Microsoft 365メールセキュリティの3つの弱点。利便性と安全・安心を両立する効果的な解決策とは

業務アプリケーションとして「Microsoft 365」を利用する企業が増えています。多様な機能の中でも特に利用頻度が高いのが、メール機能(Exchange Online)でしょう。そのメールを安全・安心に利用するためにはセキュリティ機能が不可欠です。Microsoft 365にも基本的なメールセキュリティは提供されますが、国内企業の利用においては実はそれだけでは十分とは言えません。そこには大きく3つのリスクが存在します。それはどういうもので、解消するためにはどうすればいいのか。3つのリスクを紐解き、その解決策を解説します。

Microsoft 365のメールセキュリティを強化!
ガイドブックを2冊セットで
ダウンロード(無料)
目次
  1. メールのセキュリティ対策と障害対策がより重要に
  2. Microsoft 365の標準機能では対応できない3つの“弱点”とは
  3. 足りない機能を補完する。弱点解消の手立てとその課題
  4. 3つの弱点をまとめて解消する抜本的対策とは

メールのセキュリティ対策と障害対策がより重要に

Microsoft 365はクラウド型のOfficeアプリケーション。Exchange Onlineベースのメール、業務支援機能、コミュニケーションツールなどを利用でき、テレワークでも利用しやすいことから、近年その利用が拡大しています。

一方で、ビジネスに欠かせないメールの利用に懸念を抱くユーザ企業も少なくありません。大きな理由の1つが、高度化・巧妙化するサイバー攻撃のリスクです。巧妙な手口でセキュリティ対策をすり抜ける攻撃が増えているからです。

システム障害の発生により、メールが使えなくなることへの不安もあります。クラウド型のメールは便利な半面、問題が発生すると全社に影響が及んでしまうからです。かといって代替のコミュニケーション手段を用意している企業は少ないのが現状でしょう。

もちろん、Microsoft 365は基本的なメールセキュリティの機能を実装しています。しかし、多くの国内企業の利用形態やセキュリティポリシーからすると、その機能は十分とは言えません。そのまま使い続けることは、セキュリティ上のリスクになる恐れがあります。

Microsoft 365の標準機能では対応できない3つの“弱点”とは

Microsoft 365のメール利用で直面する不安は大きく3つあります。

1つ目はなりすましや危険なメールがすり抜けてしまうこと。

なりすましや迷惑メールのフィルタリング機能はあるものの、判定精度が十分とは言えず、チェックをすり抜けてしまうメールが多いのが難点です。特に最近はなりすましメールが巧妙化しています。一見するとビジネスメールと見分けがつかない場合もあります。不用意に添付ファイルを開いたり、URLをクリックするとマルウェアに感染する恐れがあります。リスクがあるだけでなく、仕事に関係のないメールの受信も増えるため、煩わしく、選り分けの作業も大変です。
また、Microsoft 365はグローバルに展開しているサービス。英文の判定に比べると、日本語の判定はそれほど得意ではありません。日本語のコードは2Byteで構成されることから正しいメールと判定してしまう誤判定も課題となっています。

2つ目は誤送信の不安です。送り先を間違えたり、送るはずではなかった情報を誤って送信してしまうことです。例えば、受信者同士に面識はないものの情報は共有したいという場合、BCCでメールを送信すれば、受信側にBCC欄のメールアドレスは表示されません。しかし、間違えてTOやCCで送信すると、受信側にすべてのメールアドレスが表示されてしまいます。第三者に渡ったメールアドレスが悪用されたら、うっかりミスでは済まされません。1対1のやりとりでも、添付するファイルを間違えると、意図しない人に意図しない情報が渡ってしまいます。

メールは一度送信すると取り消せないため、事前に送信先、そのメールアドレス、本文の内容や添付ファイルなどを十分に確認することが大切です。Microsoft 365の高機能版サービスはこうした誤送信対策を利用できますが、スタンダード版には搭載されていません。ユーザが運用でカバーしなければならないため、不安の種になっています。

誤送信以外にも送信時のリスクが指摘されています。その1つが「PPAP」です。これは「Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)、Protocol(プロトコル)」の略。パスワード付きZIPファイルをメールで送信し、あとからメールでパスワードを送信する手法です。

ZIPファイルを暗号化すると、セキュリティ対策ソフトが中身を解析できなくなるため、仮にファイルがウイルスに感染していても、そのまま受信者に届けられてしまうことがあります。実際に、ZIPファイルに関連した「Emotet(エモテット)」と呼ばれるマルウェアの被害が日本でも確認されており、最近はこの運用を見直す動きが広がっています。

そして3つ目が障害発生時の不安です。Microsoft 365は直近3年間で毎年メール障害が発生しています。「メールの送受信ができない」「メール本文が正しく表示できない」などの障害で、半日からほぼ終日にわたって正常なメールの利用ができなくなりました。メールはビジネスにとって欠かせないツール。メールが使えないと、お客様や取引先、社内のメンバーとのコミュニケーションにも支障が生じてしまいます。

クラウドサービスの障害復旧は、事業者の対応に任せるしかありません。自社では対応できないのも大きな不安の1つです。メール障害を経験しているユーザは、メールが使えなくなる怖さを痛感しているはず。何らかの備えが必要と考えているユーザも多いでしょう。

足りない機能を補完する。弱点解消の手立てとその課題

これらの弱点を解消するにはどうすべきか。Microsoft 365単体ではなく、別途サービスを組み合わせて利用すれば、足りない機能を補完し対策を強化できます。

メールフィルタリングや誤送信対策を強化したいなら、サードパーティが提供しているサービスを利用するといいでしょう。障害対策については、オンプレミスにあるバックアップの仕組みやオンラインのバックアップサービスを利用し、メールデータをバックアップする。メールが使えない場合を想定して、サブドメインで別のメールアドレスを利用するなどの対策が考えられます。

ただし、こうした対策を整備する場合は別の課題に直面します。例えば、メールフィルタリングや誤送信対策のサービスは、ほとんどが機能特化型。送受信どちらの対策も強化したいなら、2つのサービスを個別に導入しなければなりません。当然、コストや管理の手間も膨らんでしまいます。

障害対策は更に面倒です。別のメールアドレスを用意していても、ふだん使っているメールアドレスと異なると混乱は避けられないでしょう。バックアップしておいたメールデータを使うためには切り替えの手間もかかります。メインサービスと同じ仕組みを別途用意しなければならないため、コストは2倍かかります。いつ起きるかわからない障害のために高額な投資が必要になるのです。

3つの弱点をまとめて解消する抜本的対策とは

複数サービスを個別に導入することなく、3つの弱点を一気に解決したい。これを実現するサービスとして注目したいのが「IIJセキュアMXサービス」です。

これはクラウド型の統合メールセキュリティサービス。メールフィルタリングや誤送信対策を標準機能で提供し、オプションの「スペアメールオプション」を付加すれば、バックアップ用のメールも統合的に利用できます。IIJセキュアMXサービスを組み合わせて利用することで、Microsoft 365に足りない機能を補い、メールセキュリティや障害対策を強化できるのです。

メールフィルタリング、誤送信対策、及びバックアップ用のメールを統合的に提供できるサービスは皆無です。これはIIJセキュアMXサービスの大きな強みと言えるでしょう。提供する各機能も優れた特徴を備えています。

メールフィルタリングは、6社のセキュリティベンダーの高精度なフィルタリングエンジンを組み合わせた多層防御が強み。各ベンダーのエンジンには特徴があるため、これを組み合わせることで、検知力の強化を図っているのです。多重検査により、巧妙ななりすましや迷惑メールを阻止し、高精度なウイルスの検知・駆除も可能です(図2)。

図2:高精度なフィルタリングエンジン

誤送信対策も充実しています。メールの送信を一定時間保留して宛先情報などの再確認を促す機能、キーワードやメールアドレス、添付ファイルの種類やサイズなどの条件をあらかじめ設定し、条件に合致したメールの送信を制御する機能などがあります。これらのルールや条件はお客様のポリシーに合わせてカスタマイズ可能です(図3)。

図3:配送保留による誤送信対策

またIIJセキュアMXサービスはオンラインストレージサービス「DOX」との連携にも対応しています。添付ファイルはDOX経由でやりとりすることで、PPAPのリスク対策にも有効です。

スペアメールオプションは、バックアップ用のWebメールサービス。メールアドレスはいつもと同じドメイン・同じアカウントを利用できます。障害発生時は即座に切り替えて、メールの利用を継続できます(図4)。お客様宛のメールをMicrosoft 365へ配送する直前でIIJの設備にコピー保管しているため、障害によって確認できなくなってしまう心配はありません。障害直前を含むこれまでのやりとりも漏れなく確認できます。

図4:スペアメールオプションによる障害対策

IIJセキュアMXサービスの導入方法はDNSサーバで定義されるMXレコード(メールの配送先情報)を変更するだけ。お客様側で特別な設備や設定は不要です。容易に導入できるのも大きなメリットです。クラウド型サービスなので、インフラの保守・管理も不要です。

企業ITのクラウド化の流れとともにMicrosoft 365の利用も広がりを見せています。しかし、そのメールセキュリティは日本企業が求めるニーズからすると、やや物足りないのも事実。Microsoft 365をより安全・安心して利用したい。そう考える企業にとって、3つの弱点を一気に解消する「IIJセキュアMXサービス」は有力なソリューションとなるでしょう。