2011年11月6日日曜日

[情弱注意]弊社のメール誤送信防止施策

私は情弱な会社に務めています。

そんな弊社で、近年メール誤送信によるセキュリティ事故(情報漏えい等)が頻発しているということで、メール誤送信防止策が打たれました。とても個性的な施策なので全世界に展開しようと思います。

今までのメール送信

今までは誰がどこにメールを送ろうが、メールの宛先に特別な制限はない。

今まではメールの送り主が社員だろうが協力会社社員(以下ベンダ)だろうが、社内へ送ろうが社外へ送ろうが、特に制限なく送れました。なお、ここでいうベンダさんとは、弊社に派遣されていて、弊社のPCを使って業務を行う人のことを指します。

メール誤送信防止策実施後のメール送信

今後はベンダさんが社外にメールを送信するときは、社員のメアドをCCに入れることが必須になる。

施策実施後は、社員のメール送信は今までと変わりませんが、ベンダさんが社外へメールを送信するときは、社員のメアドをCCに追加することが必須になります。なおCCの追加は手動です。将来的に、社員へのCC付与のないベンダアドレスからのメールは、メールサーバで遮断される予定のようです。この施策により、ベンダさんが社外へメールを出す時は社員にも見られるんだということによる緊張感が生まれ、誤送信が防げるというものです。とても前衛的な施策ですね。

ちなみに、「普段からCCにML付けててそこに社員も含まれているから変わらなくね?」と思ったあなた、ダメです。CCに社員の個人アドレスが必要です。きっとメールサーバ側でMLのメンバ確認なんて高度な技は使えないんでしょうね、管理者が。

施策による問題

社外へのメールは例外なくCC追加が必須なため、ベンダさんが自社へするメールも社員が見られることになる。

「ベンダさんが社外へ送るメールは例外なくCC付与」なので、ベンダさんが自社へ連絡するためのメールにも社員のCCを付けます。結果として、ベンダさんがベンダさんの自社とやりとりしているメールが社員に見えてしまいます。しかしそこは、見られたくない内容は添付ファイルにして暗号化する等の対策が取れるため問題ありません。

社内の反応

「これ考えた奴死ねよ」こんな意見が一般的です。どこからどう見ても完全情弱企業です。本当にありがとうございました。

こんなクズ施策にいちいち文句つけるのもあほらしいですが、そもそも誤送信防止になっていない。メール送るときにCCで確認するからって、目で確認するからOKならそもそも誤送信問題なんて発生しないだろうが。メール作るときは返信やテンプレから作るから手で追加なんてほとんどしないし。そして業務形態によらず社内一斉に適用するのもおかしい。百歩譲ってMLに社員が含まれる場合はCC付与不要にすべき。でないとCC付けられた社員はメールが2通届くことになる。無駄だろ。

メール誤送信の完全撤廃は確かに難しい課題ではあるが、本気でやるならメールサーバに機能追加して、添付ファイルの自動暗号化(複合方法は予め送信先と決めておく)等の施策にするべきだと思う(特別な仕組みではなく、お客様ごとにパスワードを定める等でよい)。そこまでやらないにしても、送信者、宛先のドメインによって、NGワードを定めたり、送信先を限定したり、有効な手は色々考えられる。が、いずれもメールサーバに機能追加が必要なため、弊社のメール管理者では実施不可となるんだろう。

今回実施されたゴミ施策は、社員の誰もがメール誤送信防止の観点では何の意味もなく、ただベンダさんに余計な手間を増やすもの という認識を持っていると思いますが、弊社のようなアレな組織は、一度打ち出されたセキュリティ対策の施策は、それを上回る施策を閃かない限り廃止されません。大切なのは「上回る」です。他の観点の施策ではただプラスされるだけで、今回の施策がなくなることありません。きっとメールサーバ側に手が入っても「クライアント側の施策は継続」とかになるんでしょうね。

情弱は一刻も早くこの世から消えて欲しいものです(会社がなくなるのは困りますが…)。

弊社のその他のメール誤送信防止施策

今回のあまりにひどい施策以外にも、今まで幾つかの施策が適用されていますので紹介します。

  • メーリングリストの適正化:MLのメンバを社員とベンダで分ける施策が打たれています。この施策により、社員のみに展開する情報をベンダ込のMLに送ってしまい、ベンダに見られてしまう恐れがなくなるはずです。代わりに同じ情報を共有する場合でも社員用MLとベンダ用MLの両方にメールを送る必要が生まれますが。
  • メーラーのメアド自動補完機能の停止:「メールの誤送信はメーラーのメアド自動補完機能により、想定外の宛先が追加されることにより起こる」という仮定(前提)の元打たれた施策。アドレス帳から手で選択すれば誤送信は無くせるはずです。
  • メーラーとそのアドオンの統一:社内のメーラーはThunderbirdに統一されました。理由は忘れました。アドオンとしてcheck and sendKeyword HighlightConfirmed-Addressがあります。なお、他のアドオンを入れることは許されています。
Posted by Picasa
時刻: 日曜日, 11月 06, 2011
ラベル:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)