Are Your Out-of-Office Replies Revealing Too Much?

不在時の自動応答メッセージに不要な情報が含まれていませんか?

August 08, 2019
Gretel Egan

本ブログは、英語版ブログ「https://www.proofpoint.com/us/security-awareness/post/are-your-out-office-replies-revealing-too-much」の翻訳です。

出張や休暇の際には、受信したメールに対する不在時の自動返信を作成するのが一般的です。これは、ビジネスを円滑に進める上では重要ですが、受信トレイに届く電子メールの一部は知らない人からのものであり、あなたに危害を加えようとするサイバー犯罪者からのものであるかもしれないことを忘れないでください。あなたが自動返信に含めた情報が悪意のある目的に使用され、組織を攻撃にさらす可能性があります。

生産性を維持し、セキュリティのバランスを改善するのに役立つ3つのヒントをご紹介します。

ヒント#1:詳細はできるだけ共有しない

不在メッセージを作成するときは、不在について人々が本当に知っておくべきかどうかを考えてください。理由は簡単です:あなたのメールアドレスを見つけた人はだれでも、あなたが不在のときにあなたにメッセージを送ることができます。あなたが休暇を取り、2週間不在になることを知っている親しい同僚については、それでも問題は無いかもしれません。しかし、あなたやあなたの組織からデータを盗もうとするサイバー犯罪者に返信が送られるとしたら、何が起こるでしょうか?

可能な限り、自動返信で次の種類の情報を共有しないようにすることをお勧めします:

  • あなた、あなたの上司および他の同僚の直通電話番号
  • 個人の携帯電話番号
  • 組織の他のメンバーの名前、役職、メールアドレス
  • 具体的な日付と不在に関する詳細

たとえば、以下のような返信文ではなく、

「私は、月末までXYZ会議に出席するためにオフィスを離れます。お急ぎの要件がある場合は、123-456-7890(携帯電話)までご連絡いただくか、上司のJane Smith(jsmith@myorg.comまたは412-555-1234、x111)に連絡してください。」

…以下の返信文を使うことを検討してください:

「私は現在不在にしております。お急ぎの要件がある場合は、私の携帯電話にご連絡頂くか、本社の代表電話から私の部門の別のメンバーに連絡してください。それ以外の場合は、できるだけ早くメッセージに返信します。」

どちらの返信も、送信者が必要に応じて行動するのに十分な情報を提供しています。不在を知らない送信者(未承諾または悪意のあるリクエストで電子メールを送信する人を含む)は、事態に対処するための最小限の情報を受け取ります。

ヒント#2:内部向けと外部向けの別々の返信文を作成する

一部のメールツールでは、メッセージの送信者に基づいて不在時の返信文を選択できます。可能な限り、このオプションを利用してください。組織内の関係者に送られる返信文には、代替の連絡先や内線番号を含めても問題無いでしょう。しかしその場合でも、自分や同僚の携帯電話番号などの個人情報を提供することは避けてください。

外部への返信文では、ヒント#1を参考にして、できるだけ詳細を明らかにしないでください。外部関係者とのビジネス上重要なやり取りがめったにない(またはまったくない)場合、あるいは不在にする期間が短い場合は、不在通知を設定しないことを検討してください。

ヒント#3:出発前に「知る必要のある人(Need to Know)」に指示する

毎日のように連絡を取り合う同僚(社内および社外)に不在時の指示を伝えるためには、不在通知に頼らないでください。この点は、あなたが以下のような機密性の高い、もしくはビジネス上重要な活動の承認プロセスに組込まれている場合には、特に重要です:

  • 電信送金または請求書の支払いのリクエストまたは承認
  • 規制、法律、税務関連の情報、または個人の医療情報の送信
  • 機密データまたは知的財産に関連する交渉

オフィスを離れる前に、緊急時に連絡をとる必要がある人を特定し、あなたの居場所、緊急連絡先(必要な場合)、および緊急時の指揮系統について知らせておきます。また、不在中のあなたの行動予定を知らせておきます(たとえば、定期的あるいはときどきでも電子メールをチェックするつもりなのか、一切仕事関連の活動を行わないのか、等)。

同様に、不在中に金融取引や機密データの送信に関連するリクエストがあった場合は、適切な関係者、そして必要に応じてITチームに連絡するよう指示しておきます。それと、これは重要なことですが、旅行中であろうとなかろうと、こういった重要な活動に関連するコミュニケーションと行動は、電子メールのみで処理するのではなく、常に厳密にチェックし、対面や電話を使って行う必要があります。