メールの誤送信対策は自治体として取り組むべき必須の課題
水巻町役場の企画財政課に所属する広報情報係は、役場内の情報システムにおける運用管理からセキュリティ対策まで、広範囲に対応する部門です。その広報情報係で情報システムの安全を守る立場にある桂氏は、メールの誤送信に対する危険性を次のように指摘します。
「自治体の職員が送信するメールには、決して間違いがあってはいけません。アドレスの入力ミスや送信先の間違い、個人情報の入った添付ファイルや文面の送信など、メールの送信には人手が入るために、情報漏えいの不安が常に付きまといます。そのため、個人のミスをできるだけ排除するシステムが求められていました」 水巻町役場にとって、町政を担う立場にある職員のメール誤送信は、町民の個人情報が漏えいする危険性もあり、一人一人のうっかりミスをいかに未然に防ぐことができるかが、情報セキュリティの観点から重要な課題となっていました。その対策が必要となったもう一つの背景について、同係の奥田氏は説明します。
「以前は、情報系と基幹系のシステムが分離されていましたが、システムの最適化やコスト削減のために、ネットワークが統合されたことも、情報セキュリティ対策を強化しなければならない理由のひとつでした」
水巻町役場
企画財政課 広報情報係
係長
北原 美幸氏
運用面での使い勝手や管理機能を評価してActive! gateを採用
桂氏はメールの誤送信防止に関連する製品をインターネットなどで調べていましたが、使い勝手などがわからないことから、東京で開催された情報セキュリティ関連の展示会に足を運び、実際に各社の製品を会場で体験しました。
「ホームページの情報だけではわからない機能や性能の違いが、展示会では確かめられました。その中で、トランスウエアのActive! gateは、当役場の要望にかなり近い製品だと実感しました。特に、日本語でポリシーの設定ができる点や、直感的に操作を理解できるユーザーインタフェースなどが印象的でした」と桂氏はActive! gateを評価します。
実際の導入にあたっては、Active! gateの他に2製品が検討されました。いずれの製品も、広報情報係で求めていた誤送信防止に関する機能は装備されていましたが、決め手になったポイントは、運用管理の負担を軽減できるかどうかでした。
「比較した2製品のうち一方は、セキュリティポリシーの変更を自分たちで設定できない仕様になっていました。いちいちベンダーに依頼しなければならず、これでは自分たちの求める柔軟な運用ができないと思いました。もう一つの製品は、ポリシーを正規表現で設定しなければならず、自分たちで運用するのはハードルが高いと感じました」と奥田氏は話します。
さらに広報情報係がメールの誤送信防止として必須だと考えていた機能が、外部宛ての送信を第三者により事前にチェックできるかどうかでした。
「メールに添付するファイルの暗号化だけでは、対策としては不十分です。やはり送信するメールを上司や同僚など第三者が承認する仕組みが必要だと思っていました」と桂氏は強調します。
水巻町役場
企画財政課 広報情報係
主任
桂 和成氏
水巻町役場
企画財政課 広報情報係
主任
奥田 正隆氏
上司承認オプションを使い分けてメールの誤送信対策を二重に強化
水巻町役場のメール誤送信防止にとって、Active! gateの上司承認オプションが有用だと考えた桂氏でしたが、導入の検討を開始した2010年当初は、一つだけ課題がありました。
「私たちが必要としていた承認は、特定の上長やその代理職だけではなく、第三者である職員であれば同僚を含めて誰でもチェックできるようにしたかったのです。そこでトランスウエアに相談して、上司承認オプションの機能として複数の第三者を承認者として追加登録して運用できるようにならないか検討してもらいました」と桂氏は導入に向けた検討の経緯を振り返ります。
Active! gateの上司承認オプションは、あらかじめポリシーで設定した条件に合致するメールが送信されようとしたときに、設定した上司にメール送信の承認を得る仕組みになっています。しかし水巻町役場では、特定の上長だけが承認するのではなく、全職員が一丸となってメールの誤送信防止に取り組む仕組みにすべきだと考えたのです。
「悪意のある送信を防ぐためには、ネットワークセキュリティ製品による監視で対応してきました。しかし個人の操作ミスに対しては、監視ツールでも対処できません。それだけに、人為的なミスは人による承認によって発見するべきだと考えたのです」と桂氏は送信前に誰かがメールをチェックすることの有用性を説明します。
Active! gateの上司承認オプションに、上司だけではなく登録された第三者であれば誰でも承認できる機能が付加されたことで、水巻町役場では導入を開始しました。
