企業が行うべきメールセキュリティ対策とは?多様なリスクとその対策、製品選びのポイントまで徹底解説

IIJ ネットワーク本部 サービス推進部

メールセキュリティエバンジェリスト

久保田 範夫

メール、セキュリティを専門とし、M3AAWG会員、及びサービスの企画、戦略を担当。国内だけでなく、ASEAN、米国、欧州でのグローバルサービス展開を精力的に推進しながらメールセキュリティのエバンジェリストとして活動。講演多数。

執筆・監修者ページ/掲載記事:11件

マルウェアの感染経路のほとんどはメールによるものと言われています。金銭や情報を奪われるなど被害も深刻化しています。攻撃を受けるだけでなく、知らない間に自社が加害者にされていたり、小さなミスが取り返しのつかない事態に発展することもあります。自分たちが被害に遭わないために、そして加害者にならないためにはどうすべきか。企業が行うべき対策を徹底解説します。

社内への注意喚起に使える!
「注意すべきメールパターン」解説
ダウンロード(無料)
目次
  1. メールセキュリティ強化は企業の重要な責務
  2. メールセキュリティとは
  3. 知っておくべきメール脅威の種類 ― 外部からの攻撃だけでなく、内部にもリスクがある
  4. メールセキュリティ対策の種類
  5. メールセキュリティ製品の選び方 ― 機能面に加え、導入後のサポート体制もポイント

メールセキュリティ強化は企業の重要な責務

「以前に自分が出したメールに返信の形で取引先からメールが届く。メールには、仕事の資料を添付したので至急確認してほしい、とある」――。「会社の上司からお客様に贈るギフトカードを至急手配してほしい、とメールが届く。メールには購入先のURLも記載されている」――。

こんなメールが来たら、大抵の人は指示通りに対応してしまうのではないでしょうか。これらは実際にあったメール攻撃の“手口”です。添付ファイルを開けばマルウェアに感染し、URLにアクセスすれば個人情報を抜き取られたりマルウェアを送り込まれます。これによって金銭や情報の詐取、データやシステムの破壊など深刻な被害も報告されています。そうした被害に遭わないまでも、自社が攻撃の“踏み台”にされ、加害者になってしまうこともあるのです。

メールセキュリティとは

こうしたリスクに対処するためにはメールセキュリティが不可欠です。メールセキュリティとはメールを用いたスパム、フィッシング、マルウェア、詐欺、標的型攻撃などのサイバー攻撃、送信時の誤送信や意図的な情報漏えいリスクからシステムや情報を保護すること。

昨今はランサムウェアが世界で猛威を振るい、一度はテイクダウンされたEmotetの大規模攻撃も活動を再開しました。メールセキュリティ対策の重要性は以前にも増して高まっています。

(関連記事)Emotet(エモテット)とは?攻撃手法から感染対策まで徹底解説
(関連記事)メールセキュリティの対策ポイント!企業に求められる対策を解説

知っておくべきメール脅威の種類 ― 外部からの攻撃だけでなく、内部にもリスクがある

外部からの攻撃

メール攻撃には大きく2種類あります。不特定多数を狙う「ばらまき型攻撃」と、特定の組織や個人を狙う「標的型攻撃」です。

<ばらまき型攻撃>
ばらまき型攻撃の典型が「フィッシングメール」です。著名企業や大手オンラインサービスなどをかたって「会員登録の期限切れが迫っている」「有料サービスの未払いがある」などと対応を迫り、URLリンクにアクセスするよう誘導します。信用して必要事項を入力すると、個人情報やクレジットカード番号などを詐取されます。ほかにもEmotetなどのマルウェアを不特定多数に送り付ける攻撃もあります。
<標的型攻撃>
標的型攻撃の典型は「ランサムウェア」です。攻撃にはばらまき型攻撃で詐取したメールデータ、SNSや公式ホームページの公開情報などが悪用されます。
ビジネスメール詐欺も金銭を目的としたメール攻撃の一種です。会社の同僚や上司、取引先や顧客など、実在の組織や人物になりすまし、偽の請求書や振り込み先口座を通知してきます。弁護士や会計士、金融機関のなりすましなども確認されています。

(関連記事)標的型攻撃メールとは?その見分け方と有効な対策を徹底解説
(関連記事)なりすましメールの対策方法とは?手法や見分け方を解説

内部でのリスク

メールの脅威は外部からの攻撃だけとは限りません。従業員による意図的な情報持ち出しのリスクもあります。誤送信などのうっかりミスも注意が必要です。宛先や添付ファイルを間違えると、第三者に大切な情報が流出してしまいます。本来Bccで送るべきところ、間違えてCcで送ると、同報のメールアドレスがすべて丸見えになってしまいます。メールセキュリティには内部リスクへの警戒も欠かせません。

メールセキュリティ対策の種類

メールセキュリティには受信/送信双方の対策が必要です。

受信メールに対するセキュリティ対策

受信メール対策で欠かせないのがアンチウイルス、アンチマルウェア、アンチスパムなどです。更にサンドボックスによる振る舞い検知機能があれば、既知の脅威だけでなく、未知の脅威も検知可能です。

DMARCなどの送信ドメイン認証に対応していれば、なりすましも高精度に検知できます。記載されたURLリンクが本当に安全なサイトかどうかチェックするURLリンク検査、添付ファイルのマクロ機能などを除去するファイル無害化、実行ファイル形式のEXEや暗号化されたZIPなど“怪しい”拡張子のファイル受信を規制する機能なども有効な対策です。

(関連記事)送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説

外部の専門ベンダーに依頼して疑似的なメール攻撃による訓練を行ったり、講習会を開くなど、セキュリティ意識の醸成を図ることも欠かせません。実践的な訓練を行うことで「怪しいファイルは開かない」「真偽が分からないURLリンクにはアクセスしない」という意識が向上します。

送信メールに対するセキュリティ対策

送信メール対策でまず必要なのが、誤送信防止対策です。代表的なものがDelay送信。送信ボタンクリック後すぐに送信せず、少し間を置いて送信する機能です。宛先や添付ファイル、文面の間違いなどに気づいたら、送信を取り消すことで誤送信を防止します。Ccのメールアドレスを強制的にBccに変換する機能も、第三者へのアドレス流出を防ぐ上で効果的です。またメール送信経路を暗号化すれば、外部からのメールの盗聴を防止できます。

以前は添付ファイルを送る際、PPAPという手法がよく用いられましたが、最近はこれを見直す流れが高まっています。脱PPAP対策として注目されているのが、添付ファイルのURL変換です。ファイルをメールに添付せず、オンラインストレージなどを使ってダウンロードURLのみ送信するというもの。これも有効な送信メール対策になります。

(関連記事)PPAPとは ― パスワード付きZIPファイルの概要と課題

人によるメール監査も有効な手立ての1つです。送信メールは一旦上長を経由し、内容や宛先をチェック後、承認されたものだけ送信するのです。多重にチェックすることで、うっかりミスを防ぎます。

送信メール対策では“送信後”の対策も重要です。万が一、自社がマルウェア感染の加害者になってしまった場合、いつ・誰が・どのようなメールを送ったか、という確認が必要になるからです。送信後のメールはアーカイブし、証跡として保存しておきましょう。問題の原因や影響範囲の調査、事後対策の立案などにも役立ちます。内部からの情報持ち出しの場合も重要な証拠になります。

メールセキュリティ製品の選び方 ― 機能面に加え、導入後のサポート体制もポイント

では多岐にわたるメールセキュリティ要件をどうやって実現するのか。ここからは製品・サービス選びのポイントを紹介しましょう。

大切なことは、自社の業務特性やメールの利用状況を踏まえ、対策として何が足りないか、何を強化したいかを整理することです。例えば、既知のマルウェアだけでなく、未知のマルウェアまで検知したいならサンドボックスによる振る舞い検知機能が必要でしょう。なりすまし防止には送信ドメイン認証が有効です。

社外秘の重要情報や機微情報を多く扱う場合は、誤送信対策が必須でしょう。内部からの情報漏えいリスクも含めたガバナンスを強化したいなら、メール監査や証跡保存が有効な手立てになります。

メールセキュリティの製品・サービスは受信対策に特化したもの、送信対策に特化したもの、送受信双方に対応したものがあります。機能を絞り込んで対策強化する場合は特化型で対応可能ですが、網羅的に対策を強化したいなら、送受信双方のセキュリティ機能を実装したものがいいでしょう。

導入後のサポートも大切な選定ポイントです。サイバー攻撃は日進月歩で進化しています。対策が陳腐化することなく、適宜バージョンアップしてくれるのか。既存環境からの移行をサポートしてくれるのか。こうした点も確認が必要です。
エンジニアによるサポートを海外で行っている場合、エスカレーション対応に時間がかかります。言語が壁になって、こちらの真意が正しく伝わらないこともあります。迅速・的確なレスポンスを期待するなら、国内運用の製品やサービスを選ぶといいでしょう。

メールセキュリティにクラウドという選択肢

こうした選定ポイントにマッチしたサービスの1つが「IIJセキュアMXサービス」です。これまで紹介した受信/送信双方のメールセキュリティ機能を幅広く実装し、それをクラウド型サービスで利用できます。

メール環境はMicrosoft 365やGoogle Workspaceに代表されるようにクラウドサービスが主流になりつつあります。メールセキュリティもクラウド型ならシームレスに連携可能です。もちろん、IIJセキュアMXサービスはオンプレミスのメール環境でも利用可能です。脅威メール対策では、セキュリティベンダー複数のウイルス検知エンジンを組み合わせた多層防御で、フィッシングメール、ビジネス詐欺メール、標的型攻撃メールも高精度に検知・ブロックします。

サービスはクラウド型なのでシステム構築は不要。機能のアップデートや定義ファイルの更新もIIJが実施します。運用の手間がからず、常に最新のセキュリティ対策を利用できるのです。IIJセキュアMXサービスなら多様なリスクに対応した全方位的なメールセキュリティを容易に実現可能です。

(関連記事)クラウド型メールセキュリティで高まる見直しの気運 <比較ポイント3選>