メールセキュリティは、外部からのメールを使った攻撃への防御や内部からのメール誤送信による情報漏洩を防ぐ対策です。業務に不可欠なメールの送受信履歴を全て複数年にわたり保管することでコンプライアンスへ対応します。本記事では、メールセキュリティの目的と対策について紹介します。
なぜメールセキュリティが必要なのか
メールセキュリティとは
メールセキュリティとは、ウイルス、マルウェアやなりすまし、ビジネスメール詐欺などのメールを使った外部からの攻撃を防ぐ受信対策と、メールの誤送信など人的ミスによる情報漏洩を防ぐ送信対策です。最近では、脱PPAPへの対応も求められます。また、電子帳簿保存法や関税法などのコンプライアンス対応も必要です。
関連記事:5400万通のメールから見えたサイバー攻撃のトレンド 気を付けたい3つのポイントと対策は?:あなたは大丈夫? 電子メールのセキュリティ対策
メールセキュリティの必要性
業務に欠かせないメールを安全かつ効率的に利用するために、メールセキュリティは情報セキュリティ戦略の重要な要素です。
IPA(情報処理推進機構)が 2023 年1月25日に発表した「情報セキュリティ10大脅威 2023」では、セキュリティ10大脅威のうち、6件がメールに関する脅威です。
2019年から国内でも被害を拡大させたマルウエアのEMOTET(エモテット)は、不特定多数の対象に、メールに添付した不正ファイルや、本文中に記載されたURLのリンク先の不正ファイルを受信者に開かせることで感染させます。
重要な情報が記載されたメールの宛先間違いや、内部情報の不正な持ち出しによる情報漏洩の被害が発生します。顧客の個人情報や取引先の情報の流出はコンプライアンス違反にもなります。
外部からの攻撃や誤送信による情報漏洩を防止するためにも適切なメールセキュリティの導入が必要です。
- 情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
- Emotet(エモテット)とは?手口から起こりうる被害と対策方法を解説
- Emotet感染、情報漏洩、ランサムウェア被害企業・事例一覧2022 | サイバーセキュリティ総研
メールセキュリティの目的
メールセキュリティの目的は、主に次の5つに分類できます。
脅威が潜む危険なメールを受信しないようにする
不特定多数に送信されるスパムメールや、実在する金融機関や法人、または取引先や自社の従業員などを装ったフィッシングメールを受信しないことが重要です。
メール送信者の正当性と電子メールの信頼性を確認するSPF、DKIM、DMARCなどのメール認証技術を用いることでフィッシング攻撃やスパムを防止できます。
脅威が除去された状態でメールを受け取れるようにする
メールを使った攻撃は、ウイルスやマルウェアを含んだファイルを添付して送信します。メールや添付ファイルの本文中に、ウイルスやマルウェアをダウンロードさせる不正なサイトへのリンクURLが記載されています。
こうしたメールへの対策としては、「添付ファイルをスキャンしてウイルスやマルウェアを除去した後で受信」、「添付ファイルを分離して受信」、「メール本文や添付ファイル内のURLを無効にして受信」などの方法が有効です。
導入事例:メール、ファイルの無害化の作業負担がゼロに。PPAP対策も万全に、業務効率が格段にアップ(茨城県五霞町様)
人的ミスによるメールの誤送信を防止する
2023年1月のサイバーソリューションズの調査によると、4人に1人が送信先を誤った経験があり、「相手からクレームの連絡を受けた(16.1%)、相手から損害賠償請求を受けていました。
メールの送信先間違い、添付ファイルの間違いなどのミスを防ぐことに課題があります。メールを送信した後に、送信を一時保留し、メールの送信先や添付ファイルを再確認したり、上司など送信者以外の人が内容を確認することで、誤送信を防止できます。
調査レポート:メール誤送信の実態調査 2023 | サイバーソリューションズ
業務効率を落とさずに脱PPAPする
パスワード付きZIPファイルをメール添付で送信する「PPAP(ピーピーエーピー)」。PPAPで送信されるファイルは、ウイルスチェックをすり抜けてしまいます。2020年に平井卓也デジタル改革担当相(当時)が、PPAPを廃止する方針を示したことにより、「脱PPAP」の気運は一気に拡がりました。
脱PPAPは、送信時にメール送信先企業のポリシーに沿った対応で、添付ファイルを送信します。PPAPファイルを受信した際のウイルスチェックが欠かせません。メールでの添付ファイルの送受信の効率は落とさずに、脱PPAPを実現するソリューションを選択します。
事例:Microsoft 365 対応の脱PPAP 添付ファイル分離送信の作業負担がゼロに(ネットワールド様)
関連:日本人はなぜ「マスク」と「PPAP」をやめられないのか:あなたは大丈夫? 電子メールのセキュリティ対策
メールをまとめて保存し、コンプライアンス対応する
全ての企業にとってコンプライアンス対応(法令順守)は不可欠です。コンプライアンス推進体制を整備し、教育・研修を通じて法令違反を防ぐことが求められます。また、コンプライアンスの対応状況のチェックも欠かせません。
メール誤送信による情報漏洩事故が発生しても20代のビジネスパーソンの92%は、事故を報告していないという状況があります。そのため、コンプライアンス違反が発生した際には、事実関係を調査するにはメールの送受信履歴が必要です。
メールサーバーとは別に、全てのメールを保管する「メールアーカイブ」を導入し7年間保管することで、コンプライアンス違反の事実関係の調査を迅速に行えます。
メールセキュリティの目的別対策とは?
危険なメールを受け取らない「受信対策」
危険なメールを受け取らない受信対策は、次の5つに分類されます。いずれかの対策だけを実施するのではなく、全ての対策を包括的に実施する必要があります。
受信したPPAPファイルのスキャン
受信したPPAPファイルをクラウド上で暗号を解除しスキャンすることで、PPAPファイル経由でのウイルスの侵入を防ぎます。
なりすまし対策
SPF/DKIM/DMARCといった受信メールの信頼性を確認する認証技術を用いることで、送信者を偽装したフィッシングメールや詐欺メールの受信を防ぎます。
スパム対策(アンチスパム)
スパムメールを検知するスパムエンジンとホワイトリストやブラックリスト方式により迷惑メールを受信しないようにブロックします。
ウイルス対策(アンチウイルス)
複数のウイルス対策エンジンと最新のパターンファイル(ワクチン)で、メールに添付されているファイルにウイルスやマルウェアが含まれていないかチェックします。
サンドボックス
ウイルス対策では問題が検知されなかった添付ファイルをクラウド上のサンドボックスでチェックすることで、未知のウイルスの侵入を防ぎます。
事例:7,000アカウントのMicrosoft 365メールセキュリティオンプレからクラウドへ移行で運用管理を低減
人的ミスによる情報漏洩を防ぐ「送信対策」
メール送信者による自己承認
メール送信者が、メールを送信する際に承認画面にて内容の再確認をすることで、誤送信を未然に防ぐための機能です。承認保留中のメールは内容を確認し、送信の取り消しが可能です。
上長による送信メールのチェック
メールを送信すると、上長(第三者)に確認依頼が届き、上長(第三者)の承認後にメールが送信されます。送信者と上長(第三者)の2重チェックによる確認ミスを防ぎます。
送信メールを強制的にBCC
メールの宛先のToまたはCcに指定した件数以上のメールアドレスが含まれる場合に、自動的にすべての宛先をBCCに変換して送信することで、宛先メールアドレス(個人情報)の漏えいを防止します。
個人情報チェック
メール本文や添付ファイル内に個人情報が含まれていないかをチェックします。個人情報が含まれていた場合には、メール送信を保留にし関係者へ通知することで、情報漏洩を防止します。
送信メールの脱PPAP
メール送信先毎に、ファイルの分離送信、PPAP送信、通常送信、パスワード別経路送信などの複数の送信方法を、送信先ごとに細かく設定します。送信先の脱PPPA状況に応じたメールの添付ファイル送信を自動化します。
送信保留
メール送信した後に一定時間送信を保留します。送信保留の時間内であれば、送信をキャンセルし、内容を編集できます。
関連記事:
すべてのメールを保管しインシデント発生に備える
メールの保存期間
電子帳簿保存法では、取引書類は、大きく、紙・メール・ダウンロードの3つの方式に分類して管理されることになります。保管期間は7年間。長期間なので、運用の規則やシステムの事前整備がポイントになってくると考えられます。
メール検索のしやすさ
送受信されたメールの調査では、調査対象のメールを迅速に探し出さなければなりません。メール本文のみならず、添付ファイルの内容も含めた検索性能が調査能力を左右します。
関連記事:すべてのメールを保管するメールアーカイブの導入目的と製品の選び方
まとめ
メールを使った攻撃手法は常に変化しています。外部からの攻撃を防御し、内部からの人的にミスによる情報漏洩を防ぎながら、コンプライアンスに対応するためにも、メールセキュリティは全ての企業や団体にとって不可欠です。利用しているメールシステムやサービスに合わせた、メールセキュリティを導入しましょう。