情報漏洩リスクを最小限に！SSEのEmail DLPで守る企業の情報資産

1. はじめに

最近のニュースで、メールからの情報漏洩インシデントが取り上げられており、自社のセキュリティポリシーに不安を覚えた方もいらっしゃるのではないでしょうか。メールは、業務を行う上で必要不可欠であり、利便性が高い一方で、常に情報漏洩のリスクを抱えています。

メールからの情報漏洩は、誤送信やサイバー攻撃（マルウェア感染、フィッシング攻撃など）が主な原因となり、機密情報の流出につながる可能性が常に潜んでいます。情報漏洩が発生した場合には、企業の信用失墜、経済的損失、法的問題などにより対応工数の増加、業務上深刻な影響を及ぼす可能性があります。

このリスクを軽減するためには、誤送信防止機能の活用や企業内で厳格なセキュリティポリシーの策定、信頼できるメールセキュリティ製品の利用など、適切な対策を企業として実施することが重要です。
今回の記事では、"メールからの情報漏洩の実態"と"SSEのEmail DLPで実現する対策"についてご紹介します。

目次

• メールからの情報漏洩リスクと実態
• SSEのDLPで実現するEmail DLPとは
• Email DLPの導入メリット
• まとめ

2. メールからの情報漏洩リスクと実態

メールからの情報漏洩リスク

メールからの情報漏洩パターンは、人為的な要因と攻撃者による要因の大きく2つに分かれます。

●人為的な要因
　・To/Cc/Bccの設定ミス : 本来Bccに設定すべきアドレスをCcに登録し、顧客にメールアドレスが漏洩
　・宛先間違い : 送付すべき相手のメールアドレスを間違えて、別の相手に送付し漏洩
　・ファイルの添付ミス : 本来送付すべきファイルと間違えて、別ファイルを添付し漏洩

●攻撃者による要因
　・ウイルス型メール : ウイルスをメール内のファイルやURLに添付し、ウイルス感染が発生
　・フィッシングメール : 送信者を偽って本文中のURLに誘導し、IDやPasswordを窃取する
　・標的攻撃型メール(Emotet) : 特定の会社や組織を狙い、メール内で個人情報や機密情報を盗む

情報漏洩が発生した場合、企業の信用力の低下やブランドイメージの毀損、機密情報が競合他社や悪意のある第三者の手に渡ることで、競争力を失い、大きな経済的な損失に繋がる可能性があります。
お客様に対しても、損害賠償請求など法的な問題につながることもあるため、企業はメールからの情報漏洩が発生した際のリスクを把握したうえで、セキュリティポリシーに遵守し、メールを使用する必要があります。

メールからの情報漏洩の実態

2024年4月に、大手サービス企業でメール誤送信事故が発生しました。社内システムを構築する目的で使用したファイルをメールで送信する際に、ファイルの内容と宛先の確認を怠ったことにより誤送信が発生し、情報漏洩事故に繋がっています。

統計でも、日本情報経済社会推進協会（JIPDEC）の「2023年度　個人情報の取扱いにおける事故報告集計結果」によると、情報漏洩の原因として、誤送信関連(誤配達・誤送付、誤送信)が64.9%を占め、マルウェアが要因となっているのは330件(5.7%)で5位という結果になっています。

※参考リンク : https://privacymark.jp/guideline/wakaru/g7ccig0000002vj1-att/2023JikoHoukoku_240815.pdf
　出典元 : 日本情報経済社会推進協会

そこで、情報漏洩の対策として、誤送信防止機能の活用や、企業や組織内でメールに関するセキュリティポリシーを作成し、社内で遵守するように徹底すること、メールセキュリティ製品の導入を実施することが重要になります。

しかし、企業の情報漏洩対策の導入率を見てみると、「誤送信防止機能の導入」は2023年度時点で7割以上、メールセキュリティ製品については、「アンチウイルス・アンチスパム」の対策製品8割を超えています。
※参考リンク : https://download.cybersolutions.co.jp/wp/missend_2023
　出典元 : サイバーソリューションズ株式会社

以上のことから、多くの企業において情報漏洩のリスクを理解し、対策は実施をしているものの、依然として情報漏洩が発生しており、完全な対策は実現できていない状況となります。

では、どうしたらメールからの情報漏洩リスクを0に近づけることができるのでしょうか？

3. SSEのDLPで実現するEmail DLPとは

メールからの情報漏洩リスクを0に近づけるための一つの手段として、Security Service Edge（SSE）の枠組みの中で提供されるData Loss Prevention（DLP）機能でメールに対してセキュリティを強化することが挙げられます。

SSEのDLPは、クラウドベースで提供され、情報漏洩対策や内部不正対策を目的とした、企業の重要な情報資産を保護するためのセキュリティサービスとなります。DLP機能は、検知範囲を幅広くカバーしており、SaaSアプリケーションやWebだけでなく、USBなどのエンドポイント、今回のメールに対してもDLP検査することが出来ます。

DLP機能を用いることで、メールの内容をリアルタイムで監視し、ポリシーに違反する機密情報を特定することが可能になります。具体的には、機密情報と識別するためのキーワードやパターン、AI/ML（機械学習）を設定し、それに基づいてメールの中身のデータを検査します。そして、企業として機密情報が含まれていた場合に、DLP機能によって検知し、その後アクションを決めることが可能になります。

企業としてどの情報をもって機密情報に該当するかの判断は様々ありますが、例えば、以下のような情報が機密情報に該当します。

●機密情報
　・個人情報：顧客名、住所、電話番号、金融機関の口座情報など
　・財務情報：売上数字、予算案、機密の契約書類など
　・医療情報：患者の診断情報や医療記録など
　・知的財産：特許関連の技術情報、企画書、開発ドキュメントなど

Email DLPを利用することで、メールが送信される前にSSEのクラウド側で、常にリアルタイムで検査を行うため、DLPポリシーに違反する情報を含むメールは自動的に送信停止（ブロック）したり、上長に対して承認を得るようフローを追加することができます。さらに、メール送信時に情報漏洩リスクがあるかどうかを検査しているため、情報漏洩のリスクを大幅に減少させつつ、通常の業務フローを阻害することなく、安心して業務を行える環境を実現できます。

4. Email DLPの導入メリット

弊社で取り扱っているSSEのNetskope製品の例をもとに、Email DLPを導入した場合のメリットを見ていきます。

Netskope製品のEmail DLPは3つの方法、①エージェント導入型②API連携型③SMTP Proxy型で、メールに対してDLPによるコンテンツのチェックと制御をします。今回は③のSMTP Proxy型についてフォーカスを当てていきたいと思います。

まず、Netskope Email DLPを導入し、メールサービス（Microsoft Exchange/Microsoft Outlook/Google Gmailなど）とNetskope SMTP Proxyを連携することで、従業員がメールを送信した際に、必ずNetskopeを中継し、リアルタイムでDLPによるコンテンツのチェックを実施します。

DLP検査で機密情報が含まれていた場合は、メール送信のブロックや従業員の上長に対して承認メールを転送するなどのアクションが行われます。承認メールが送られた場合は、上長側が承認することでお客様への送付が可能になります。

連携イメージ図については、下記をご参照ください。

Netskope製品のEmail DLP機能を使用した場合、大きく3つのメリットがあります。

ⅰ情報漏洩対策

メールのコンテンツ（件名、本文、添付ファイル）に対して、機密情報が含まれているかを必ず確認するフローを設けることで、情報漏洩リスクを0に近づけることができます。

加えて、マルウェアやフィッシングなどの攻撃者による情報漏洩に対しても、①エージェント導入や②API連携などを組み合わせることで、外部から来たフィッシングメールに含まれる悪性のファイルやサイトを、Netskopeの脅威防御を利用して防ぐことも可能となります。

ⅱ運用工数の削減

セキュリティポリシーとして、外部へメールを送信する際は必ず上長承認を得てから、送付するといった運用を行っていた場合、Email DLP機能を活用することで、全てのメールに対して確認する必要がなくなり、重要なメールのみの承認確認となるため、従業員の工数削減を実現できます。

ⅲ DLP検知ルール統一化

SSEを既に導入されている場合、SaaSアプリケーションやWebに対して設定しているDLP検知ルールを、そのままEmail DLPに対して併用することができるため、一度企業内でセキュリティポリシーを策定することで、企業全体のガバナンスを効かせることが可能となります。管理面でも、DLPの検知ルールを一括で管理することで、複数製品で設定することなく二重管理の手間を省くことができます。

情報漏洩対策の一環でセキュリティ製品をご検討する際に、セキュリティを強固にできる一方で、ユーザの利便性が欠けるといった懸念点もありますが、Netskope DLPはアクションが必要な機密情報に限ってセキュリティを設けることで、ユーザの利便性も下げずにセキュリティを強化できます。

5. まとめ

メールからの情報漏洩の実態として、企業は情報漏洩リスクを把握し対策を講じているものの、依然として誤送信やフィッシングメールなどにより、インシデントが発生しています。
今一度自社のセキュリティ対策を見直し、"情報漏洩リスクを0に近づけるために必要な対策がないか"検討してみてはいかがでしょうか。

参考資料

『システム部門が着手すべき事前準備と内部不正対策となるNetskope SSEの実力』

『具体的な機能から情報漏えい対策のアプローチを知る
　２つの事件から学ぶNetskope SSE活用の勘所』