メールセキュリティは、電子メールを安全に利用する環境を整えることです。メールからの情報漏えいや、メールから生じる詐欺被害・業務の停止などの脅威を防ぐため、メールセキュリティの必要性や重要性が高まっています。そこで、脅威と具体的な対策について解説します。
また、企業が気を付けるべき怪しいメール(標的型攻撃メール)の事例・サンプルをまとめた資料を無料で配布しています。ぜひご活用ください。
メールセキュリティとは
メールセキュリティとは、電子メールを安全に利用できる環境を整えることです。利用者が個々に実施することもあれば、組織的な仕組みの整備も含まれます。
狭義の意味では、ITセキュリティ分野におけるメールセキュリティ製品・サービスを指します。
セキュリティベンダーは広くネットワーク全体を保護するソリューションのほか、メールやID認証のような特定のIT要素を対象とするセキュリティ製品も提供しています。
この場合、メールセキュリティとはメールを介した脅威の防御やリスク対策が行える製品群を指します。具体的にはアンチウイルスやアンチスパム機能、フィッシングメールおよび偽装メールの検知、脅威に対する防御、添付ファイルの削除、URLの無害化などを実行できる製品やサービスなどです。
メールセキュリティの必要性
メールセキュリティの必要性は高まっています。メールにより機密情報や個人情報など重要な情報がやりとりされることが多いため、情報漏えいやサイバー攻撃のリスクがあります。
具体的には、次のようなリスク防止の必要性が挙げられます。
情報漏えい防止
受信者以外にメールが漏えいすると、企業や組織の信用失墜につながります。適切なメールセキュリティを実施することにより、情報漏えいを防止します。
フィッシング詐欺対策
フィッシング詐欺は、善意の送信者になりすましたメールを送信し、偽のサイトなどに誘導して機密情報や金銭をだまし取る手口の詐欺です。メールセキュリティの実施により、フィッシング詐欺の予防に役立ちます。
マルウェア感染防止
悪意のある添付ファイルやリンクが含まれたメールは、マルウェア感染のリスクがあります。
メールからのマルウェア感染防止、というのも、メールセキュリティの意義の一つです。
法令遵守
企業や組織の活動においては、個人情報保護法・GDPRといった法令・規制を順守し、適切に情報を管理しなければなりません。その一環として、メールセキュリティの実施が求められます。
以上のように、メールセキュリティは、企業や組織の情報セキュリティにとって重要な役割を果たしています。メールのやりとりにおいて、セキュリティ対策を適切に徹底することで、情報漏えいやサイバー攻撃などのリスクを軽減することができます。
メールセキュリティの主な機能
先ほどもお伝えした通り、メールセキュリティは狭義にはメールセキュリティツールのことを指します。このことからもわかる通り、メールセキュリティにおいてはツールの導入というのが一般的です。とは言え、世の中には多種多様なメールセキュリティツール・サービスが存在するため、簡単にご紹介します。
まず、メールセキュリティの機能は大きく分けて、「迷惑メール対策」「情報漏洩対策」の2種類があります。
- 迷惑メール対策
-
- アンチスパム・アンチウイルス
- 添付ファイルの無害化
- URLの無効化
- 情報漏えい防止
-
- メールの暗号化
- コンテンツコントロール
それぞれについて、説明します。
アンチスパム・アンチウイルス
メーラー(電子メール専用ソフト)は、宛先さえ合っていれば、基本的にはどんなメールでも受け付けます。有害メールが受信トレイに入っただけでは特段の脅威はありませんが、開封されると有害事象を引き起こす可能性があります。
これを防ぐために、アンチスパム・アンチウイルスソフトが有効です。仕組みとしては、メールの内容と添付ファイルをスキャンして、脅威を検知次第ブロックするものです。受信トレイを埋め尽くす邪魔なスパムメールも弾き出すことができます。
添付ファイルの無害化
添付ファイルでマルウェアを送り付けるタイプの有害メールへの対策です。メール受信時に添付ファイルを自動削除する、ないしは、マクロが自動実行されないようにするのが一般的な対策方法となります。万一不審なメールを受信しても、そもそも添付ファイルが開けない、不正なプログラムが実行できない状態であれば、それと知らずに被害に遭うリスクをなくせます。
URLの無効化
メール本文に偽サイトのURLが貼られているタイプへの対策です。受信者が、フィッシング誘導やURLリンクに見せかけた不正プログラムを踏んでしまわないように、メール内のURLをそもそもテキスト化してクリックできないようにします。
メールの暗号化
メール本文や添付ファイルを暗号化し、送受信者以外の第三者が傍受・改ざんできないようにします。シンプルに言えば、メール送信時にデータに鍵をかけて暗号化(鍵がないと解読できない状態)し、受信者側での受信時に鍵を使って暗号解除する、という方法です。添付ファイルにパスワードをかけるPPAPとは異なります。
コンテンツコントロール
メール送信時、本文に特定のコンテンツが含まれていないか監視、含まれていた場合は送信されないような設定です。ここでいう特定のコンテンツとは、自社の機密情報、個人情報、といった情報資産を含めるのが一般的です。これにより、典型的なヒューマンエラーによるデータ漏えいを防止します。
メールセキュリティで対策できる脅威の種類
今まで見てきたように、狭義のメールセキュリティの導入で、さまざまな不正メールとその脅威に対抗できます。
ただし、例えば、特定のターゲットをつけ狙う「標的型攻撃メール」をこうしたソリューションで防ぐことは困難で、ITリスク全般に対応できる組織と制度の整備が必要です。
また、特定の組織ではなく従業員や役員個人を狙った「脅迫メール」「詐欺メール」もメールセキュリティ製品で完全防御するのは難しく、いわゆるセキュリティツールとは違ったアプローチでの対策が必要であることに注意しましょう。
一般的には、メールセキュリティで下記の脅威に対策できます。
メールの誤送信
メールの誤送信は脅威ではなく、ヒューマンエラーによる情報漏えいリスクの範疇に属します。
宛先間違いによる個人情報漏えいのほか、営業上の機密情報の漏えいなど、大きな経営リスクに発展する可能性があります。
メールセキュリティ製品のなかにはメール誤送信対策ができるものもあります。具体的にはメールや添付ファイルの暗号化や、メール送信の一時保留、送信者以外による確認機能があります。
スパムメール
不特定多数にメールを送りつけるスパムメールには、宣伝メールのようなジャンクメールから、マルウェアやフィッシング詐欺の重大な脅威まで、さまざまなものがあります。フィルタリングによりこういったメールを削除、あるいは、迷惑メールフォルダに隔離できます。
メールの盗み見・改ざん
メールはネットワークを通じて届きますが、送信から受信されるまでの間に盗み見や改ざんをされる可能性がゼロではありません。メールを暗号化しなければ、理論上、誰もが読めたり、最悪の場合は改ざんもできてしまいます。ただし、昨今は暗号化対応のメールサービスや、メールサーバ、メールソフトが普及しています。
オンプレミスでメール運用をしている場合、メール暗号化の実装状況を改めて確認しておくのもいいでしょう。
マルウェアに感染
メールを介したマルウェア感染は、メール開封、または本文のリンクや添付ファイルのクリック操作が原因です。無害化機能を持つセキュリティ製品単体で対策するだけでなく、内外のネットワークをつなぐゲートウェイでの防御対策も非常に重要になってきます。
フィッシング詐欺
メール内の詐欺サイトのリンクを被害者がクリックすることで、フィッシング詐欺の被害にいたります。メールセキュリティ製品はメールの中のURLリンクをテキストに変換して無効化する機能を備えています。
製品以外のメールセキュリティ対策
メールセキュリティにはベンダー提供のソリューション以外に、組織的な対策や仕組みの構築、利用の都度確認、また各種のツールの活用といった方法があります。
不審メールに対する訓練
メールが要因の脅威対策として、定期的な訓練やリテラシー教育が有効です。メールで社外とのやり取りをする従業員に、定期的な疑似メールを配信しフィードバックを実施します。訓練後、疑似メールの開封率・URLのクリック率などのデータから、注意喚起を行うこととなります。
これは不審なメールの見分け方や怪しい添付ファイル・リンクに対する判断力を養うことが目的です。また座学研修と組み合わせるとさらに効果的です。
セキュリティ教育クラウド「セキュリオ」では、追加料金なしでeラーニングやミニテストでの定期トレーニングが利用でき、効果的な不審メール訓練が可能です。詳しくはサービスサイトをご覧ください。
ウィルス対策ソフトのインストール
業務メールの利用時に使う端末(パソコン・スマホ等)にウイルス対策ソフトを入れるのはセキュリティ対策の基本です。マルウェアが潜んでいる添付ファイルもしくはURLをクリックしても、ウイルス対策ソフトがあればブロックできる可能性があります。
パスワード管理は厳重に
メール使用時には適切なパスワードを設定し、厳重に管理します。
パスワードがしっかり管理されていないと、メールを第三者に盗み見られたり、アカウントの乗っ取りなど重大な被害に発展します。
メール送信前に宛先を必ず再確認する
送信先を間違えたメール誤送信による情報漏えいは後を絶ちません。メール送信前にはメールセキュリティ製品を利用するだけでなく、人によるダブルチェックなど、リスク回避策を実行するに越したことはありません。
ファイル共有サービスの活用
メールの添付ファイルはメール誤送信時の情報漏えいリスクになります。万一を考え、メールから外部サービスによるファイルのやり取りに代えるとリスクを大きく低減できます。
文書ファイル等を安全にやり取りするために、一度ファイル共有サービスを検討してみましょう。
送信元を認証する仕組みの導入
なりすましメール防止の仕組みに「送信ドメイン認証」(DMARC)があります。これはメール送信元のIPアドレス認証や、電子署名のシステムを利用し、なりすましでないかを判断するものです。
送信ドメイン認証は、メール送信元ドメインの認証情報をDNSに登録し、受信側メールサーバーでドメイン認証を行うことで、偽装メールを防止する仕組みを使います。
認証方式には、次の2つを利用しています。
- SPF
- DNS登録済みのメール送信サーバのIPアドレスを受信側で照合する
- DKIM
- メールに電子署名を付与して正規メールと証明する
認証失敗時に、DMARCは受信を拒否することができます。
まとめ
メールは重要情報の通信手段としてビジネスで広く利用されています。しかし、標的型攻撃・フィッシング詐欺・なりすまし・マルウェア感染などのターゲットになってしまうので、メールセキュリティの実施がマストです。
企業や組織では、ソリューション・セキュリティ製品の利用と、教育訓練の実施の両面からのアプローチでしっかり対策し、情報漏えいや、金銭的被害・信用失墜を防止しましょう。