セキュリティの現場から from バラクーダラボ(290) 個人用メールアカウントを業務利用することのリスク

今日は、最近お客様から寄せられた興味深い質問をご紹介します。それは、hotmailやYahooなど個人向けメールアカウントの業務利用に関する内容であり、いくつか重要なポイントを提起しています。お客様からの質問は、「どのような条件で業務での使用を認めたらよいか」というものでした。

ひと言でいえば「絶対に認めてはならない」ですが、個人事業主やコンサルタントは「個人用」メールアカウントを使用することも多いのではないでしょうか。賢明な人であれば、ビジネスや会社名用に別アカウントを取得するでしょう（VerizonやComcastをはじめとするほとんどのサービスプロバイダが、複数のメールアカウントを無償で作成できる機能を提供しています）。

一方、大規模な企業の場合、モバイルメールが広く使用されることに伴うリスクを考えれば、個人用メールアカウントの業務利用を禁止する十分な理由になるでしょう。たとえば、外出中にスマートフォンやノートパソコンからオフィスメールにアクセス可能な環境を整える必要があり、これは個人用メールアカウントを使用するよりもはるかに優れた方法です。

個人用メールアカウントは、IT部門の管理下にはありません。したがって、バックアップ、アーカイブ、セキュリティ保護、ガバナンスの対象からも外れているので、業務利用は明らかなコンプライアンス規程違反です。

また、個人用アカウントのメールは企業サーバ上に格納されていないので、ディスカバリおよびFOIA請求が発生した場合には重大な欠陥となり、企業は法的リスクにさらされることになります。

個人用アカウントを業務で使用することの法的リスク

個人用メールアカウントの業務利用を従業員に許可すると、企業の管理が及ばないメールサーバ上に業務情報が格納されることになります。そしてこのサーバは、世界のどこにあるかもわかりません。また、企業データの格納場所や転送場所を突き止める手段もありません。

個人用メールアカウントは、会社のセキュリティポリシーの適用対象外です。たとえば、従業員がGmailを使用する場合、Gmailの利用規約（コンテンツ検索を許可）に同意しているかもしれませんが、会社は同意していません。社内でどのように優れたデータプライバシーポリシーが導入されていたとしても、個人用メールアカウントから［送信］ボタンをクリックすれば、ポリシーをバイパスする可能性があります。

個人用メールアカウントを業務で使用することのリスクとそれがもたらす結果は、情報公開請求、社内監査、eディスカバリが実際に発生するまではわからないものです。いずれの場合も、個人用アカウントには関連情報が含まれている可能性があるので、情報公開請求が発生すれば検索や取得用に提示しなければなりません。

さらに、ディスカバリの作業自体も困難になります。個人用メールは標準的な情報開示手順では検出できないからです。たとえばGoogleは、ユーザアカウントの外部スキャンを禁止しています（現在複数の訴訟が係争中）。したがって、会社は従業員にメールを自分でスキャンするように依頼しなければならず、必要な情報が意図的に破棄されてしまう危険もあります。もしも情報公開請求が法規制によるものであれば、その会社はコンプライアンス違反とみなされる可能性があります。

従業員が、社内デバイスを使って、個人用メールアカウントから業務に関連するメールを送信する場合、会社には、そのメールを検索する権限は必ずしもないのです。Loving Care社と前従業員のStengartが争った裁判で、米国ニュージャージー州最高裁判所は、「前社員が、自己が所有するパスワード保護されたWebベースのメールアカウントを使って弁護士とやりとりしたメールについて、そのメールは開示されないという前従業員の考えは妥当であり、会社所有のラップトップを使ってメールを送受信したとしても、依頼人と弁護士を保護する権利が損なわれることはない」としました。

検索／取得用に各従業員のメールボックス全体を企業サーバにコピーするなど、大規模でコストのかかる対策を講じたとしても、関連情報すべてが検出および生成されたことを請求者や裁判所に納得させるのは非常に難しいでしょう。また、個人用メールすべてのコピーを企業サーバに保存することに同意するユーザはほとんどいないのではないでしょうか。

リスクはこれだけではない

従業員が個人用メールアカウントを業務に使用すると、その企業はさまざまなリスクにさらされることになります。社内ポリシーの適用対象からもれているコンピュータが悪用されると、IPの窃取、企業のプライバシー情報や顧客情報の流出、ネットワークサービスの中断などが発生する恐れがあります。

個人用メールを悪用すれば、企業秘密の侵害や、会社の通信内容に対するデータマイニング／検索が発生するリスクがあります。そして、さまざまなセキュリティ管轄機関が法的な収集と検索を行う場合、個人用メールアカウントはほとんどすべてが対象になります。

現行のFISA法によると、メールのエンドポイントのいずれかがNSAの調査に協力する場合、NSAは両方のエンドポイントのデータを記録する権利を行使できます。Google、Microsoft、AOL、Yahoo!といった大手の個人用メールプロバイダがNSAに協力していますから、NSAは自由にメールをスキャンしてNSAのサーバに保存することができます。つまり、このようなプロバイダのアカウントからメールを受信すると、プロバイダの利用規約に同意していないとしても、誰もが調査対象になる可能性があるということです。つまり、従業員がプロジェクトの詳細計画を個人用アカウントから顧客の業務用アカウントにメールで送信した場合、その顧客はNSAにプライバシーを詮索されることになってしまうのです。

このような方法で行われるデータ収集ではセキュリティが確保されていないため（WikiLeaksのようなサイトもありますから）、政府全体がリスクにさらされます。企業にも、自社や顧客のセキュリティを本当の意味で保護する手段はありません。

従業員の退職は大きな問題になる可能性があります。従業員が退職したらどうなるでしょうか。もしも、自分のメールと関連情報を持ち出せば、その後のデータ検索はさらに困難になります。

問題はメールだけではありません。日々の業務に不可欠な機能（たとえば、Webホスティングアカウントや購入ドメインなど）の設定に、個人用メールアドレスが使用されていたらどうでしょうか。個人用メールアドレスがアカウントの所有者となるわけですから、その従業員が退職してしまうと、その従業員が会社の代理でセットアップした資産の所有権を移動する作業は難しくなります。このような事態に陥った場合、業務にどのような影響が生じるでしょうか。

そのような会社を信頼できますか？Gmailアドレスの使用を許可する会社に、プロフェッショナルとしてのイメージはあるでしょうか？

解決策は明らかだが、さらなる対策強化が必要

まず取り組むべきなのは、個人用メールアカウントの業務利用について厳格なポリシーを設定することです。業務用メールアカウントのみを使用することには正当な理由がありますが、それでも従業員は少なからず抵抗するでしょうし、自分にとって最も簡単な方法でメールを送受信しようとするでしょう。その結果と責任を負うのは会社ですから、「最も抵抗の少ない方法」を選ぶことが重要です。

遠隔地や現場で作業する従業員が、自分のデバイスから社内メールシステムに簡単にアクセスできるようなしくみを事前に作っておきます。Webメールインタフェースは簡単に設定できますし、コンプライアンスキャプチャ機能を導入して、自宅のPC、ノートパソコン、スマートフォン、タブレットから送信されたメールをチェックおよび保存します。モバイルデバイスでメールを新規作成する場合は、個人用ではなく業務用のメールアドレスを使用させるようにします。これは、契約社員やコンサルタントなど、従業員ではないユーザも同様です。業務に従事している契約社員やコンサルタントにも社内メールアドレスを提供し、厳格なガイドラインを順守させます。

すべての送受信メールを一元的に監視および管理し、個人用メールアカウントを使うことによる問題を回避する作業を担当するのは、IT部門です。この作業では、シンプルなポリシーを作成することと、プロアクティブな対応と継続的な取り組みが必要です。問題が完全に解消されることはなくても、影響は小さくなるはずです。

バラクーダネットワークスは、ビジネスデータの一元管理と法的リスクを軽減することを目的に、多彩なメールおよび情報管理ソリューションを提供しています。詳しくは、バラクーダネットワークスのData Protection Plusと統合脅威保護プログラムをご覧ください。

※本内容はBarracuda Product Blog 2015年2月17日The business risks of using personal email accountsを翻訳したものです。