリティ対策“再構築”のススメ
- デジタルアーツ株式会社
- 2020年12月22日
- 10:00
ここ最近、企業や自治体などによるメール誤送信に起因する情報漏洩事故が相次いで報道されました。当社がマスメディアによる報道資料を基に独自に集計した結果、国内セキュリティインシデントは全体的に増加傾向であり、その中でメール誤送信が原因となったインシデントは、2020年1月から11月までで119件、昨年や一昨年から比べると、2割以上増加しています【図1】※1。
【図1】2018~2020年 国内「メール誤送信」インシデントのみでのグラフ
2019年時点で、6割以上の企業が誤送信を経験 うち3割以上が社外からの指摘で発覚※2
メール誤送信は今に始まったインシデント要因ではありません。当社が2019年に企業を対象に行ったメール誤送信に関する意識調査では、メールを誤送信したことがあると回答した従業員が6割以上、送った本人が誤送信に気付くケースが7割であるものの、3割以上は間違えて送った社外の担当者など、社外からの指摘で発覚したと回答しました。こうした誤送信から個人情報や重要情報の漏洩が起こってしまい、社会的信用の失墜に繋がります。なぜこれほどまでに誤送信は減らないのでしょうか。
【図2】メール誤送信の内容(自社調べ)
公開されているインシデントの原因としてよくあるケースは、アドレスの記入ミス等によって間違った宛先に送信、公表すべきでないメールアドレスを誤って公表、誤った添付ファイルを添付、といった宛先や添付ファイルの間違いです。
では、こうしたミスは従業員が注意を怠らなければ起きない事故でしょうか。人が注意をしてミスをなくすということには限界があります。必ずミスや間違いは発生してしまうものという前提に立ち、何らかのシステムを用いた誤送信対策はまず不可欠であるといえるでしょう。ポイントとしては、宛先や添付ファイルをシステムで確認する仕組みソリューションを導入していただくことです。
PPAPにひそむ危険 マルウェア被害のリスクが高まる?
そして、もう一つ、最近話題になっている「PPAP(メールで暗号化ZIPファイルを送信し、後からパスワードをメールで別送する方法)」についても考えていく必要があります。
PPAPは、ファイルを外部に送信する際の機密保持やコンプライアンス遵守の観点から、これまで日本で採用が推進されてきた方法です。しかし、暗号化されたZIPファイルが添付されたメールと、パスワードが別送されるこの手法は、セキュリティとしてはほとんど意味がないとされ、デジタル改革担当の平井卓也大臣が、11月17日の定例会見で中央省庁で使用を廃止する方針であることを明らかにしました。
<PPAPが、セキュリティ上意味をなさないとされている部分>
ここで、PPAPが疑問視されている理由を改めて整理してみます。
(1)悪意の第三者がファイル添付されたメールを見ることができた場合
この場合、パスワードが書かれたメールも見ることができる確率が高く、意味をなさない。
(2)宛先や添付ファイルを間違った場合
ファイルとパスワードのメールどちらかで気づけば防げるが、どちらも間違った宛先に送った場合・どちらのメールでも添付ファイル間違いに気付けない場合、意味をなさない。
また、多くの場合パスワードを自動発行・送信するシステムを用いているため、人が気づけるタイミングがなく結局意味をなさない。
こうしたことから、有用性と代替策について現在議論がされています。
加えて最近では、
(3)「Emotet」や「IcedID」など、パスワード付きZIPファイルを用いた攻撃が横行
パスワード付きZIPファイルがアンチウィルスソフトなどのマルウェア検査を回避してしまうため、このためパスワード付きZIPファイルの受信を廃止すると、いちはやく表明した企業もあるほどです。
PPAP運用の検討とメールセキュリティ対策の再構築を 誤送信は起こりうると想定し確認できるシステムを
では、PPAPをただちに廃止することが必要かというと、その限りではありません。ファイルの暗号化は情報漏洩対策の基本として必要ですし、PPAPに替わる代替対策をただちに講じることが難しい組織もあると思います。
まずは現在の自組織における利用状況と運用ルールを把握することと、上記リスクを把握した上で組織に合致したポリシーを検討することが重要です。
メール誤送信をシステムでチェックする機能を有したメールセキュリティソリューションや、強固でかつ効率的にファイル暗号ができる暗号化ソリューションも出てきています。今一度、メールセキュリティ対策の見直しと“再構築”をされてみてはいかがでしょうか。
(参考)
■セキュリティレポート『国内セキュリティインシデント-メール誤送信は増加傾向-』
https://www.daj.jp/security_reports/201222_1/
■誤送信・内部統制・コンプライアンス強化を備えたメールセキュリティ「m-FILTER」Ver.5
https://www.daj.jp/bs/mf/
■ファイルを暗号化し、利用状況を追跡・遠隔操作できるファイルセキュリティ「FinalCode」
https://www.finalcode.com/jp/
※1マスメディアによる報道資料をもとにした自社調べ(2020年12月)
※2自社調べ「勤務先におけるメール誤送信の実態調査」(2019年6月)
https://www.daj.jp/shared/php/downloadset/c/parts.phppage=dl&filename=DigitalArts_mf_1906.pdf
2019年時点で、6割以上の企業が誤送信を経験 うち3割以上が社外からの指摘で発覚※2
メール誤送信は今に始まったインシデント要因ではありません。当社が2019年に企業を対象に行ったメール誤送信に関する意識調査では、メールを誤送信したことがあると回答した従業員が6割以上、送った本人が誤送信に気付くケースが7割であるものの、3割以上は間違えて送った社外の担当者など、社外からの指摘で発覚したと回答しました。こうした誤送信から個人情報や重要情報の漏洩が起こってしまい、社会的信用の失墜に繋がります。なぜこれほどまでに誤送信は減らないのでしょうか。
【図2】メール誤送信の内容(自社調べ)
公開されているインシデントの原因としてよくあるケースは、アドレスの記入ミス等によって間違った宛先に送信、公表すべきでないメールアドレスを誤って公表、誤った添付ファイルを添付、といった宛先や添付ファイルの間違いです。
では、こうしたミスは従業員が注意を怠らなければ起きない事故でしょうか。人が注意をしてミスをなくすということには限界があります。必ずミスや間違いは発生してしまうものという前提に立ち、何らかのシステムを用いた誤送信対策はまず不可欠であるといえるでしょう。ポイントとしては、宛先や添付ファイルをシステムで確認する仕組みソリューションを導入していただくことです。
PPAPにひそむ危険 マルウェア被害のリスクが高まる?
そして、もう一つ、最近話題になっている「PPAP(メールで暗号化ZIPファイルを送信し、後からパスワードをメールで別送する方法)」についても考えていく必要があります。
PPAPは、ファイルを外部に送信する際の機密保持やコンプライアンス遵守の観点から、これまで日本で採用が推進されてきた方法です。しかし、暗号化されたZIPファイルが添付されたメールと、パスワードが別送されるこの手法は、セキュリティとしてはほとんど意味がないとされ、デジタル改革担当の平井卓也大臣が、11月17日の定例会見で中央省庁で使用を廃止する方針であることを明らかにしました。
<PPAPが、セキュリティ上意味をなさないとされている部分>
ここで、PPAPが疑問視されている理由を改めて整理してみます。
(1)悪意の第三者がファイル添付されたメールを見ることができた場合
この場合、パスワードが書かれたメールも見ることができる確率が高く、意味をなさない。
(2)宛先や添付ファイルを間違った場合
ファイルとパスワードのメールどちらかで気づけば防げるが、どちらも間違った宛先に送った場合・どちらのメールでも添付ファイル間違いに気付けない場合、意味をなさない。
また、多くの場合パスワードを自動発行・送信するシステムを用いているため、人が気づけるタイミングがなく結局意味をなさない。
こうしたことから、有用性と代替策について現在議論がされています。
加えて最近では、
(3)「Emotet」や「IcedID」など、パスワード付きZIPファイルを用いた攻撃が横行
パスワード付きZIPファイルがアンチウィルスソフトなどのマルウェア検査を回避してしまうため、このためパスワード付きZIPファイルの受信を廃止すると、いちはやく表明した企業もあるほどです。
PPAP運用の検討とメールセキュリティ対策の再構築を 誤送信は起こりうると想定し確認できるシステムを
では、PPAPをただちに廃止することが必要かというと、その限りではありません。ファイルの暗号化は情報漏洩対策の基本として必要ですし、PPAPに替わる代替対策をただちに講じることが難しい組織もあると思います。
まずは現在の自組織における利用状況と運用ルールを把握することと、上記リスクを把握した上で組織に合致したポリシーを検討することが重要です。
メール誤送信をシステムでチェックする機能を有したメールセキュリティソリューションや、強固でかつ効率的にファイル暗号ができる暗号化ソリューションも出てきています。今一度、メールセキュリティ対策の見直しと“再構築”をされてみてはいかがでしょうか。
(参考)
■セキュリティレポート『国内セキュリティインシデント-メール誤送信は増加傾向-』
https://www.daj.jp/security_reports/201222_1/
■誤送信・内部統制・コンプライアンス強化を備えたメールセキュリティ「m-FILTER」Ver.5
https://www.daj.jp/bs/mf/
■ファイルを暗号化し、利用状況を追跡・遠隔操作できるファイルセキュリティ「FinalCode」
https://www.finalcode.com/jp/
※1マスメディアによる報道資料をもとにした自社調べ(2020年12月)
※2自社調べ「勤務先におけるメール誤送信の実態調査」(2019年6月)
https://www.daj.jp/shared/php/downloadset/c/parts.phppage=dl&filename=DigitalArts_mf_1906.pdf
- 本件に関するお問合わせ先
-
※新型コロナウイルス感染症拡大に伴う在宅勤務実施中のため、お電話でのお問い合わせは下記とさせていただきます
デジタルアーツ株式会社 広報担当 山田 (TEL : 090-1555-7254 / E-mail : press@daj.co.jp)
この企業の関連リリース
【5月オンラインセミナー】GIGAスクール構想第2期に求められる学習用端末の利用条件・ICTを活用した授業支援のポイントや、IDaaSで実現するフィッシング対策をご紹介
- 2024年04月19日
- 10:00
- デジタルアーツ株式会社
- テクノロジー・IT
【4月オンラインセミナー】GIGAスクール構想第2期に向けた学習用端末に求められる条件と利活用のポイントや、4月1日施行・改正不正競争防止法「営業秘密」の解説と効果的な情報漏えい対策をご紹介
- 2024年03月22日
- 10:00
- デジタルアーツ株式会社
- テクノロジー・IT
デジタルアーツ GIGAスクール構想第2期を見据え「i-FILTER」の機能を強化 ~文部科学省の定めるスペック基準への対応やICTを活用した授業支援を実施~
- 2024年03月21日
- 10:00
- デジタルアーツ株式会社
- テクノロジー・IT
この企業の情報
- 組織名
- デジタルアーツ株式会社
- ホームページ
- https://www.daj.jp/
- 代表者
- 道具 登志夫
- 資本金
- 71,359 万円
- 上場
- 東証プライム
- 所在地
- 〒100-0004 東京都千代田区大手町1-5-1大手町ファーストスクエア ウエストタワー14階
- 連絡先
- 03-5220-1110
