仕事に電子メール使うべきか?


仕事に電子メール使うべきか?



 http://jp.wsj.com/news/articles/SB11501383225136704765104580348341082537092

 仕事に電子メール使うべきか ソニー流出事件で見直す企業も
By
DON CLARK, SHIRA OVIDE and ELIZABETH DWOSKIN
原文(英語)
2014 年 12 月 20 日 15:52 JST

 ソニー映画子会社から大量の電子メールが流出した事件で会社の電子メールを長期間保存しておくリスク浮き彫りに Agence France-Presse/Getty Images

  米ソニー・ピクチャーズエンタテインメントのコンピューターシステムから大量の電子メールが流出した事件は、会社の電子メールを長期間保存しておくリスクを浮き彫りにした。シリコンバレーでは、そうした慣行を見直す時期に来ていると考え始める人たちもいる。

  電子メールは、別の手段に置き換える試みはあるものの、ほとんどの企業の従業員にとって依然不可欠なコミュニケーションツールであり、臨時のファイル収納庫でもある。メールを検索すれば、重要な情報や添付資料を簡単に素早く取り出すことができる。しかも、メールは無制限に保存しておける場合もある。

  しかし、ソニー・ピクチャーズへのハッカー攻撃で露呈したように、決まりの悪い内容のやり取りや重大な企業秘密が簡単にサイバー犯罪者の手に落ちることにもなりかねない。

  創業から何年もたつ企業の多くは、しばらく前から電子メールの削除について規定を設けているが、その理由は別にある。訴訟で保存された通信の提出を要求された場合、それに従うと高くつく可能性があるためだ。

  そうした規定では通常、一定期間(大抵は90日または120日)経過したらメールを自動的に削除できるようにするよう定めている。しかし、新興企業をはじめ多くの組織ではメールの保存について何の規定も設けていない。

  一部専門家は、ハッカーがソニー・ピクチャーズの防御システムを見事に破り、微妙な内容を含むメールを公開したことについて、重要でないメッセージは即座に削除すべきとの意見を強く裏付けるものとみている。

  そうした意見に耳を傾け始める企業は増えているようだ。グーグルなどの企業から電子メールなどの仕事用のハイテクシステムを購入する支援業務を手掛ける米クラウドシェルパスによると、ソニー・ピクチャーズのハッカー攻撃のあとメール保存システムを変更した顧客が2社あったという。

  クラウドシェルパスのデービッド・ホフ最高技術責任者(CTO)によると、1社は西海岸の大手ハイテク機器メーカーで、必要に応じて特定ユーザーの電子メールを削除できるようソフトウエアの処理手順をカスタマイズするよう依頼された。もう1社は、中規模のメーカーで、1年たったらメールを自動削除する機能を加え、長期間保存する必要のあるメールは共有の「セーフ」フォルダーに保管するようにしたという。

  メッセージを削除しても必ずしも盗まれないわけではない。保管システムには多くの場合、データの形跡が残っているため、状況によっては取り出すことが可能だ。

  データ保存規定やシステム侵害の詳細についてソニーの広報担当者から回答は得られなかった。

  こうした不安な現状を受け、一部テクノロジー企業はセキュリティー予防策を見直していると話す。官公庁などの顧客が自分たちのデータが安全であることを確認したがっているためだ。

  一部新興企業の幹部は、定期的にメールを削除するというのは企業になじまない考え方であり、あまりに飛躍した解決策かもしれないと話す。

  クラウド型データ保管サービスを提供するボックスのジャスティン・ソマイニCTOは「電子メールは従業員にとって参照したり調べたりする書庫になっており、それを破壊することは企業文化を大きく変えることになる」と指摘。「メールを削除するよりも、内容そのものに健全なセキュリティー慣行を適用する方が得策だ」と述べた。

  もう1つのよくある選択肢が、メールを暗号化し、万が一盗まれても判読できないようにしておくことだ。ただし、多くの従業員がそうした技術を使用していない社外の人たちともやり取りをしていることなどから、メールを全て暗号化している企業はほとんどない。

  シリコンバレーの企業は最近では新たなテクノロジーを使用してリスクを軽減することに、もっと関心があるようだ。新興企業の一部は、スナップチャットのように閲覧したらすぐに削除されるメッセージシステムを提唱している。

  また、データが渡ってはいけない人の手に渡った場合、そのデータを所有する個人や企業が遠隔操作でデータを削除できるようにする技術を開発すべきだと考える人たちもいる。ただし、そうした技術が実現する可能性は依然不明だ。



仕事に電子メールを使うのは今や半ば常識の範疇だが、電子メールのリスクの側面もいよいよ無視できない。進むべきか引き返すべきか、現状に留まる事ができないことだけは確かだ。

<必ずお読みください>

◆コメントについて

内容見直しの機会としてコメント可能としています。但し、採否・削除は勝手に行いますので予めご了解ください。

◆注意事項

当ブログは独断と偏見を排除しない私用目的のものです。不適切な内容を含む可能性がありますので注意してください。

組織・個人・商品・サービス等について固有名詞が引用されますが、関連考察は誹謗中傷を意図したものでは有りません。また内容の真否は一切確認しておりません。鵜呑みにしないでください。

記事は同じような内容が繰り返し記載されたり、矛盾することが記載されたりします。事実誤認もあります。これらの修正は必ずしも行うものではありません。

◆禁止事項

ブログ訪問者は直接閲覧すること以外の行為は遠慮してください。ブログ内容の一部または全部に関わらず、印刷、コピー、ダウンロード、保管、編集、利用、及び他の人への紹介・情報提供等を禁じます。

2004/04/01

人気の投稿:月間

  • 問題の審査機関(日本法人)では良い審査が出来ない理由
    問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
  • ASRエーエスアールの話が良く出てくる
    ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
  • ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください
    ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
  • (ISMS) 教育と周知の違い
    (ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
  • 残留リスクの承認とは?
    残留リスクの承認とは? 審査用語は面倒で本質を見失わせてしまう。その手伝いをするのが愚かしい審査員とコンサル。何故コンサルか?。審査機関との癒着。 BSIジャパンに限らないが契約審査員は審査機関に片足突っ込んで審査をやりながらコンサルをやっている。BSIジャパンの場...
  • 適用範囲の変更に伴う特別審査
    適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。 ロケーションの変更: 最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所...
  • 観察事項のグッドポイントって何ですか?
    審査結果報告にある観察事項のグッドポイントって何ですか? 観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある...
  • 日本を狙う標的型攻撃「LODEINFO」「Earth Yako」
      自分はそんな大事な仕事をしていないから関係ないと思えばそれまで。だれがいつどのような意図を持つか分からないと思えば注意深くなれる。 > https://internet.watch.impress.co.jp/docs/news/1508514.html 個人のメールアドレス...
  • ラベリングについて
    ラベリングについて ファイリングは古くて新しい問題。誰でも出来るがこれ!っと言った物にはなかなか行き着けない。ラベリングはその要素の一つ。 属性情報の全てをラベルにすると視認性が落ちる。 収納場所を変えるとラベルも変えるのでは管理ロスが出る。 組織変更の度に...
  • 準備工数とか移動工数とか
    審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた...

人気の投稿:年間

  • 問題の審査機関(日本法人)では良い審査が出来ない理由
    問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
  • ASRエーエスアールの話が良く出てくる
    ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
  • (ISMS) 教育と周知の違い
    (ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
  • ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください
    ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
  • 同じ居室内に違う会社?
    同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務...
  • 準備工数とか移動工数とか
    審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた...
  • 遠隔診断用及び環境設定用ポートの保護とは?
    遠隔診断用及び環境設定用ポートの保護とは? コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。 遠隔診断、環境設...
  • 観察事項のグッドポイントって何ですか?
    審査結果報告にある観察事項のグッドポイントって何ですか? 観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある...
  • 適用範囲の変更に伴う特別審査
    適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。 ロケーションの変更: 最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所...
  • 経営者インタビューの要点
    経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規...

人気の投稿

  • ASRエーエスアールの話が良く出てくる
    ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
  • 問題の審査機関(日本法人)では良い審査が出来ない理由
    問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
  • 経営者インタビューの要点
    経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規...
  • クリアデスクは時間の無駄?
    クリアデスクは時間の無駄? クリアデスク方針を改めて考えてみると、本質と言えるものは何かを考察することになるように思う。 クリアデスクは基本的には、自分が業務で利用する情報を不用意に第三者の目に触れたり、第三者により持ち出されたり、破損されたりすることを防止するため...
  • ISO 27002 :2013関連情報
    ISO 27002 :2013関連情報 いろいろ資料が回ってきた。これからも結構大変だね。こういう大事な資料を継続的に入手できないものだろうか。定期的にサイトを閲覧するしかないかな。頑張っている人がたくさんいるんだ。感謝ですね。 さてと、 要求規格ISO2700...
  • ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください
    ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
  • (ISMS) 教育と周知の違い
    (ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
  • 名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない?
    名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない? ベネッセの罪: http://www.benesse.co.jp/ 預かった個人情報は適切に管理する義務を果たさなかった。基本的に契約違反だ。ミニマムでも1件につき\50...
  • ASR :エイエスアール株式会社
    ASR :エイエスアール株式会社 あまり馴染みのない会社ですが、設立は2000年。審査機関として10年以上の経験があるのかな? http://www.armsr.co.jp/index.html 2011年11月の審査実績がJIPDECのデータでは38件。この件...
  • 嗚呼、勘違いの情報資産台帳
    嗚呼、勘違いの情報資産台帳 情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。 ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の1つである「資産台帳」自身が...