会社のメールを社外で見ること

現在、上題について社内で検討しており、ご意見を頂けますでしょうか。

自社ではGMailを社内業務のメールとして使用しております。
使用上、現状何も制限をしていないので、家のPCや個人のスマホ、
東横INなどのホテル用意のPC、漫画喫茶のPCなど・・、
あらゆる箇所からメールが参照できますし、
メールに添付のファイルも各端末にダウンロードできてしまいます。

これについて、以下のリスクがあると考えています。

・ホテルや漫画喫茶に仮に不注意でGMailをログオフし忘れた場合、第三者に閲覧される可能性
・メールに添付の社内の機密情報のファイルが、ホテルや漫画喫茶のPCにダウンロードされ、漏洩する可能性
・自宅や個人のPCで仕事をして、これらが盗難となった場合、GMailのIDパスワードやメールに添付の情報漏洩のリスクが発生

など

これらを考慮すると、「社内オフィス以外からはメールは見させない」
「どうしても社外で仕事をする場合は、会社資産のノートPCやスマホを貸与」という方針に
しようかと思いますが、これはやりすぎの懸念はありますでしょうか？。
それとも正しいアプローチでしょうか？。

皆様のご経験などお聞かせ頂けますと幸いです。

No.5 回答者： あやふぇいと 回答日時： 2016/01/04 16:01

Gmailでの運用は他のメールシステムよりも強固なセキュリティシステムがありますので、私はその策は良いと思います。

逆に現状、Gmail以上に強固なメール機能は現在そう多くは存在しないんじゃないでしょうか。
他の方も答えているように規模と働き方によると考えます。

ですので一概には言えませんが、私個人の見解であるならば社外で見れても問題はない。可用性を損ない、生産性を落とすことの方がクリティカルだと考えます。
以上、参考までに。

No.4 回答者： 花馬米 回答日時： 2015/12/29 18:30

semaster さん、先般の Q&A に続き熱心に研究されているようですね。

「オフィス以外からはメールは見させない」というのは、情報の「機密性」は確かに高まりますが、「可用性」を損なうことになります。
また、企業情報セキュリティは常に、コストをはじめとした様々な事柄とのバランスを意識することが鉄則であり、技術的理想論を追い求めるだけでは、物知りな人物になることは出来ても、管理職層や経営者層に対して説得力を持った人間になることはできません。

もし今後、企業情報セキュリティ分野のビジネスマンとして成長していきたいのだとすれば、断片的な知識や技術論を集めるだけでなく、何のためにこんなことをやっているのか、今やろうとしていること、考えていることは、対象の（今回の場合は自分の）組織としては適切な選択といえるのか、といった考え方も忘れないようにしておく必要があります。

◇
　◆

さて、「これはやりすぎの懸念はありますでしょうか？」との質問には、「組織の状況による」というのが正直な回答です。
まずはここを明確にしておかなければ、一般論を収集してみても、断片的な「ある一面の真実」が積み上がっていくだけで、その組織に適合した対策は何なのか、を判断することはできません。

そもそも会社の外で業務メール対応することが必要なのか、それはどの程度必要なのか（頻度など）、必要ならどの範囲（例えば管理職以上のみとか）で必要なのか、といったことの分析をきちんとしておくということです。
こういった部分がはっきりしていれば、たとえば週末だけ社用 PC を貸し出す、といった方法や、意識の高い社員にだけ貸し出す、などといった対応も視野に入ってきます。
※もちろん、取り扱えるデバイスを技術的に限定するという前提です。

「やりすぎ」ということを考えるとすれば、情報セキュリティ対策があまりにも厳格なため、バランス感覚を欠いた状態となってしまい、本来の業務に支障が出てしまうことが考えられます。このバランスは、個々の組織によって異なります。
セキュリティ製品やサービスは多々ありますが、そもそも従業員の方々が「やってらんない」と感じるほど難しいことを強いていたり、彼らの平均リテラシが高くない場合などは、本来の業務ができない、しない、効率低下、といったことに結びつき、業績への影響まで懸念されてきます。
最悪なのは、従業員が別の抜け道を探し出してしまい、これが常習化して事故につながるといったことであり、これも決してめずらしいシナリオではありません。

◇
　◆

その他、持ち出し機器のデバイス管理（物品管理、セキュリティアップデート、故障対応、盗難対応、コスト．．．）といった派生業務をどう管理していくのか、情報セキュリティ分野からは外れますが、社外でのメール対応等の「勤務」を、会社としてどう評価するのかといった労務管理問題なども絡んできます。

せっかく営々と築いてきたセキュリティの仕組みや体制、投資といったものが、労務管理などというまったく別の分野の都合で有名無実化してしまう、潰されてしまう、というのも企業情報セキュリティではあり得る話なのです。

No.3 回答者： artoo 回答日時： 2015/12/29 16:49

制限するのは普通でしょう。

やり過ぎと言うことは無い。
ノートPCも持ち出しを禁止して、社外からはシンクライアントでアクセスするのみというのも、今ではごく普通だと思います。
もちろん、私物PCからのアクセスOKというのも中小企業ではまだまだ普通ではないかと思いますが。
Gmailというのは、実際にはGoogle Appas for Workだと思いますが、代理店を使っているなら相談してみては？

No.2 回答者： trajaa 回答日時： 2015/12/29 14:34

以下のリスクがあるという三点も当然なのだが

そもそも機密情報があるようなメールをGmailで扱うって時点でアウトでしょ

社内からの利用に制限したとしても、Gmailアカウントを使い続けている時点で大差ありません
メールのホスティングサービスでもキチンと検討しましょ

No.1 回答者： Wr5 回答日時： 2015/12/29 14:28

漏洩したときのリスクなんざ、どってことねぇ。

漏れたと思われる人に対して切手でお詫びすりゃよい。
って程度の認識なら対策は不要でしょう。
まぁ私ならそんな企業に個人情報預けようとは思いませんが。

>自社ではGMailを社内業務のメールとして使用しております。

社内にサーバの類いはないんですかね?
ドメイン取っていたりするならメールサーバは立てられるかと思いますが。
# 専任にできる人が居ないならアウトソージングとかもありじゃないかと。メールサーバ立てたらそれなりにイロイロあるでしょうし。

>・ホテルや漫画喫茶に仮に不注意でGMailをログオフし忘れた場合、第三者に閲覧される可能性
>・メールに添付の社内の機密情報のファイルが、ホテルや漫画喫茶のPCにダウンロードされ、漏洩する可能性

ネットカフェとかなら前の利用者が帰った後で次の利用者が使う前に初期化する。という作業が行われているはずです。
まぁ、それを期待して…というのも安全面でどうかとは思いますが。
# 初期化作業するバイトがデータの持ち出しをしない。と確約できない。

>・自宅や個人のPCで仕事をして、これらが盗難となった場合、GMailのIDパスワードやメールに添付の情報漏洩のリスクが発生

GMailだけにとどまりませんけどね。
というか仕事を持ち帰りさせない。とするべきです。


まぁ、今の派遣先も社員さんたちはLotus Notesがあるのにスケジュールの共有はなぜかGMailのカレンダーでやってますが。
# 出張で移動したり、夜中にメールの対応していたりしてますが…。
# 私自身は貸与PC以外では作業できないしプライベートなGmailアドレスを仕事には使っていない。
# 一時的に出張となったときにネットワーク切り離されたのでWindowsLiveMailを仕事に転用したくらい。(ID持っているが普段から使っていなかった…というのもあるため、他のメールが混じることも外部にアドレスが出ることもなかったので。)