TLSによるメール暗号化の仕組みと見積書送付における情報漏洩リスクの対策
山崎講師こんにちは。ゆうせいです。
新人研修中に受講者から以下の質問をいただきました。
TLSによるメール暗号化をしていれば見積書を暗号化せずに送っても大丈夫でしょうか?
今回はこの質問の答えたいと思います。
日常の業務において、見積書などの重要な書類をメールに添付して送信する機会は多くあります。その際、通信を暗号化する技術であるTLS(Transport Layer Security)が広く利用されています。TLSを利用すると、インターネット上でデータが送受信される途中に、第三者がそのデータを盗み見るリスクは低くなります。
しかし、通信が暗号化されているからといって、情報の漏洩が発生する可能性が完全になくなるわけではありません。メールが相手に届いた後や、送信する前の段階において、別の要因によるリスクが存在します。
この記事では、メールに添付した見積書がどのような経路で漏洩する可能性があるのか、その一覧と適切な対策について説明します。
メール送付における情報漏洩の経路と発生頻度
メールで送信した見積書が外部に漏れる原因には、通信中の盗聴以外にも複数の要因があります。それぞれの要因について、TLSで防ぐことができるかどうかの区分と、発生する頻度をまとめました。
| 発生原因 | TLSによる防御 | 発生頻度 |
| 通信経路上の盗聴 | 防げる | 低い |
| 宛先の誤送信 | 防げない | 高い |
| 受信者パソコンのマルウェア感染 | 防げない | 中程度 |
| メールアカウントの乗っ取り | 防げない | 中程度 |
| メールサーバの侵害 | 防げない | 低いから中程度 |
| 自動転送設定による漏洩 | 防げない | 中程度 |
| 共有メールボックスの第三者閲覧 | 防げない | 高い |
たとえば、自社から取引先へ見積書を送信する場合、TLSの働きによって自社のメールサーバから取引先のメールサーバまでの通信は暗号化されます。TLSによる暗号化は、荷物を頑丈な鍵付きの箱に入れて配送するような状態といえます。
しかし、荷物が取引先の担当者のメールボックスに無事に届いた後の管理は、TLSでは制御できません。実際の情報漏洩の事例では、宛先の間違いや、メールアカウントの乗っ取り、届いた添付ファイルがさらに別の人間へ転送されるといった、受信後の問題が大部分を占めています。
見積書の漏洩がもたらす影響
見積書には、企業の機密にあたる情報が多く含まれています。具体的には以下の内容が記載されています。
- 会社名および担当者名
- メールアドレス、住所、電話番号
- 見積金額
- 取引の具体的な内容
これらの情報が外部に漏洩した場合、個人情報や取引先情報の流出だけでなく、営業上の大きな損失につながる恐れがあります。
たとえば、研修を提供する企業において、A社にはJava研修を500万円で提案し、B社には同じ研修を400万円で提案しているといった価格設定の情報が競合他社や取引先に知られた場合、今後の価格交渉や企業の信頼関係に悪影響を及ぼします。
過去の対策であるPPAPが推奨されない理由
これまでは、添付ファイルをパスワード付きのZIP形式に圧縮して送信し、その後に別のメールでパスワードを伝える方法が広く使われていました。このファイル伝送方式は、それぞれの頭文字をとってPPAPと呼ばれています。
多くの人は、ファイルをZIP形式にすること自体が危険であると考えがちですが、問題の本質は別のところにあります。PPAPの問題点は、ファイルとパスワードを全く同じ経路で連続して送信することにあります。
パスワード付きZIPファイルを送る方式では、以下のリスクを防ぐことができません。
- 送信先を間違えた場合、ファイルもパスワードも同じ間違った相手に届いてしまう
- 送信者のメールアカウントが乗っ取られている場合、第三者に両方のメールが見られてしまう
- 受信側のメールサーバやパソコンからデータが漏洩した場合、暗号化の意味がなくなる
このように、同じ経路で情報を送る行為は、鍵をかけた箱と、その鍵を同じ配達員に持たせて送るようなものであり、安全性に課題があります。
現在推奨されている見積書送付の対策
現在、見積書などの書類を安全に送受信するために、企業では以下のような対策が取られています。
一般的な企業における対策の組み合わせ
現在でもメール添付を利用する場合、以下の要素を組み合わせることで安全性を高める企業が多いです。
- メール通信の暗号化(TLS)の維持
- 多要素認証(MFA)の設定:パスワードだけでなく、スマートフォンの通知などを利用して本人確認を行う仕組みにより、アカウントの乗っ取りを防ぎます
- 送信前の宛先および添付ファイルの確認の徹底
大企業を中心に導入が進むURL共有方式
セキュリティを重視する企業では、ファイルを直接メールに添付せず、クラウドストレージにアップロードする方法が増えています。具体的な手順は以下の通りです。
- 見積書を専用のサーバにアップロードする
- そのファイルが保管されている場所を示すURLを相手に送る
- 閲覧できる期限を設定する
- 誰がいつアクセスしたかというログを取得する
クラウドストレージを利用した共有方式の大きな利点は、通信の暗号化そのものよりも、送信した後の制御が可能である点にあります。万が一、宛先を間違えてURLを送信してしまった場合でも、気づいた時点でそのURLを無効化すれば、相手にファイルを見られることを防げます。また、アクセスログを確認することで、適切な相手がダウンロードしたかどうかを確認できます。
まとめ
見積書を安全に届けるためには、通信が暗号化されているかという点だけでなく、送信時のミスや受信後のアカウント管理におけるリスクに目を向ける必要があります。今後の学習として、以下のステップに沿って組織のセキュリティを見直すことをお勧めします。
- 自社が現在利用しているメールシステムで、TLSや多要素認証が有効になっているかを確認する
- 業務の中で発生しているメールの誤送信リスクを洗い出す
- ファイル共有専用のクラウドストレージの導入や、送信前チェックツールの活用を検討する
段階的に対策を進めることで、業務の利便性を損なわずに、情報漏洩のリスクを低減させることができます。
セイ・コンサルティング・グループでは新人エンジニア研修のアシスタント講師を募集しています。
投稿者プロフィール
