「ファイル受け渡し」のセキュリティポリシーを全社統制するテクニック
USBなどのメディア紛失やメール誤送信によって、機密情報が流出する事故が後を絶ちません。しかし、メディアやメールを利用したファイルの受け渡しは、日常業務を行う上で必要不可欠です。漏洩対策として、メディアやメールの利用ルールを厳しくすれば、ユーザーの利便性は低下し、セキュリティポリシー違反を生み出す恐れもあります。本コラムでは、ユーザーに無理を強いることなく、全社で「ファイルの受け渡し」のセキュリティポリシーを徹底するための対策をお届けします。
社員全員のセキュリティ意識を高めるのは限界
日本の企業で発生した情報漏洩の約80%が、社員や関係者による「管理ミス」、「誤操作」、「紛失・置き忘れ」などの人的ミスが原因と言われています。(注1)
メディアなどの紛失・置き忘れ、メール誤送信など、社員のうっかりミスやルール違反が招いた情報漏洩のため、多くの企業は、社員教育や厳格な運用ルールの徹底などの強化を図っています。
しかし、情報漏洩の対策ルールの理解度や危機意識には個人差があり、1回の勉強会程度でセキュリティに対する意識を高めることは難しいでしょう。
さらに、社員数が多く、グループ会社全体も管理するケースでは、ルールを徹底・遵守させ、統制を保ち続けることには限界があります。
(注1)出典:2016年 情報セキュリティインシデントに関する調査報告書 (NPO 日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループ)より

セキュリティポリシーを統制するためのポイント
情報漏洩対策として、セキュリティに対する社員の意識を高めたり、ファイルの運用ルールを強化するだけでは限界があります。ここでは、全社のセキュリティポリシーを統制し、対策レベルを大幅にアップさせるポイントを紹介します。
(1)人に依存した運用をやめる
「USBメモリは紛失や置き忘れのリスクが高いので“使用禁止”」というルールを設けても、その代わりになる方法を用意しなければ、“こっそりUSB”を使う社員を増えたり、誤った方法を選択したりと、漏洩リスクはますます高くなってしまいます。最終的なファイル受け渡しの運用を社員任せにせず、セキュアな代替手段を提供する責任が企業にはあります。
(2)今までの運用を大きく変更することは避ける
これまでのファイル受け渡しと大きく異なるルールや運用方法を導入すると、現場の反発を招くことになります。
「新しいやり方は使いづらい、覚えられない」と感じた社員が、以前と同様の方法を利用し続ければ、新しい情報漏洩対策は無意味になってしまいます。ファイルの受け渡しに多くのユーザーが使い慣れている方法から、操作や運用方法が大きく変わるツール類の導入は避けるべきです。
(3)社員にとってメリットのある運用を最優先に
新たな「ファイル受け渡し」の運用ルールを設定しても、ファイルを送るまでの操作や手順が煩雑であったり、実態に合わなければ、結局「守られないルール」になってしまいます。
ユーザーが使いやすく、業務を効率化するなどのメリットが感じられる新しい運用やツールであれば、社員は積極的に利用し、セキュリティを強化しながら、全社に定着します。
電子メールにファイル添付するだけ。セキュリティと利便性を両立
前段で紹介した「全社共通のセキュリティポリシーを徹底したいが、運用は大きく変えたくない」といったニーズに応えるのが、富士通グループのメール誤送信対策ソフト「SHieldMailChecker」とファイル暗号化伝送ツール「Confidential Posting」です。
操作は簡単で、いつも通りにメールにファイルを添付して送信するだけ。 メール送信時に、以下の5つの項目において、再確認を促したり、ポリシー違反/抵触があった場合は警告を出します。(図2)

- 本文確認
メール本文や宛先の内容を確認 - ルール抵触
(例)宛先が上限以上/タイトル・本文・添付ファイル 名に社外機密キーワード含む(社外秘、機密、関係者外秘など) - 宛先リスク 同業他社・メーリングリスト/個人メール・携帯メー ル/タイプミスなど
- 添付ファイルのチェック、暗号化
添付したファイル内容の確認/ファイルサイズ(合計) の制限など/自動でパスワード付ファイル(exe、ZIP など)に変換 - 送信を許可
上記のすべてをチェックしないとクリックできない
さらに、添付したファイルは自動的に分離・暗号化され、富士通のセキュアなデータセンターを介して受け渡す事で、セキュアなファイル受け渡しを実現します。 (図3)
メールを送信する際、確認のワンステップが入るものの、他のツールで別途暗号化する必要も、ファイルを専用のツールで送信する必要もありません。ユーザーが使いやすい上に、「宛先を誤って選択した」「暗号化をうっかり忘れた」「面倒だからメール添付で送信した」といった事態も防げ、対策の“抜け穴”をなくすことで、全社共通のセキュリティポリシーの統制が可能になります。

アフラック 様
販売代理店との機密情報データ授受をセキュアな環境下で実現。誤送信の可能性がなくなり送信後の取り消しも可能に。授受履歴台帳も自動生成されるため、効率的にもれなく記録できるように。

「Confidential Posting」の詳細はカタログをダウンロード!
Webでのお問い合わせはこちら
-
当社はセキュリティ保護の観点からSSL技術を使用しております。
お電話でのお問い合わせ
-
富士通Japanお客様総合センター
0120-835-554(通話無料)受付時間:平日9時~12時、13時~17時30分(土曜・日曜・祝日・当社指定の休業日を除く)