メールの組織アドレスと個人アドレス、金融にみるメリット・デメリット：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

なぜ「組織アドレス主義」に？

　それでは、金融機関がなぜ組織のメールアドレスを優先するようになったのかについて記してみたい。

　ある時、地銀や信金の友人たちとの飲み会でこの点を聞いてみたところ、筆者の予想通りの回答だった。つまりは「内部不正の防止」のためである。10年前はこういう環境の金融機関が今以上に多数存在していたらしい。

　組織名のアドレスにすることで、その組織の従業員全員（金融機関によっては役席者だけ読むことができるという）が内容を閲覧できる。これによって、例えば顧客に「こういう高金利の商品があります。お得意様限定なので早いもの勝ちです」という様なメールの送受信（行員による投機商品の購入なども含まれる）ができなくなるということだ。

　一般の人の中には、金融機関というだけでWebサイトやインターネット周辺のセキュリティ対策がすばらしいものになっていると誤解があるかもしれない。しかし、実際はそうではないところも多く、内部不正対策の最も簡単な方法として、昔は組織のメールアドレスが使われていた。だが、現在ではそういう人間系の防御は「精神論」としては極めて大事であるものの、こういう方法には“スマートさ”がないし、確認漏れや人的ミスが生じやすい。しかも、今ではもっと簡単で確実に実施できるツールが山とある。しかも組織アドレスだけでは、デメリットが少なくない。それに気がついていない金融機関が多いのは残念である。

　その昔、金融機関は旧大蔵省が存在していた頃から「護送船団方式」で都市銀行も零細の金融機関も守られてきた。その昔ながらの考え方で「何も変化させない」ことが最も「コストパフォーマンスのいい企業経営」と思われていた節もあったのだろう。それはそれで否定をするつもりはないが、現代のドラスティックに変化する金融業界においては、「このままでいいのだろうか？」という疑問を常に持ってほしいし、少しでも合わないと感じるならドンドン変化をさせるべきではないかと思う。

　組織としてはもっと行員を信じてもいいだろう。その一方で悪さをするごく一部の内部犯罪者や外部からの攻撃に対して、システム的にその兆候を察知して確実に除去する様にすべきではないだろうか。「べき論」となってしまいがちだが、もし、こういう基本から改善したいと思われる金融機関があれば、ぜひ筆者にお問い合わせいただきたい（ここの１行は宣伝です・笑）。

　金融機関にとって、今回お伝えした内容以外にも改善すべき項目がそれぞれの環境で多々あっても何ら不思議ではない。つまり、一概に組織アドレスで業務を遂行している状況だからといって、ピンポイントでそこだけを非難してはいけない。経営側としては熟慮した結果として、リソースである「人・物・金」全体をうまく配分させた結果かもしれず、安直な批判は避けるべきである。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。