電子メールでの機密ファイル転送は危険 - コロナ禍で事態は悪化

Human Factor 2021 Report によると、コロナ禍による在宅勤務の増加が電子メール利用の脆弱性、特に特権攻撃への脆弱性、を高めました。重要なファイルの送信とファイルの不正なコピーが主な原因で、データ漏洩も増加しました。

残念なことに、電子メールは安全ではないにもかかわらず、相変わらず電子メールで機密ファイルを共有しようとするケースはたくさん見受けられます。例えば、法律事務所での弁護士とクライアントとのやり取りにおいて、クライアントや特権を持つ第三者以外の誰かが機密文書を獲得できるようなセキュリティ上のリスクは避けなければなりませんが、使いやすい電子メールは利用されています。LegalITProfessionals.com の記事は、「法律事務所のファイル共有プロセスに関する最近の調査で、電子通信を保護するためにセキュリティテクノロジーを使用している法律事務所はごくわずかであることがわかりました：電子メールの暗号化 (22%)、パスワードで保護されたドキュメント (14%)、安全なファイル共有サイトの使用 (13％) 」と記述しています。

電子メールの添付ファイルには傍受される危険が常にあり、データ漏洩、コンプライアンス違反といった問題に発展します。

膨大な電子メールの使用量

平均的なビジネスユーザーは、毎年約5,000の電子メール添付ファイルを送信します。「毎日約3,060億通のメールが送受信されています。企業環境では、メッセージの約25%、つまり760億通のメッセージが添付ファイルを含んでいます。」という数字が、Our Dangerous Reliance On Email Attachments And What To Do About It と題するブログで指摘されています。電子メールの添付ファイルにある情報は、行方不明になったり、間違った人 (ときには大きなグループ全体に間違って配布されることもあります) に送信されたり、見る権利のない他の人に見られたりする可能性のある情報です。

特に制限もなく気ままに電子メールにファイルを添付して送信するのは問題です。「電子メールの送信は、はがきを送るようなものです。電子メールを処理するすべての人またはすべてのシステムが、何が書かれたかを見て記録することができます。内容が他の人の興味を惹きつけなかったり重要でなかったりすれば問題ではありません。ただし、コンテンツに銀行の詳細、ネットワークのパスワード、顧客データなどの機密データが含まれている場合、大きな問題になります。」と TechTarget の記事は述べています。

添付ファイルは、その電子メールのコピーを持っている人なら誰でも、そして電子メールシステムやバックアップサーバーなどに侵入したハッカーなら当然、簡単にアクセスできます。その上、電子メールの添付ファイルは、システムが侵害されたときには送信後の削除機能が適用できず、重要な企業コンテンツが知らないところで何年も残ったままになります。

Osterman Research は、独自の調査で、メッセージの20～25%に添付ファイルが含まれ、企業の知的財産の75%が電子メールまたは関連する添付ファイルに保持されていると報告しています。添付ファイルは、ハッカーからすれば魅力あるデータの宝庫です。

データ漏洩問題

Ponemon が 830人の IT、セキュリティ、コンプライアンス担当者を対象に行った調査では、半数が従業員による電子メールの不適切な処理がデータ漏洩の最大の原因であると述べています。69%が、従業員が会社のセキュリティポリシーに違反して、十分なセキュリティを確保せずに機密データを電子メールで転送することが多く、多くの場合個人の Web ベースのメールアカウントを使用して転送していると回答しています。単純な人的ミスも多く、機密情報を外部に「誤って」 送信した従業員がいると答えた回答者は63%もいました。

Ponemon Institute の会長兼創設者である Larry Ponemon 氏は、タイムリーに効果的に責任を果たすために、ポリシーに従わずに機密情報を電子メールで送信する従業員はかなりおり、電子メールは重宝がられている、と eWeek で述べています。

人的エラー問題

誰かが間違って不適切な電子メールを意図しなかった人やグループに送信してしまい、窮地に陥ったという話を聞いたことはありませんか？あるいは自分でそのような困った経験をしたことはありませんか？たくさんの電子メールを送信していれば、そういった間違いはかなりの確率で起こり得ます。

電子メールの誤送信は、規制が厳しい業界では特に、困難な問題です。情報に関する権利を保護するイギリスの情報委員会事務局によると、誤った宛先に送信された電子メールは、フィッシング攻撃よりも 20% 多く報告されています。ICO の  Data Security Incident Trends Report は、2021/22 第4四半期のインシデントレポートを分析し、誤った受信者に電子メールで送信されたデータによるインシデントが、報告された全インシデントの15%を占めるトップの要因だったと報告しています。

2021 年の Verizon Data Breach Investigations Report によると、エラーに起因するデータ侵害のうち、メール誤送信によるものが55% (全データ侵害の13%) を占め、機密性の高い個人データや財務データを大量に所有する金融関連分野で特に問題になっています。

ファイル転送手段の選択基準

多くの人は、勤務時間中の業務にもメールアプリケーションを使用しており、電子メールにファイルを添付することは簡単なファイル転送手段としてよくとられる方法です。「機密ファイルを他の人と共有しようとして困難な問題にぶつかることがあります。通常、最も便利なオプションは電子メールですが、デフォルトでは、電子メールは安全ではありません。電子メール自体は暗号化されておらず、認証もありません。つまり、送受信者以外の誰でもアクセスして読むことができる可能性があります。」（ブログ「Many people using email to share files despite lack of security」より）

便利で手軽なものは人気がありますが、ファイル転送手段の選択基準として簡単であることを最優先にすることはできません。データ漏洩問題、コンプライアンス問題などを考慮すれば、優先される選択基準が安全性であることは言を俟ちません。

電子メールとファイルの暗号化

規制が厳しい産業には電子メールで送信されるデータは暗号化しなければならないという規則があり、コンプライアンス違反を避けるためにはファイルの暗号化は必須です。しかし、規制対象でない組織はもちろん、規制対象の組織であっても、暗号化に対する認識は甘いと言わざるを得ません。「規制へのコンプライアンスは電子メール暗号化を展開する最大の要因ですが、調査回答者の 84% が、どの情報を暗号化する必要があるか分からないと答えています。電子メールの暗号化を行っていない組織の半数以上 (67%) は、機密情報を電子メールで送信する方法を管理する規制があることを認識していませんでした。」と、 eWeek の記事は指摘しています。

機密ファイルの転送問題

電子メールでの機密ファイル転送が危険だということは、多くの企業が理解するようになってはきていますが、問題は、それに対する対策がきちんとなされていないことです。最近の電子メールセキュリティレポート (2021 state of email security report) は、その恐怖を示しています。「3 分の 2 以上 (70%) が、2021年のいずれかの時点でメール経由の攻撃がビジネスに損害を与える可能性が高い (39%)、非常に高い可能性がある (26%)、または避けられない (5%) と考えています。（中略） 過去12か月間に電子メールの使用が増加した企業では、電子メールベースの攻撃が発生する可能性が高い、または避けられないと考える回答者の割合が 4 分の 3 (75%) に急上昇しました。」

根本的な対策は、PPAP を含む電子メールを使ったファイルのやり取りを禁止し、電子メールの便利さに匹敵する便利さを備えた安全かつコンプライアントなファイル転送ソリューション、つまり保管中・転送中のファイル暗号化を含み、監査にも対応できるようファイル転送アクティビティのすべてを追跡できる、MOVEit のような MFT ソリューションを導入することです。

⇒　プログレスのホワイトペーパー、「脱 PPAP ソリューションガイド」をご参照ください。