2023年 8月23日公開

【連載終了】読んで役立つ記事・コラム

メール添付ファイルに潜むリスク

執筆:マネジメントリーダーWEB編集部

書類のやり取りで利用されているメール添付。しかし、近年このメール添付のリスクが課題となっています。安全に書類を送付するためにはどうすれば良いのでしょうか。

1. メール添付ファイルの送り方

メールは、業務で頻繁に利用されているコミュニケーションツールです。最近はSNSの利用も増えていますが、多くの企業でオフィシャルな連絡手段として活用されています。メールの便利なところは、テキストだけでなく添付という形で、書類や画像などのファイルを送れることです。書類の電子化やインボイス制度により、メールに書類を添付して送付する機会はこれからも増える可能性があります。

その一方で、添付書類の大容量化や情報流出のリスク、最新ウイルス対策などの視点から、メール添付ファイルの利用を見直す動きも出てきています。さらなるデジタル化の進化を前にメール添付書類の利用方法を再検証してみましょう。

メール添付ファイルの送付マナー

添付ファイルの内容を簡潔に明記

2019年以降に企業への被害が拡大している、悪意のある攻撃メール「Emotet」。これは、取引先などの関係者を装ってWordやExcelなどのメール添付ファイルを送付し、受信者が添付ファイルを開くことでウイルス感染を引き起こすものです。

Emotetは、巧妙に偽装して送付されてくるため不正なメールと判断するのが難しく、ウイルス対策ソフトに検知されにくい正規のマクロ機能を使用して攻撃してくるため、細心の注意が必要になります。受信した際の注意はもちろんですが、送信する際は、相手が不安に思わないように添付ファイルの送付目的と内容を明記することをお勧めします。

添付ファイルの名称を分類しやすくする

ファイルを送付する際、自分が設定したファイル名称のままで送信していませんか。例えば、ファイル名称が「xo01_ek2635」のようになっていると受信者側はファイル名を見ても何の書類か分かりません。送信者は自社の分類ルールに従ってファイル名を設定していても、相手も同じルールとは限りません。また、前述した悪意のあるマルウェアと誤解されないように「A社_9月分領収書_20230823」(注1)などのように客観的に分かりやすいファイル名を設定して送付しましょう。

  • (注1)例は分かりやすいように和文で表記していますが、文字化けの可能性もありますので半角英数で設定することをお勧めします。

大容量ファイルは送らない

画像や動画のファイルは、高精細・高画質化が進み、データ容量も増える傾向にあります。送付相手先のメールサーバー負荷の軽減やテレワークやモバイル時の受信負荷を考慮して、大容量のファイルを送付する場合は、メール添付ではなくクラウドストレージなどのファイル転送サービス利用などを検討します。一般的に企業で利用しているメールサーバーは、メール容量の上限を3~10MBと設定している場合が多いのですが、ビジネスマナー上は2MBを上限と考えた方が良いでしょう。

機密情報などの重要なデータはメール添付では送付しない

情報セキュリティの観点から、企業の機密事項や個人情報を含んだ書類をメール添付で送信することを禁じている企業が多いと思います。しかし、メールはインターネット上のさまざまなルートを通って相手に送られます。そのルートに悪意を持った者がいれば容易に閲覧されることになります。パスワードを設定しているファイルでも、悪意のある第三者が閲覧することは容易に可能(後述)ですので、メール添付での送信は避けてください。

参考

休み明けは注意! Emotetの感染リスクと対処方法

目次へ戻る

2. メール添付ファイルのパスワード(PPAP)問題とは

メール添付ファイルは、パスワードを設定してメール本文とは別にパスワードを送付することが奨励されてきました。一般的にPPAPと呼ばれています。

  • P:Password付暗号化(Zipなど)ファイルを送付
  • P:Passwordを送付(別便)
  • A:暗号化(なぜか日本語)
  • P:Protocol(通信する際の手順)

暗号化しパスワードを別に送付することで機密情報が閲覧されないようにしていたのですが、近年その脆弱(ぜいじゃく)性が指摘されるようになってきました。

  1. パスワードを別便にしても、連続して送信すると同じルートで送付される可能性が高く秘匿性の効果が低い
  2. Zipなどのパスワードが比較的容易に解読されやすい
  3. パスワードを設定することで、受信側のウイルスチェックができなくなる
  4. Emotetなどのマルウェア感染の危険性がある

などの理由で、セキュリティに不安があるとされ、内閣府などの中央省庁では2020年以降、メール添付による外部へのファイル送信が全面廃止されています。また、一般の企業でもメール添付を廃止する企業が相次いでいます。

参考

内閣府「平井内閣府特命担当大臣記者会見要旨 令和2年11月24日」(内閣府のWebサイトが開きます)

目次へ戻る

3. メール添付からファイル共有へ

では、メール添付でファイルが送信できない場合はどうすれば良いのでしょうか。その答えとなるのは「ファイル共有システム」の利用です。

ファイル共有は、多くの企業で利用していることと思います。ファイル共有の機能には、アクセス権の設定や許可された相手のみファイルを見ることができる機能があります。この機能を利用して、送付したいファイルのアクセス件設定とアクセス先のURLを送ることでファイルを共有することが可能となります。設定によっては、閲覧状況なども把握できるため、メール添付で送付するよりも適切な管理が可能になります。

PPAPによってファイルを送信することが定着しているため、現在でもPPAPによりファイルをやり取りしている企業も多いと思います。しかし、これからのDX時代を迎えるにあたって、情報リスク=企業存続のリスクと捉えて、これまで当たり前と思って利用してきたツールを見直してみてはいかがでしょうか。
便利で使いやすく、従業員の方々が安心して業務に専念できる環境を構築していきましょう。

目次へ戻る

4. 社内からの機密データ流出を徹底的にガード

情報セキュリティゲートウェイ SAXA GE2000シリーズ

GE2000シリーズは社内からの重要データ流出を徹底的にガードする情報セキュリティゲートウェイです。GE2000シリーズはメール誤送信やメールによる情報漏えいを防止する機能を搭載しています。メールにファイルを添付し送信するとGE2000が自動で添付ファイルを分離、サクサ専用クラウドサーバーへ添付ファイルをアップロードして、安心・安全にファイルのやりとりすることが可能です。差出人自身がパスワードをメールで通知する流れのため、万が一誤送信した場合でも、ファイルを閲覧される心配はありません。また、メール送信された内容を一定時間保留しておくことができ、送信した直後に添付ファイル漏れやあて先間違いに気付いた場合、メールの送信を止められる機能もあります。

情報セキュリティゲートウェイ SAXA GE2000シリーズ

  • * 本記事中に記載の肩書や数値、社名、固有名詞、掲載の図版内容などは公開時点のものです。

目次へ戻る

【お知らせ】がんばる企業応援マガジン最新記事のご紹介