クラウド、モバイル、ソーシャルといった新しいテクノロジーを駆使して「いつでも」「どこでも」業務を行うことができるようになり、さらに便利に、効率的に働くことができる環境が整っています。一方で、会社の管理下にないIT機器やサービスを、従業員が勝手に利用することにより、情報漏えいのリスクが高まっています。
こうした「シャドーIT」のリスクを軽減するにはどうしたらよいでしょうか。今回は、シャドーITの典型例の一つである「フリーメール」をテーマに、生産性（利便性）とセキュリティを両立し、企業として正しくリスクをコントロールするにはどうしたらよいかを考えてみたいと思います。

シャドーITとは

企業にとって、「シャドーIT」による情報漏えいのリスクが高まっています。
シャドーITとは、従業員が会社の管理下にないIT機器やサービスを会社に許可なく「勝手に」利用すること。たとえば、私物のスマホを許可なく業務に用いたり、個人アカウントでパブリッククラウドサービスを業務に利用するフリーメールの利用も「シャドーIT」の一つです。
私用のスマホ利用や個人アカウントで利用するクラウドサービスなどは、普段から慣れた環境で業務が行える利便性がある反面、業務データが個人のモバイル機器やクラウドストレージなどに保存されることによる意図せぬ情報漏えいや、個人のスマホを通じてマルウェアが社内ネットワークに拡散されるなどの可能性があります。
なにより、会社が把握していない場所や経路で情報が漏えいするため、会社が情報漏えいの事実に気づきにくく、適切な対応が取れないといった事態を招きかねません。シャドーITを放置すると、企業として適切なリスクコントロールを行えない状況に陥ってしまうのです。

フリーメールの業務利用による情報漏えいの事例も

実際に、シャドーITが招いた情報漏えいの事例として、「個人アカウントで利用するフリーメールの業務利用」による情報漏えいのケースがあります。
ある自治体では、職員が個人アカウントのフリーメールを業務に利用していたところ、アカウントが不正アクセスを受け、2,000件を超える個人情報が流出した可能性があることが報じられました。報道によれば、申請書や名簿、免許証などが漏洩した可能性があり、これらには住所や氏名、電話番号などが書かれていたとのことでした。なお、業務では原則フリーメールを使わない決まりとなっていたものの、フリーメールを使っていたということです。
便利なコンシューマー向けの製品やサービスが普及し、それらを駆使することが「当たり前」になっている状況で、企業は社内のIT機器やフリーメールをはじめとするクラウドサービス利用のリスクを把握し、利用実態を可視化することが求められているといえるでしょう。

メールによる情報漏えいはなぜ起きる？

では、メールによる情報漏えいはどのようにして起こるのでしょうか。当社が2014年に全国の20代～60代の男女を対象にインターネットで行った調査によれば、業務・私用時に「誤送信メール」を経験したことがあると回答した人は、全体の45.7％にのぼりました。さらに、その経験者に対し、これまでに送った誤送信メールの回数を聞いたところ「2～4回」と回答した人が7割以上（72.3％）もいることが明らかになりました。
こうした誤送信による情報漏えいのリスクに加え、悪意のある従業員がメールを用いて重要情報を外部に持ち出す「内部不正」による情報漏えいが生じるケースがあります。
こうしたリスクはフリーメールを使うことでさらに増すことになります。というのも、フリーメールを使い、自宅のメールアドレス宛に業務データを添付して送信することで容易に情報の持ち出しが行えるからです。
そして、先ほど例示した自治体のケースのように、フリーメールのアカウントが不正アクセスを受けた結果、情報が漏えいするケースや、自宅のパソコンがマルウェアなどに感染し、業務データが外部に流出するといった可能性があるのです。

フリーメールによる情報漏えい対策の難しさ

ここで改めて、私用のメールアカウントによるフリーメールを業務で利用することで生じるリスクをまとめてみましょう。
まず、「シャドーIT」によってアカウントが社内ポリシーから外れることにより、IDが適切に管理できなくなるリスクがあります。これにより、アカウントへの不正アクセスや、その結果、企業の重要情報の漏えいといったリスクが生じます。
さらに、フリーメールの利用を野放しにすることで、たとえば、在職中にやり取りをしたメールはフリーメール上にそのまま残るため、退職した社員が情報を持ち出すことが容易となり、その後のデータ探索はさらに難しくなるリスクもあります。
また、フリーメールからの情報漏えい中には、「悪意はないものの、便利だからと業務に使っていた結果、情報漏えいしてしまう」ケースもあります。この場合は、悪意ある不正ではないものの、会社のルールに反する行為になります。
こうしたリスクにもかかわらず、内部からの情報漏えいは、単に制限や禁止では対策できない側面があります。なぜなら、機密情報や個人情報などに業務上アクセスする必要のない社員については、情報へのアクセス権を制限するなどの対策が考えられますが、これらの情報に業務上必要があってアクセスする社員に対し、データの利用を制限することは難しいからです。
なお、IPAの「組織における内部不正防止ガイドライン」では、内部不正対策として次の5点のポイントを挙げています。

• 犯行を難しくする（やりにくくする）

対策を強化することで犯罪行為を難しくする

• 捕まるリスクを高める（やると見つかる）

管理や監視を強化することで捕まるリスクを高める

• 犯行の見返りを減らす（割に合わない）

標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ

• 犯行の誘因を減らす（その気にさせない）

犯罪を行う気持ちにさせないことで犯行を抑止する

• 犯罪の弁明をさせない（言い訳させない）

犯行者による自らの行為の正当化理由を排除する

フリーメールによる情報漏えいを防止する施策とは

では、企業はフリーメールによる情報漏えい対策をどのように進めたらよいでしょうか。たとえば、以下のような対策が考えられます。

(1)セキュリティポリシーと業務ルールの整備

情報漏えいに対して、単に「禁止」するだけではなく、フリーメールを使わなければいけない背景を知ることが大事です。業務実態を把握せず、いきなり禁止をすると業務に支障が出たり、生産性が落ちるかもしれません。フリーメールをはじめとするクラウドサービスや、モバイル機器などの利用に関する実態を明らかにし、実態に即した適切なポリシー、業務ルールを適切に定めることが大事です。

(2)利便性の高いツールの整備

利便性を考えると、フリーメールのほうが自宅で使えたり外出先からスマホで使えたり利便性が高いのも事実。そこで、たとえば、社内のメールをクラウド化することで、「いつでも」「どこでも」アクセスできるようにするなど、社内のオフィシャルなメールの利便性を高めることが大事です。利便性の高いITツールを整備し、外出中にスマートフォンやノートパソコンからオフィスメールにアクセス可能な環境を整えることで、個人のフリーメールアカウントの使用を抑制することが可能になります。大事なことは、「生産性（利便性）」と「セキュリティ」のバランスをとることです。

(3)ID管理・認証の強化

ユーザー管理・アクセス制御についてのソリューションを導入し、特定の機密情報へのアクセス、閲覧や複製などの制御を確実に行うことが重要です。

(4)ホワイトリスティングによるアプリケーションの制限

業務上、必要なアプリケーションの利用だけを事前にリスト化し、許可する「ホワイトリスティング」により、フリーメールの利用を制限することが可能になります。

(5)操作ログ取得

パソコンの操作ログを取得し、重要なファイルの複製や、不要なアプリケーションの起動などの操作ログを記録・管理することで「誰が」「いつ」「重要ファイルにアクセスしコピーを行ったか」等を可視化することで抑止効果や現状の把握ができます。

(6)Webアクセス管理

Webサイトについても業務上必要なWebサイトだけをリスト化する「ホワイトリスティング」が可能です。
また、Webメールの送信内容について送信元や件名、本文の内容を取得・確認することや、クラウドストレージへのアップロード／ダウンロードのログを取得する機能を備えたソリューションがあります。

フリーメールによる情報漏えいを防止するために、こうした機能を備えたソリューションの利用を検討することも一つの選択肢となるでしょう。
情報漏えいで怖いのは「現状が把握できていない状態」すなわち、シャドーITの状況であることがお分かりいただけたでしょうか。フリーメールからの情報漏えいを防ぐため、まずは「現状把握」を行い、社員がなぜフリーメールを使っているかを理解して対策しましょう。

フリーメールサービス名およびドメイン名一覧

一部のフリーメール/個人メールのサービスとドメイン名を一覧にしました。操作ログ取得などのソリューション機能と組み合わせて、業務実態の現状把握にご活用下さい。

2018年6月29日現在
※サービス名・ドメイン名は変更となる可能性がございます。