【BLOG】誤送信対策を考えるときに一番大切なコトとは?

みなさん、はじめまして。HENNGEの澤です。

前職の情報システム部を経て、HENNGEで導入支援を経験後、現在は運用中のお客様に対してご支援を担当しております。

今までの経験をもとに、HENNGEの枠に囚われず、少しでも情報が発信できればと思い、ブログを始めることになりました。

 

今回のテーマは「誤送信対策」!

 

昨今の各社の情報セキュリティの意識も高まってか、情報セキュリティのリスクを軽減するため
いろいろな運用や仕組みを使って対策しているという声を沢山聞きます。

その中でも、メールの誤送信対策というのもそのうちの一つかと思います。
今回は、世の中の会社はなぜ「メールの誤送信対策」をするのかを考えてみます。

webaroo-3Mhgvrk4tjM-unsplash.jpg

目次

  1. そもそも誤送信ってなんだっけ。なぜ対策が必要なんだろうか。
  2. 「性善説」で考えたほうがみんなが幸せになれる?
  3. 「性善説」とか現場はそんなうまく行かないケースもある
  4. セキュリティ対策は生産性向上の側面もある

 

 そもそも誤送信ってなんだっけ。なぜ対策が必要なんだろうか。

誤送信の体験としてよく聞くのは、以下のような内容でしょうか。

 

  • 同じ名前(名字)の別の会社の人に間違って送信してしまった
  • 書きかけのメールを送ってしまった
  • 別の会社向けのファイルを送ってしまった
  • BCCで複数人で送るメールをTO/CCで送ってしまった
  • 機密情報を関係ない人に送信してしまった

 

 

一方、誤送信対策をする理由は以下のようなケースが多いのでは無いでしょうか。

 

  • PマークやISMSの対策として検討する必要があるから
  • 誤送信事故が発生してしまったため、対応策を検討する必要あるから
  • トップダウンで対策するよう指示があったから
  • 世の中的に有事に備えて対策しておく必要があると思っているから

 

考え出したからここに書ききれないくらいの沢山のケースがありますよね。
また、誤送信対策をする上でも

 

「性善説」で考えるか「性悪説」で考えるか

 

によっても対策の方法は全然変わってくるのではないかと考えています。

 

「性善説」で考えたほうがみんなが幸せになれる?

まず、どのようなプロジェクトにも当てはまることだと思いますが、セキュリティ対策は、

その手段よりも目的を明確にして本質を忘れないことが大切だと思っています。

 

「誤送信を減らしたいから誤送信対策サービスを入れよう!」ではなく、

誤送信対策をするために、何をする必要があり、その上で何が課題なのかを考えます。

 

ここが曖昧だと、目的がブレて、何故その対策をしなくては行けないのか、

いつまでにやる必要があるのか、情報システム部もわからなくなり、

それではエンドユーザーにも納得してもらえません。

 

 

# 私も前職で情報システム部だったときは、セキュリティ対策に関する優先度と、

直近の別のプロジェクトや課題をいつも天秤にかけて、結果いつもセキュリティ対策は後回しになってしまったり、

エンドユーザーからは不満の声が聞こえてきたりといった記憶が蘇ってきます。

(当時は山のようなタスクやプロジェクトで、目的とか本質とか考える余裕がありませんでした・・・)

 

 

例えば、誤送信事故をきっかけに対策しなくてはいけない状況になったとします。
誤送信対策はツールを導入しなくてもいくらでも対策できます。

  • メール送信前に自分自身や第三者によるチェックをする(宛先、本文、添付ファイル)
  • 業務内容によっては任意のメールテンプレートを使う
  • 添付ファイルを手修正する運用をやめる(自動出力など)

helloquence-5fNmWej4tAA-unsplash.jpg 

 

このように世の中には誤送信対策ツールを導入しなくても、

「誤送信対策」ができている企業は沢山ありますし、それで実際に誤送信を防いでいる企業も沢山あります。
そのような企業は、次のような方針で進めることでうまく行っているように見受けられます。

 

 

「人はみんな正しくメールを使える能力がある」

「ただ知らないだけ」という、いわゆる性善説のもとに

「セキュリティ教育」を行う。

 

 


そうすることで、大半の誤送信は防げるのではないでしょうか。

ただし、人はだれでも「間違い」をします。


その間違いをリカバリーするために、「誤送信対策」のツールやサービスを使って、

一定期間メール送信を取り消ししたり、第三者が確認できるようにするといった対策をします。

 

 

_____1.jpeg


なので極論「間違えたままでいい」会社なら誤送信対策をする必要は無いですね。

でもそのような会社はほとんど無いですし、重要なことは以下ではないでしょうか。

 

 

◯ 従業員自身が自分ごととして、当事者意識を持つコト

◯ そのために、リスクや影響など正しい情報を伝え続けるコト

◯ 「間違い」をリカバリーできる環境が必要なコト

◯ その役割が情シスであることを、従業員に認識してもらうコト

(従業員の業務を邪魔しているのではなく、むしろ無駄な工数を使わないように助けてくれている)

 

 

ここで大切なのは、誤送信を防ぐ一番の特効薬は従業員の意識であること、

そして、誤送信対策ツールは、あくまでリカバリーツールであることです。

 

これが出来ている会社であれば、エンドユーザーからの反発もほとんど無いのではないでしょうか。

 

_____________.jpg

 

ただ人の意識を変えることほど難しいことはありませんよね。

私個人的には、「教育」という言葉が良くない気がしています。

誰かが人の意識を変えるのではなくて、賛同者を増やす「啓蒙活動」

これが本当の「セキュリティ教育」なのではないでしょうか。

 

 

それ抜きで、セキュリティ製品を導入しても、セキュリティ事故が減らなかったり、

現場からの反発が強く断念してしまうといった結果になってしまうのではないでしょうか。

 

情報システム部が一生懸命導入したシステムが使われないとか、それほど悲しいことはないですよね。

 

ただこのセキュリティ教育はとても労力が入りますし、

メンタル的にも辛いところがあります。

事業推進とのバランスも考慮する必要があるかと思います。

 

私個人的には、セキュリティ教育は片手間になりがちですが、誤送信対策のソリューション導入よりも、

ずっとずっと工数をかけて推進すべき案件ではないかと考えています。

 

「性善説」とか現場はそんなうまく行かないケースもある

一方で、会社の規模や従業員のITリテラシーや業種などさまざまな理由により、

セキュリティ教育が末端まで行き届かないといった課題を持った企業もあり、

 

そのような企業は「性悪説」を前提に、

セキュリティをシステムでガチガチ固めざるを得ないケースもあるかと思います。

 

このようなケースの場合、セキュリティ管理者の運用が非常に大変で、

組織変更の際など膨大な作業が発生しているのではないでしょうか。

 

そしてエンドユーザーとの調整も非常に苦労されているのでは無いかと想像しています。

 

裏方としてこのような運用をしている管理者は、本当にすごいなと素直に感じておりますし、

決して間違った運用だとは思っておりません。

 

重要なのは以下を常に忘れないことなのではないでしょうか。

 


「セキュリティ教育をすること自体を諦めないこと」
「どのようなセキュリティ製品でも100%防ぐことができないこと」

 

 

セキュリティ対策は生産性向上の側面もある

セキュリティ対策は見方を変えれば、生産性向上の側面もあると思っています。

例えば、以下のような課題があったとします。

 

  • PマークやISMSの対策として添付ファイルは暗号化して送る必要がある。

 

これについても、上記の性善説に則って考えれば、

自身でZIP暗号化できれば自動暗号化ツールを導入をしなくても、いくらでも対策ができます。

 

ただ、一方で今まで暗号化して送っていなかった人にとっては面倒かもしれないですよね。

 

そのような場合に、「自動暗号化」させるような仕組みがあったら、

その人の生産性は向上するかもしれません。

_________.jpg

 

もちろん、「自動暗号化」は手段の一つですので、それこそ「オンラインストレージを使う」でもいいですし、何でもいいです。

 

大切なのは、

 

課題は何か、目指すべき状態は何なのかを意識する

 

ことだと思います。

 

大切なことなので、もう一度。

本当の課題は、目指すべき状態は、何なのか。

 

  • 誤送信対策なのか
  • 情報漏えい対策なのか
  • 生産性向上なのか

 

見せ方を変えれば「セキュリティ」ばかりが強調されず、

エンドユーザーにとっても、必要不可欠なソリューションになるかもしれないですよね。

 

今一度、いま直面している課題の本質は何なのか考えてみるのはいかがでしょうか?

 

プロフィール

profile.png

 

          
この記事は役に立ちましたか?

よくあるご質問