大手総合商社「メデア商事株式会社」の営業部3課――。新人研修を終えて配属されたばかりの新人・小林ケンタがメールの設定マニュアルと“格闘”していた。
ここは大手総合商社「メデア商事株式会社」の営業部3課。新人研修を終えて配属されたばかりの新人・小林ケンタは今日から本格的な業務開始ということで 情報システム部から PCと電子メールアドレスが割り当てられ、マニュアルを手渡された。
まずは情報システム部から指示されたとおり、マニュアルに従ってパスワードを変更。ふとデスクトップ画面を見るとOutlookのアイコンがある。
小林 メールソフトはOutlookなのか……えっとメールの設定は……。
マニュアルをめくっていると課の先輩・高柳ワタルがやってきた。
高柳 よっ! 今日から本格的に仕事だな。がんばれよっ!
小林 あっ、ありがとうございます。今日から宜しくお願いします。あのぉ、ところでメールはOutlookなんですね?
高柳 そうだよ。グループウェアと連動させる必要があってOutlookに限定されてる。何か問題でも?
小林 Gmailを使いたいんでメールの転送設定をしたいんですけど、情報システム部のマニュアルには転送設定の方法が書いていなくて……。
高柳 おいおい……。「セキュリティポリシー」って聞いたことあるか?
小林 研修のときに説明は受けましたが……。
近年、企業では「情報セキュリティポリシー」を定め、それに従って情報を管理することが一般的だ。これは業務のIT化が進むにつれ、増大した企業内情報を「安全に」管理するためのポリシー(ルール)である。一般的に、企業(部署)内の情報を分類し、それぞれの分類について、管理方法や社外への持ち出し手順などが定められている。内容は企業ごとに異なるのはもちろん、場合によっては企業内の部署ごとに異なるケースもある。
小林 研修でも聞いてはいるので「情報セキュリティポリシー」というもの自体は分かっているつもりなんですけど、それがGmailとどう関係するんですか?
高柳 そんなことも分からないのか……。まったく新人研修では何を教えているんだ……。とにかくここじゃ難だからミーティングスペースに移動しよう。
小林 ……?
情報セキュリティポリシーの中心となる項目の1つは、社内情報の「持ち出し」に関するもの。これはもちろん社内情報の漏洩リスクを軽減する目的なのだが、そもそも社内情報にはどのようなものがあるのだろうか。
社内情報は一般的に次の3つに大別される。
情報セキュリティポリシーでは、この3つの分類を具体的に定義し、それぞれの取り扱い方法――とりわけ(2)について持ち出し手順を厳密に定めているケースが多い。
高柳 業務メールはこの3つのうち、どれだと思う?
小林 いずれにも分類できないと思います。内容によっては(1)かもしれないし、(2)の場合もあるかもしれません。
高柳 その通り。じゃあ、自分宛に送られてきたメールがどの分類なのか、小林は自動的に判別できるのか?
小林 内容を読まないと分からないと思います……。
高柳 では、Gmailのアカウントに転送すると、社内情報であるメールはどこに保存される?
小林 Googleのサーバです。
高柳 それは社内か社外か?
小林 社外です。……あっ!!
高柳 ようやく気が付いたか。
小林 は、はい……。
メールの転送は、PCやUSBメモリ、または紙のような物理媒体によるデータの持ち出しとイメージが異なるため、社外への情報持ち出しに当たらないと思いがち。
しかし外部のメールアカウントに社内情報であるメールを無条件に転送した場合、もしそのメールアカウントのIDとパスワードが何らかの形で第三者に漏れるようなことがあれば、それだけで社内の機密情報が外部に漏洩してしまう可能性がある――ということを忘れてはならない。すなわち、情報漏洩のリスクという点では、PCのような物理媒体によるデータの持ち出しと何ら変わることはないのである。
セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築等コンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら。
Copyright © ITmedia, Inc. All Rights Reserved.