意外に危ないメーリングリスト運用:運用管理者のための知恵袋(5)
メーリングリストは安易に運用されがちだ。しかし、そこには大きな危険性や落とし穴が潜んでいる。今回は、業務ツールとしてメーリングリストを作成、運用する際の注意点を考える
メーリングリストはとても便利であるため、多くの組織で日常的に使われているが、何も考えずに運用しているとさまざまな問題を引き起こす。そこで今回はメーリングリストに関する問題を洗い出し、その解決方法を考えてみたい。
メーリングリストが引き起こす問題とは
以下ではセキュリティと社内情報格差というテーマで2つずつ、計4つの問題をケーススタディ形式で紹介する(すべてフィクションである、念のため)。
ケース1 退職者に社内情報が筒抜け
退職者が退職後もメーリングリストを受信できていて、社内情報が筒抜けであったことが発覚した。
解説: メーリングリストのメンバー管理はメーリングリスト作成者が行うところが多い。そのような場合は概してメンバー登録には熱心だが、メンバー削除には無頓着の場合が多い。メーリングリスト作成者の意識の低さも問題だが、そのことを社内のだれもが検知できない状況にも大きな問題がありそうである。
ケース2 社内機密情報が2ちゃんねるなどの掲示板に掲載
機密情報がインターネット上の掲示板経由で第三者に漏れているという事態が発生した。出所は明らかにメーリングリストのメールだ。なぜなら流出した内容がメーリングリストの内容そのものだったからだ。しかしだれが犯人かということまでは特定できなかった。
解説: メーリングリストは、1通のメールが多数の参加者にばらまかれる性質があるため、情報管理という意味ではとても厄介なツールである。メーリングリストに登録されているメンバーを1人1人調査すれば何か分かるかもしれない。しかし、もしメンバーのだれかが自分宛てのメールを外部ISPに転送していたりすれば、社内情報システム部員の管轄外での出来事となり、何が起こっても不思議ではない。今回の場合、途中経路で情報が傍受されたのかもしれないし、外部ISPのセキュリティ脆弱性が原因となって、悪意のある者によってメールサーバに不正侵入され、メールデータが盗まれたのかもしれない。
ケース3 中途採用の人には届かないメーリングリスト
社内の情報のやり取りが日常的にメーリングリストで行われている会社での話である。ある中途入社の社員は、業務上必要な情報がメーリングリストで流れているという事実を知らないまま数カ月が過ぎた。もちろんそんなメーリングリストが存在することすら知る由がなかったため、日常業務で大変な不便を強いられていた。
解説: メーリングリスト管理者が意識的にその人をメンバーに加えなければ、絶対にメンバーに加われない。自ら加わろうにも、そのメーリングリストの存在を知る手立てがなければ、その人は永遠にメーリングリストに加われず、必要な情報が受け取れないことになる。これは、メーリングリスト管理者の責任ともいえるし、そもそもそのような情報共有をメーリングリストで行うことが間違っているとも言える。
ケース4 当初の目的から外れるメーリングリスト
当初は、あるプロジェクト遂行のために作られたメーリングリストだったが、次第にその中でコミュニティが形成されつつある。このメーリングリスト上で社内生活のありとあらゆる情報が共有され、噂話や会社の不満まで共有されている。
解説: メーリングリストは安易な理由で作られることが意外に多い。メーリングリストの存在理由を明確化しておかないと、安っぽいコミュニティと化することも多い。また、メーリングリスト上で人の噂話や会社の不満を述べることは明らかに悪い行為である。就業規則によってはそのような行為が懲罰に値することもあり得るので注意願いたい。
メーリングリストをうまく使うための方法を考える
メーリングリストは、利用者にとっては大変便利なツールであるが、その反面、セキュリティと社内情報格差という点で大変問題点の多いコミュニケーション手段であることが分かっていただけたかと思う。
今回は、具体的なケースを4つ紹介したが、これらをまとめるとメーリングリストの問題は以下の4点に集約できるのではないかと思う。
- メーリングリストのメンバーが適切に管理されていない問題
- メーリングリストデータが広範囲に拡散する可能性がある問題
- メーリングリストの種類や登録されているメンバーが公開されていない問題
- メーリングリストの存在理由が曖昧な場合の問題
これらを解決するためには以下の対策を行うことが有効である。
- 適切なメンバー管理がされる環境を作る
- メーリングリストに登録できるメンバーは社内メールアドレスに限定する
- 社内メールアドレスから社外メールアドレスに転送できないようにするか、もしくは転送情報に関するログをすべて取り、外部に転送される場合はだれがどこに送ったのかが分かる状態にしておく
- メーリングリストのデータをノートPCや外付けハードディスクなどで持ち出せないようにする
- 社内にどんなメーリングリストが存在していて、それぞれだれがメンバーに加わっているのかを明らかにする
- 過去メールログをチェックできるよう、すべて社内Web上などで閲覧できるようにする
- メーリングリストの存在と活用状況を第三者が定期的にチェックする
メーリングリストは安易に作成・運用されがちだが、業務用途であれば、それぞれの目的に従って的確に管理しなければならない。
著者紹介
▼著者名 sanonosa
国内某有名ITベンチャー企業に創業メンバーとして携わる。国内最大規模のシステムを構築運用してきたほか、社内情報システム業務を経験。韓国の交友関係が豊富なことから、韓国関連で多数のシステムインテグレーションを行ってきた。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- ゼロトラストの最新トレンド5つをガートナーが発表
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
- OpenAI Japan設立 岸田首相への宣言から1年 日本語特化GPT提供へ 速度3倍コスト半減
ITmediaはアイティメディア株式会社の登録商標です。