叡智の三猿

~森羅万象を情報セキュリティで捉える~

「連絡や情報共有はメールや電子掲示板で済ませるべし」という考え方について

日本は先進国のなかでも労働生産性が低い国とされています。

OECDデータに基づく2019年の日本の時間当たり労働生産性(就業1時間当たり付加価値)は、47.9ドル(4,866円/購買力平価(PPP)換算)。米国(77.0ドル/7,816円)の約6割の水準に相当し、順位はOECD加盟37カ国中21位だった。名目ベースでは前年から5.7%上昇したものの、主要先進7カ国でみると、データが取得可能な1970年以降、最下位の状況が続いている。
労働生産性の国際比較2020 | 調査研究・提言活動 | 公益財団法人日本生産性本部より

労働生産性を下げる要因として「無駄な会議」がよく挙げられます。確かに出席して、わたしも無駄だと感じた会議はあります。

ただ、そもそも会議の無い仕事は存在しません。会議は業務上の課題に対して方向性を決めるための意見を出し合うなど、重要な役割を果たします。ですので、一見、無駄に思う会議でも、自分事として意識することで意味のある会議にするのが原則だと思います。

生産性をあげるため「連絡や情報共有はメールや電子掲示板で済ませ、会議は議論の場にすべし」との意見をよく聞きます。

確かに知っても知らなくてもいい情報であれば、メールや電子掲示板で済ませるだけでいいと思います。しかし、必ず周知しなければならない重要な情報はメールや掲示板を併用したうえで、会議を通じて連絡をするべきです。

たとえば、今日では「情報セキュリティ教育」の一環として多くの会社が「標的型攻撃メール」の訓練を実施しています。

標的型攻撃メールは、特定の企業や個人をターゲットにした攻撃者が送るウイルス付きのメールです。メール文はあたかも仕事に関係ある内容のように見えるように作成されています。メールに添付ファイルやリンクが含まれます。そのメールを「標的型攻撃メール」と気づかないターゲットは、添付ファイルをダウンロードしたり、リンクを押してしまうことによってパソコンがウイルスに感染します。

標的型攻撃(イメージ)

毎年、IPAは「情報セキュリティ10大脅威」を発表しています。2022年において「標的型攻撃による機密情報の窃取」は2位にランクされています。標的型攻撃は古くからありますが、組織にとって依然として大きな脅威だとわかります。

www.ipa.go.jp

標的型攻撃メールによるマルウエアとして有名なのが、Emotet(エモテット)です。Emotetは知り合いになりすましたメールから感染します。取引先の名前でパスワード付きの「ZIPファイル」が送られ、添付されたExcelファイルを実行するとパソコンが感染します。Emotetに感染すると、アカウントや本文、アドレス帳の情報が盗まれます。

標的型攻撃メールは、社員に対する定期的な訓練を実施することで感染リスクを防ぐことが知られています。

標的型攻撃に備える為の訓練メールは、社員に標的型のテストメールを送信します。そこには添付ファイルがついていて、それを誤って開封した率(開封率)を探ります。それによって今後のセキュリティ教育に活かすことを目的としています。

もし、純粋に開封率の測定を目的とするのであれば、社員には何も周知せず「標的型訓練メール」を出す方が効果的です。ただ、リスクがあります。標的型メールにひっかかるように細工されたメール文は、社員が知っている取引先が記載されていたり、問い合わせ内容が実業務に即した具体性のあるものです。社員が訓練だと知らず攻撃メールを受信したら、メールに書いている取引先に電話したり、問い合わせ内容を真面目に調査したりと、通常業務に不必要な混乱を招くでしょう。訓練メールを出す詳細な日時まで周知する必要ありませんが「〇日から〇日の間で、訓練メールを送付します」程度の全体周知は必須です。

「標的型攻撃メール」の訓練のほか、事業場で行われる消防訓練や避難訓練、年末調整の締め切りなど、会社として対象者に周知すべき重要な情報は多々あります。生産性向上の手段として、必要な連絡や情報共有をメールや電子掲示板だけで済ませてしまうと、後々のフォローにかえって余分な手間を取られると思います。