Microsoft 365

メール誤送信対策:Microsoft 365の標準機能でどこまで防げるか、サードパーティ製品を検討すべきケース

#メール誤送信#Exchange Online#DLP#メールセキュリティ#情報漏えい対策

IPAの「情報セキュリティ10大脅威」で毎年上位にランクインする「不注意による情報漏えい」。その代表的な原因がメールの誤送信です。

宛先の選び間違い、CCとBCCの取り違え、添付ファイルの間違い——どれも「送信ボタンを押した直後に気づく」タイプのミスであり、完全にゼロにすることは困難です。しかし、仕組みで「気づく機会を増やす」「送信前に確認を強制する」「送信後に取り消せる」ようにすることで、被害を大幅に減らすことができます。

この記事では、Microsoft 365の標準機能でどこまで誤送信対策ができるのか、そしてどのような場合にサードパーティ製品の導入を検討すべきかを解説します。

メール誤送信の主なパターン

対策を考える前に、誤送信のパターンを整理しておきます。

パターン1:宛先の間違い。 Outlookのオートコンプリート(入力候補)で似た名前の別人を選択してしまう。社内の「山田」に送るつもりが、過去にやり取りした社外の「山田」に送ってしまう。

パターン2:CCとBCCの取り違え。 複数の取引先に一斉送信する際、BCCに入れるべきアドレスをCCに入れてしまい、全員のメールアドレスが受信者全員に公開される。

パターン3:添付ファイルの間違い。 A社に送るべき見積書にB社の見積書を添付してしまう。社内向けの資料を社外に送ってしまう。

パターン4:返信と全員に返信の取り違え。 特定の1人にだけ返信するつもりが「全員に返信」を押してしまい、内部的なコメントが関係者全員に送られてしまう。

パターン5:転送の間違い。 社外から受け取ったメールを社内に転送するつもりが、社外の別の人に転送してしまう。

Microsoft 365の標準機能でできる対策

対策1:送信遅延ルール(メールフロールール)

Exchange Onlineのメールフロールール(トランスポートルール)で、メールの送信を一定時間遅延させるルールを作成できます。

たとえば「社外宛てのメールを2分間遅延させる」というルールを設定すると、送信ボタンを押してから実際にメールが送信されるまでに2分間の猶予が生まれます。この間に誤りに気づけば、Outlookの「送信トレイ」からメールを削除して送信を取り消すことができます。

この方法はExchange Onlineの管理者が設定するもので、ユーザー個人の操作は不要です。全社一律に適用できるため、最も手軽な誤送信対策です。

ただし、遅延時間が長すぎると業務効率に影響するため、1〜3分程度が現実的な設定です。また、この機能はあくまで「送信を遅らせる」だけであり、ユーザーが遅延中にメールを確認する保証はありません。

対策2:Outlookの送信取り消し(Recall / Undo Send)

Outlook on the web(OWA): 「送信の取り消し」機能で、送信後最大10秒間は送信をキャンセルできます。設定から遅延秒数を0〜10秒で調整可能です。

Outlook デスクトップ版(新しいOutlook): 同様に「送信の取り消し」が利用可能(最大10秒)。

Outlook デスクトップ版(クラシック): 「メッセージの取り消し」機能がありますが、これは受信者が同じExchange Online組織内のユーザーで、かつメッセージを未読の場合にのみ機能します。社外に送信したメールの取り消しはできません。

Outlook on the webの送信取り消し機能は手軽ですが、10秒間は短く、添付ファイルの間違いに気づくには不十分な場合が多いです。

対策3:DLP(データ損失防止)ポリシー

Microsoft PurviewのDLPポリシーで、機密情報を含むメールの社外送信をブロックまたは警告できます。

たとえば「マイナンバーを含むメールの社外送信をブロック」「クレジットカード番号を含む添付ファイルの社外送信時にユーザーに警告を表示」といったポリシーを設定できます。

DLPは「機密情報の検出」に基づく対策であり、宛先の間違いそのものを防ぐ機能ではありません。ただし、「本来社外に送るべきでない情報が添付されている」ケースを検出する点では、パターン3(添付ファイルの間違い)への有効な対策になります。

DLPはBusiness Premium / E3以上で利用可能です。

対策4:秘密度ラベルによる暗号化

Microsoft Purview Information Protectionの秘密度ラベルで「社外秘」ラベルが適用されたファイルを暗号化する設定にしておけば、万が一誤送信しても、権限のない受信者はファイルを開くことができません。

これは誤送信そのものを防ぐ対策ではありませんが、誤送信が発生した場合の被害を軽減する対策として有効です。

対策5:外部送信時のメールヒント

Exchange Onlineには、メールの作成中に「この宛先は組織外です」という警告(メールヒント / MailTips)を表示する機能があります。Outlookでメールを作成中に社外アドレスが宛先に含まれている場合、「このメッセージの一部の受信者は組織外です」という通知が表示されます。

この機能は既定で有効ですが、ユーザーが通知に気づかない(または無視する)場合は効果がありません。

M365標準機能の限界

上記の標準機能だけでは、以下の対策が不十分です。

送信前の宛先・添付ファイル確認画面の強制表示: 「送信」ボタンを押した後に、宛先一覧と添付ファイル一覧を確認する画面をポップアップで強制表示し、ユーザーに「確認」ボタンを押させる機能はM365標準にはありません。

社外宛てメールの上長承認: 特定の条件(初めての宛先、特定のキーワードを含むメールなど)に該当する社外宛てメールを上長が承認してから送信する仕組みは、M365標準では限定的です(メールフロールールのモデレーション機能で一部実現可能ですが、UIがユーザーフレンドリーではありません)。

送信後の一括取り消し: 社外に誤送信してしまった後に、そのメールを取り消す機能はM365標準にはありません。

添付ファイルの自動暗号化(パスワード付きZip): いわゆる「PPAP」の仕組みはM365標準では提供されていません(なお、PPAPそのものがセキュリティ的に推奨されなくなっています)。

サードパーティ製品を検討すべきケース

以下のいずれかに該当する場合、M365の標準機能だけでは不十分であり、サードパーティの誤送信対策製品の導入を検討してください。

ケース1:送信前の確認画面の強制が必要

業種や社内ポリシーで「社外宛てメール送信時に宛先と添付ファイルの確認画面を必ず表示する」ことが求められる場合。

ケース2:上長承認フローが必要

特定の条件(金額を含む見積書の送信、特定の取引先への初回メール送信など)でメールの送信前に上長の承認を求めるワークフローが必要な場合。

ケース3:添付ファイルの自動ダウンロードリンク化

添付ファイルをメール本文から分離し、ダウンロードリンク(期限付き・パスワード付き)に自動変換する機能が必要な場合。誤送信が発生しても、リンクを無効化することで添付ファイルへのアクセスを遮断できます。

ケース4:大量の個人情報を扱う業種

医療、金融、人材紹介、士業など、日常的に大量の個人情報をメールでやり取りする業種では、DLPだけでなく、より細かい制御(宛先ドメインの制限、添付ファイルの種類制限、BCC強制変換など)が必要になる場合があります。

ケース5:過去に誤送信による情報漏えい事故が発生している

すでに誤送信事故が発生し、再発防止策として「仕組みによる防止」が求められている場合。監査や取引先からの要求で、具体的な対策ツールの導入を求められるケースもあります。

代表的なサードパーティ製品

HENNGE One(旧HDE One)

クラウドメールセキュリティの国内大手。メール誤送信対策として、送信前の確認画面の強制、添付ファイルの自動URL化、上長承認フロー、一時保留からの取り消しなどの機能を提供。Microsoft 365 / Google Workspaceの両方に対応。

CipherCraft/Mail

NTTテクノクロスが提供するメール誤送信対策ソリューション。送信前の確認画面の強制表示、宛先チェック、添付ファイルチェック、上長承認フローなどを提供。Outlookアドインとして動作するため、ユーザーの操作感を大きく変えずに導入可能。

m-FILTER(デジタルアーツ)

メールフィルタリングの国内大手。誤送信対策に加えて、受信メールのフィルタリング(標的型攻撃メール対策)も包括的に提供。送信メールの一時保留、宛先確認、添付ファイル暗号化などの機能を備えます。

WISE Audit(NEC)

メール監査・誤送信対策ソリューション。送信メールの自動審査、個人情報の自動検出、添付ファイルの暗号化、上長承認ワークフローなどを提供。

段階的なアプローチ

誤送信対策は、以下のステップで段階的に強化するのが現実的です。

ステップ1(M365標準機能で即日対応): 社外宛てメールの送信遅延ルール(2分)を設定。Outlook on the webの送信取り消しを10秒に設定。外部送信時のメールヒントが有効であることを確認。

ステップ2(M365標準機能で中期対応): DLPポリシーで個人情報(マイナンバー、クレジットカード番号)を含むメールの社外送信をブロック。秘密度ラベルの「社外秘」にファイル暗号化を設定。

ステップ3(必要に応じてサードパーティ導入): ステップ1・2でカバーできないリスク(送信前確認の強制、上長承認フロー、添付ファイルのURL化)がある場合に、サードパーティ製品を導入。

まとめ

メール誤送信対策は、M365の標準機能だけでも「送信遅延」「DLP」「秘密度ラベルによる暗号化」「メールヒント」で基本的な防御ラインを構築できます。追加コストなしで即日導入できるため、まずはこれらの設定から始めてください。

一方、「送信前に宛先と添付ファイルの確認画面を強制表示したい」「上長承認フローを設けたい」「添付ファイルをダウンロードリンクに自動変換したい」といった要件がある場合は、M365の標準機能ではカバーできないため、サードパーティ製品の導入を検討する必要があります。

どの対策レベルが自社に必要かは、取り扱う情報の機密度、業種の規制、過去の事故歴、取引先からの要求によって異なります。「まず何から手をつけるべきかわからない」という方は、お気軽にご相談ください。

情シス365では、Microsoft 365のメールセキュリティ設定(DLP、送信遅延ルール、秘密度ラベル)の構築と、サードパーティ製品の選定・導入支援を行っています。

☁️Support365 — 運用代行・ヘルプデスク

Microsoft 365の運用管理・トラブル対応・アカウント管理まで、日々のIT業務をまるごとサポート。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談