💡 情報セキュリティのプロでなくても、情報セキュリティについて基礎的なことは心得ておきたいものです。メールのbccの使い方や、社外に添付ファイルを送るときのマナー、パスワード管理などです。

情報セキュリティの実務上の注意点

情報セキュリティを語るには僕はそれにふさわしい専門家ではありませんが、それでも今の時代最低限の心得を知っておき自衛する必要があります。

体系的ではないですが、日々の業務を進める上で気をつけたい事例について取り上げようと思います。

  • BCCの使い方
  • 社外秘の情報をやりとりする場合の添付ファイルの取り扱い
  • パスワードの管理
  • フィッシング等のメールを見極め方

ひとつずつ説明しますね。

240217 02

BCCの使い方

BCCとは、メール送信の際に「受信者に誰に送ったかメールアドレスがわからないように送信する」際に利用するものです。

主には、一斉送信をする際に利用します。

社内や社外の人に一斉に同じ内容を送るけれど、誰に送っているかわからないようにする意図があります。

多くの人に一斉に同一のメールを送る場合に、本来知るはずのない人のメールアドレスをメールの送信先として見えるようにしてしまったら、個人情報の漏洩と責められかねないので非常に気をつけたいことです。

一方で、BCCで送ったメールは、送り手にはBCCに記載したメールアドレス宛に送っていますが、受信者は自分のメールアドレスが宛先のどこにも書いてないのに届いた不思議なメールに見えます。

そのため、仮にその人が返信しても送信者だけに届き、全員に届くことはありません。

それを同じ情報が皆に届いているものと誤解してはいけません。

そのためにも、誰に送られているかということに日頃から注意する必要があります。

また、メールソフトはCCとBCCを間違えて指定しても注意機能などはないため、うっかり間違えてBCCの代わりにCCに記載すれば、メールアドレスが全員に見える形となり、いわゆる誤送信問題となります。

BCCは相手にメールを見せずに大勢に一斉に送れる点で便利ですが、一歩間違えるとメール誤送信問題になりかねませんので、慎重に利用しましょう。

240217 03

社外秘の情報をやりとりする場合の添付ファイルの扱い

社内利用に限定された情報やプロジェクトの関係者だけにファイルを送りたい場合など、よくある方法としてzipファイルにして暗証番号を付ける方法です。

メールに添付ファイルを付けて送り、それとは別にパスワードを相手に連絡するという方法を採ります。

その際できるだけ別の手段でパスワードを送りたいものです。

ファイルを送ったメールへの返信でパスワードを送るのはセキュリティ的には感心しません。

また、別途新たに新規メールを作って送ることはよくやられています。

返信メールよりは良いかもしれませんが、可能であれば別の方法(電話やチャットツールなど)で送るのが良いでしょう。

また、その際使うパスワードは割と簡単なものを使う傾向が強いです。

それは、そのパスワードが一時的なものではなく、その後のやりとりでも使われる可能性があるので、なるべく思い出しやすいものにするという意図があるからです。

電話で伝える場合は割と簡単にしないとそれこそパスワードを伝えることも難しくなります。

悩ましい問題ですが、共有のパスワードは事前に決めておいて、ファイルを送信するときにパスワードをやりとりしなくてすむようにできればいいですね。

240217 04

パスワードの管理

パスワードをあちこちのサイトで共通に使うなというのはセキュリティ上の基本ですので、必ず守った方がいいでしょう。

そうなると、パスワードを覚えておくことなどすぐに不可能になりますから、パスワードをどうやって安全に管理するか、ということが課題になります。

個人で利用しているなら、PCとスマホで共通に使えるようなアプリを利用するのがひとつの方法です。

BitwardenはPCでもスマホでも使えて非常に便利です。

無料でも使えますし、ファイルを保管できるようにしても年10ドルと非常に安価です。

それ以外にも、OSが標準で持っているメモ帳に記載する方法もあるでしょう。

ただ、パスワード管理ツールはパスワードを生成する機能を持っているものも多いので、重複しないパスワードを生成するには便利です。

パスワードを入力する場合、ほとんどコピペでできることが多いので、複雑なパスワードでも困ることはありません。

※まれにコピペできずに手打ちしなければならない場合があって、困ることはあります。

会社で使う場合は、スマホと同期する必要性がなかったり、したくてもセキュリティ上許されていない場合も多いので、基本的にはPC上だけで管理するものになると思います。

240217 05

フィッシング等のメールを見極める

「ログインに失敗しました」「サービスが停止します。今すぐ更新を」などというメールを見て、ついリンクをクリックしてログインをしてしまうことがあるかもしれません。

メールでそういった連絡が来る場合、多くはフィッシングメールだったりするので気をつける必要があります。

フィッシングメールは実在するサービスに似せていますが、全くの別物でログインIDとパスワードが取得されてしまいます。

フィッシングメールの見分け方は、よく言われているものですが次のことが有効です。

  • 送信者を確認する

ドメインなどがその企業のものかどうかを見ることが基本になります。

  • リンク先を確認する

「ここをクリック」などのボタンやリンクがどこに飛んでいるかを確認します。

飛び先がやはり企業のドメインでは内などが見分けるポイントです。

  • 言葉遣いの不自然さ

幸い日本語は難しく、翻訳ツールなどを利用して書いたメールでは所々おかしな文章になっていることがあります。

最近は翻訳の精度も上がっていますが、それでもおかしな箇所は見つけられますのでちょっとおかしいと思ったら疑うことが大事です。

一旦パスワードを取られると、その後の対応は面倒くさいの一言です。

あちこちのパスワードを変えないといけないし、その前にログインされて変更されてしまったら、目も当てられなくなります。

メール上の煽る言葉にだまされないようにしたいものです。