使い方

» 2008年11月14日 08時00分 UPDATE

特集企画

うっかり送信に“待った”を掛けろ

送信後の「しまった！」をなくすメール誤送信対策

メールの送信ミスは誰にでも経験はある。だがそこに取引先の機密情報が含まれているとしたら――。このとき、重要なメールが社外に出ていく前に誤送信を見つけ、送信を「なかったことにできる」防止策が有効だ。

[末政延浩，センドメール]

Googleの「Mail Goggles」

　Googleが提供するフリーメール、Gmailについて、やや風変わりな機能追加が最近話題になった。「Mail Goggles」と呼ばれる機能である。これは、特定の時間帯にGmailでメールを送信しようとすると、計算問題が画面上に表示され、それに正解すればメールが送信できるという機能だ。人々が感情的なメールを送信しやすい時間帯ということで、週末の夜遅くに有効になるらしい。週末気分で羽目を外して、後で送らなければよかったと思うようなメールの送信を防ぐ抑止策の役割を果たす。米国のブロガーなどの反応を見ると、計算が得意でなかったらどうするのかとか、一種のジョークのようにとらえられている向きもあるが、後悔するようなメールの送信を防止する対策という意味では、今回解説する誤送信対策と似たものといえる。

誤送信による被害

　Mail Gogglesの例のように週末に送って後悔するプライベートなメールならまだ許されるかもしれないが、電子メールシステムがビジネスコミュニケーションの最も重要な道具の1つとなった今、業務メールを間違って送信するということが大きな問題になっている。ビジネス上での間違いメール（誤送信）は業務や企業の活動に深刻な被害を及ぼす可能性がある。誤送信とは簡単にいうと、送信者や受信者にとって不適切なメールを意図せずに送信してしまうことだが、細かく見ると幾つかのケースがある。

（1）社内で特定の人だけに開示されるべき情報を含むメールを社内のほかの人に誤って送信した

（2）社外に出すべきでないデータや書類を社外のあて先に送信した

（3）守秘義務のある特定の取引先との間でのみ開示される情報を関係のない（または競合関係の）第三者に間違って送信した

（4）顧客に一斉メールを送信する場合に顧客のあて先がすべてヘッダに表示されていた

（5）私用メールを会社のメールアドレスから誤って業務上のあて先に送信した

　また、誤送信ではあるが比較的影響の小さいものとしては次の通り。

（6）本文中で相手の名前に敬称を付け忘れた

（7）添付書類を付け忘れた

（8）書きかけのメールを送信してしまった

　誤送信については、まずメールのあて先を間違えるということが深刻な問題を引き起こす大きな原因となっている。特に最近のメールソフトでは、メールのあて先入力をアドレス帳や過去のメールから拾い出して自動補完してくれるため、本来指定しようとしたあて先とよく似た、異なるアドレス名に補完される場合もあり、間違えやすくなっている。また、適切でない添付書類を間違えて添付することも原因となり得る。

　また、例えばケース4はメールアドレスが第三者に漏えいする点が問題だが、操作ミスだけではなく、CRM（顧客関係管理）システムの不具合が原因である場合もある。誤送信問題はメールによる情報漏えい問題の一部と考えられるが、ケース5やケース6など、単に受け取った人が気分を害するだけといった場合も含まれているのだ。

送出したメールは取り消せるか

　インターネット電子メールは、バケツリレーの形でデータを送信するので、いったんメールソフトから送出してしまうと、取り消すのは非常に難しい。顧客の個人情報など社外秘データを公開メールリストに間違って流してしまうと、社会的問題となったWinnyのようなP2Pファイル共有ソフトによるデータ漏えいに匹敵する、取り返しの付かない問題となる。

　そこで、どうにかしてこのような誤送信を防ぐ、または送信したメールをキャンセル可能にする幾つかの仕組みが考え出され、さまざまなベンダーから製品として提供されるようになった。

主な誤送信防止専用ソリューション
製品名	販売元	機能概要	URL
BRODIAEA safeAttach	オレンジソフト	一時保留、添付ファイル暗号化／分離ダウンロード	http://www.orangesoft.co.jp/modules/pukiwiki/?safeAttach
CipherCraft/Mail	NTTソフトウェア	暗号化、パスワード付きZIP圧縮、メール内容スキャン、メールクライアント注意喚起	http://www.ntts.co.jp/products/ccraftmail/
E-Post BossCheck Server	イー・ポスト	一時保留、上長承認処理	http://www.e-postinc.jp/Boss_Check_Server.html
HDE Mail Cop	HDE	一時保留、あて先アドレスチェック、メール内容スキャン	http://www.hde.co.jp/hmc/
Mailstream Manager	センドメール	暗号化、パスワード付きZIP圧縮、メール内容スキャン	http://www.sendmail.co.jp/products/mailstreammanager/
m-FILTER MailFilter	デジタルアーツ	パスワード付きZIP圧縮、メール内容スキャン	http://www.daj.jp/bs/mf2/mailfilter.htm
PlayBackMail	CSK Winテクノロジ	一時保留、パスワード付きZIP圧縮、あて先アドレスチェック、メール内容スキャン	http://www.cskwin.com/Products/PlayBackMail.html
WISE Alert	エアー	メールクライアント注意喚起	http://www.air.co.jp/staticpages/index.php/wal
留め～る	日立ソフトウェアエンジニアリング	一時保留、パスワード付きZIP圧縮、あて先アドレスチェック、メール内容スキャン	http://hitachisoft.jp/products/Sendmail/solution/todomail/

誤送信防止の方法はさまざま

　現在、誤送信防止対策として、次のようにさまざまな方式の製品が提供されている。

あて先アドレスのチェック
メール本文の言葉のチェック
添付書類名のチェック
添付書類の内容チェック
送信サーバでのメールの一時保留
メール本体の暗号化
添付書類の暗号化
メールソフトによる送信時の注意喚起

　以下に、それぞれの方式について説明しよう。

あて先アドレスのチェック

　企業や組織においてメールのあて先の指定方法にルールを決め、そのルールに合わないメールをチェックして保留したり送信拒否したりする対策だ。対応製品ではこれらのルールに従わないメールをメール送信サーバにおいて検出し、送信拒否、保留したり、または上長や監査オペレーターに転送するなどのアクションが取れる。ルールには次のようなものがある。

a）一定数以上（例えば10個以上）のあて先を1つのメールに指定しない

b）社外のメールアドレスと社内のメールアドレスを1つのメールに同時に指定しない

c）メール本文の決められた位置（例えば1行目など）に、必ず相手の社名や名前を記述するようにし、その名前とあて先アドレスの内容が一致するものでなくてはならない

d）社外のあて先は必ずBCCにする

　aは、万が一の誤送信の場合、影響範囲を最小限にとどめるためのルールだ。bは社内秘の情報を外部に誤送信しないためのものだ。また、cはケース3のように、互いに競合関係のある顧客への配慮である。dはケース4のような顧客のメールアドレスの漏えいを防ぐためである。

　単純にメールアドレスの数などをチェックするaや、bまたはdのようなシンプルなルールであれば、導入は比較的簡単だ。cのルールで検査する場合は、データベースに社名と対応するメールアドレス（ドメイン）を登録しておいて、送信するメールのアドレスをチェックするのだが、一方でデータベースの作成や運用といった管理作業が発生してしまう。

メール本文の言葉のチェック

　先述のケース5のようにメールの内容が問題になる場合は、本文を分析して検出する。具体的には、使用禁止用語のリストを持つことで、そのリストにある言葉を使用したメールを検出するのだ。用語ごとにポイントを設定し、各用語の出現回数やそのポイントを加算して、全体としての危険度を算出する製品もある。ただし、用語を登録したり管理する手間が掛かる点は注意したい。ケース6～8の誤送信は専用の解析アルゴリズムを使って検出する。このようなメール本文の言語をチェックする方式は検出精度や誤判定などが気になるところだが、誤判定が発生した場合の対処方法も考えておく必要がある。

添付書類のファイル名チェック

　社外秘の情報を含む添付書類を社外に出さない、または間違ったあて先へ送付させないための機能である（図1）。社外秘となる情報を含んだファイルには特定のファイル名を与えるようなルールを決め、送信用メールサーバにおいて添付書類の名前をチェックする。また、添付する際はあて先の名前などをファイル名の一部に必ず含ませるようにして、あて先と添付書類名がマッチするかどうかをチェックするという場合もある。この方式は、社外秘の添付書類名の一覧を作成したり、命名規則を決めて社外秘の書類かどうかを判断できるようにするのだが、一覧作成の手間や送信メールに書類を添付するときに書類名などを送信者が編集する手間などが掛かるため、ユーザー負荷がやや高い方法だといえる。

図1●添付書類名をチェックするシステム

添付書類の内容チェック

　上記と同じく添付書類に着目した機能だが、こちらはさらに一歩踏み込んで、書類ファイルの内容の検査を行う。社外秘の書類の内容に特徴となる文字列を入れるといったルールを実施し、送信メールサーバにおいて添付書類の内容をチェックして特徴となるデータが検出された場合、該当のメールを送信停止する。検出対象は文字列だけではなく、Microsoft Office系文書ファイルやPDFファイルの属性を利用する場合や、書類の内容のハッシュ値を計算しフィンガープリント（特徴）としてあらかじめ記録しておき、そのフィンガープリントと送信された添付書類とを比較する機能を持った製品もある。フィンガープリントを利用した製品の中には、ファイル全体だけではなくファイルの一部分だけを送信した場合でも検出できる機能を持っているものもある。

送信サーバでのメールの一時保留

　送信されたメールを一定時間（数分か10分の間）社内メールサーバ上で保留し、保留されている間は取り消し可能にするという機能だ（図2）。一説によると誤送信の大半はメール送信後10分以内に気付くともいわれており、送信してから数分から10分の間は保留サーバにあるメールを送信停止できるようになっている。最近では電子メールの配送にリアルタイム性が要求される場合もあり、数分のメール配送の遅延と取り消し可能にする機能とのトレードオフになるが、上で説明した誤送信防止のルールと併せて、怪しいものだけ保留するといった運用が可能だ。時間だけではなく、保留されたメールを送信者の上長が参照でき、上長の許可を得て外部へ配送可能にする機能を併せ持つ製品もある。間違って送信したメールを（一定の時間ではあるが）キャンセルできるという分かりやすい対策であり、また送信者にも受信者にも余分な手間が掛からないという利点がある。

図2●送信メール一時保留（隔離）システム

機密情報を含むメールが保留されている様子（画面はCSK Winテクノロジの「PlayBackMail」）《クリックで拡大》

メール本体の暗号化

　メールそのものをS/MIMEやPGPなどの標準的な暗号化方式や、ベンダー独自の暗号化方式で暗号化し、鍵を持っている受信者だけがメールを読めるようにする方法である（図3）。公開鍵方式の暗号化を利用する際、事前に公開鍵を送信者と受信者で交換しなくてはいけないことなどから、特に限られた相手とだけ機密データをやりとりする場合は非常に有効だが、日常的に不特定多数の相手とメールをやりとりするような場合には向かない。また、メールソフトにおいてメールの暗号化や暗号化解除を実施する場合、メールのウイルススキャンや、ほかの誤送信対策、情報漏えい対策のためのメールスキャンが無効化してしまうという欠点もあった。

図3●暗号化による誤送信防止策

　しかし、最近のメール暗号化ソリューションでは、サーバ側で暗号化処理するとともに、受信者も鍵をあまり意識することなく解読できる仕組みをWebベースで提供しており、これまで問題とされていたユーザー手順の複雑化や各種スキャン無効化の問題を解消している。さらに、送信した後に暗号化されたメールの復号ができないように送信者側からコントロールできる製品もある。間違って送信したメールを復号不可にできるので、誤送信対策としては本質的だといえる。

添付書類の暗号化

　上述の暗号化に近いが、この方式では添付書類だけを暗号化して送信することで誤送信に対応する。実は添付書類を、パスワードを付けた状態で暗号化ZIP圧縮して添付するという対策は、特に日本の金融関係の業界では以前から広く行われている。暗号化に利用したパスワードを電話または別のメールで受信者に知らせることで、万が一間違ったあて先に送付した場合でも情報漏えいしないようにする対策だ。Microsoft Office書類やPDF書類にも同様にパスワードで暗号化する機能があり、それらを利用することもある。

　従来は、エンドユーザーがメールを送信するときに自分で添付書類の暗号化圧縮を行っており、それが煩わしい手間になっていた。上述のメール暗号化と同様、各種スキャナが無効化してしまう問題や、メールを監査のためにアーカイブしていると後で添付書類をチェックしにくいという問題もあったが、最近ではサーバ側で自動的に添付書類の暗号化を実行できる製品が登場している（図4）。こうした対策を実施する場合は、特に強度の高い暗号化方式を利用するようにしよう。例えば標準のZIPによる暗号化圧縮は、クラック用のツールで短時間に解読できてしまうケースがあるようだ。またパスワードのやりとりも、書類を添付したメールにパスワードを書いてしまってはまったく意味がないので、やはりできれば電子メール以外の連絡方法を利用する方がよい。

図4●添付書類のパスワード付きZIP圧縮による誤送信防止策《クリックで拡大》

暗号化と受信者側の負荷

　電子メールの暗号化ソリューションは誤送信問題について本質的な対応が可能だが、受信者側で暗号を解読するために何らかの操作が必要となる。例えば、受信したメールを暗号解除するためにパスワードを入力する程度だとあまり気にならないが、メールソフトの設定を変更したり、解読専用のアプリケーションをインストールしたり、さらに鍵交換のためWebサイトにアカウントを作成したりすることが要求される場合もある。暗号化して送信されたメールに対して返信するときの操作もソリューションごとに異なる。新規の顧客などにメールを送る場合、日本の商習慣からすると、顧客に面倒な操作をさせることは避けたいだろう。

　現在広く行われているパスワード付きZIP圧縮による誤送信対策は、OSの標準機能やフリーウェアで提供されているZIP圧縮機能を利用する点で、受信側の手間を最小にしつつ、ある程度のセキュリティを確保できるというバランスの良さが受け入れられているといえる。対して、メールクライアントソフトでのS/MIMEなどによる暗号化は、セキュリティレベルが高いにもかかわらず、その複雑さや利用時の手間がユーザーに敬遠され、普及しているとはいえない状況だ。暗号化ソリューションの導入を検討する場合、受信者にどのようなアクションを要求するのかという点を十分確認してから選択すべきである。

企業ではサーバ側での対策が現実的

　誤送信防止対策には、人間の起こすいろいろな間違いに対応するために、このほかにもさまざまなアイデアが見られる。例えばある製品では、送信サーバに送られたメールの添付書類をサーバ上に保存し、メールから削除した上で、その保存された添付書類をWebアクセスなどの方法でダウンロードできるようにする。そして、添付書類が削除された元のメールにはそのダウンロードURL情報を本文に追加して送出するというものだ。添付書類がメールだけでは社外に出ていかないので、間違いに気付いたらその添付書類をダウンロードできなくすることで漏えいを防げる。

　また、ここまではサーバサイドでの防止対策を説明してきたが、エンドユーザーが利用するメールソフトの付加機能として、冒頭で紹介したMail Gogglesのようにユーザーが送信ボタンをクリックした後に誤送信がないかどうかを確認するツールも存在する。ただし残念ながら、こうした警告に対してはユーザーも日常的に慣れてしまい、警告が出ていても無視、または見落として送信する恐れがある。企業での導入を考えると、やはりサーバサイドでの一元的なルール実行が望ましいだろう。

製品選びのポイントは？

　現在の誤送信対策製品は、大体上記の複数の方式を組み合わせて利用できるようになっている。設定できるルール、定義できるアクションは製品ごとにさまざまなので、どのような誤送信を防ぎたいかをしっかりと把握した上で製品を選ぶことが、誤送信対策を成功させる鍵となる。また、製品の機能に頼るだけでなく、電子メールの利用ルールを徹底することでより効果的になる場合も多い。ただ、ルールといってもユーザーにとって守るのが難しいようでは電子メールの利便性を損なうので、製品の機能を活用し、最小限のルールで済むようにするべきだ。電子メールの簡単さ・便利さを保つために、防止できないケースをある程度認める割り切りが必要になる場合もあるだろう。ユーザー、特に社外の受信者になるべく手間を掛けさせない方法で対策することが重要である。

＜筆者紹介＞

末政延浩

センドメールテクニカルディレクター

米国Sendmail,Inc設立時より商用版sendmail製品を扱い、同社日本法人立ち上げメンバーとして参加。センドメールではISPおよび企業向け大規模電子メールシステム構築のコンサルタントとして従事。Japan E-main Anti-abuse Group（JEAG）にて送信ドメイン認証の勧告書作成に協力。