【メールセキュリティ最前線】その目的はウイルス感染防御と誤送信防止、コンプライアンス対応にあり

メールセキュリティは、メールを使った外部からの攻撃やメール誤送信等による内部からの情報漏洩による損害を防ぐための情報セキュリティ対策です。本記事では、メールセキュリティの目的と対策について紹介します。

なぜメールセキュリティが必要なのか
メールセキュリティの目的
メールセキュリティの目的別対策とは？
メールセキュリティ対策の選び方
月額200円でメールセキュリティ対策を実現できる法人向けソリューション
まとめ

なぜメールセキュリティが必要なのか

メールセキュリティとは

メールセキュリティとは、メールを使った外部からの攻撃を守ったり、内部からの情報漏洩を防ぐための対策のことをいいます。具体的にはウイルス、マルウェアやなりすましメール、ビジネスメール詐欺など外部攻撃を防ぐ受信対策と、メールの誤送信など人的ミスによる情報漏洩を防ぐ送信対策を指します。最近は脱PPAPへの対応も求められています。また、電子帳簿保存法や関税法などに対応したコンプライアンス対応も必要です。

業務に欠かせないメールを安全かつ効率的に利用するうえで、メールセキュリティは企業にとって重要なセキュリティ対策の要となります。セキュリティインシデントの多くが、メールを起点として発生しているからです。IPA（情報処理推進機構）による「情報セキュリティ10大脅威 2024」では、10大脅威のうち4件がメールに関する脅威になっていることから、メールによる詐欺被害のリスクについて広く社会で認知されてもなお強く注意喚起されるテーマだということが分かります。

メールセキュリティ事故の原因

Security NEXTによると、2023年1月から2023年10月5日までの「個人情報漏洩事件・事故関連記事」482件の事故原因は「メール誤送信」が118件（24.5 %）でトップでした。求職者の個人情報を含むファイルを営業DMに誤って添付したり、社員の健診結果を別企業へ誤送信したり、生徒の成績情報を誤って第三者へ送信するなど、業態に関係なく誤送信が発生しています。

メール誤送信の原因の多くは、宛名入力ミスとファイルの添付ミスです。宛名の誤入力はメールアプリの「オートコンプリート」が原因になるケースも多く、表示される複数の候補先から誤った宛名を選択してしまうことで、誤送信に繋がっています。ファイルの添付ミスは、ファイル名や保存場所が似ている場合に、誤って別のファイルを選択してしまうヒューマンエラーが原因となっているようです。

また上場企業のメールセキュリティ事故はマルウェア感染によるものが多く、PCから窃取したメールの連絡先を悪用したなりすましメールの送信事例も相次いで報告されています。主にメールの添付ファイルを通じて感染するマルウェアのEMOTET（エモテット）は攻撃手法を変化させながら活動休止と再開を繰り返しており、引き続き注意が必要です。

メールセキュリティ事故によって生じる損害リスク

メールでの小さなミスが、企業にとって取り返しのつかない事態に発展することもあります。顧客の個人情報や取引先に関する情報の流出はコンプライアンス違反になり、損害賠償問題や取引中止に追い込まれるかもしれません。同業他社に自社の重要な情報やノウハウが渡ってしまえば、大きな損失になります。また事件がマスコミに報道されることで企業イメージ低下、信用の失墜による顧客離れにつながるリスクもあります。

また、EMOTETをプラットフォームとしてランサムウェアへの感染を引き寄せ、端末に入り込んで奪ったデータをもとに金銭を要求されることもあります。ネットワークを通じて社内全体に伝染したマルウェアを除去するための手間や時間、業務への影響も計り知れません。

さらに自社が攻撃されて被害を被るだけでなく、気付かないうちに自社のPCが攻撃の踏み台にされ、遠隔操作でサイバー攻撃に利用されるなど、加害者になってしまうこともあるのです。

メールセキュリティの目的

メールセキュリティの目的は、主に次の５つに分類できます。

脅威が潜む危険なメールを受信しないようにする

不特定多数に送信されるスパムメールや、実在する金融機関や法人、または取引先や自社の従業員などを装ったフィッシングメールを受信しないことが重要です。

メール送信者の正当性と電子メールの信頼性を確認するSPF、DKIM、DMARCなどのメール認証技術を用いることでフィッシング攻撃やスパムを防止できます。

脅威が除去された状態でメールを受け取れるようにする

メールを使った攻撃は、ウイルスやマルウェアを含んだファイルを添付して送信します。メールや添付ファイルの本文中に、ウイルスやマルウェアをダウンロードさせる不正なサイトへのリンクURLが記載されています。

こうしたメールへの対策としては、「添付ファイルをスキャンしてウイルスやマルウェアを除去した後で受信」、「添付ファイルを分離して受信」、「メール本文や添付ファイル内のURLを無効にして受信」などの方法が有効です。

人的ミスによるメールの誤送信を防止する

2023年1月のサイバーソリューションズの調査によると、4人に1人が送信先を誤った経験があり、「相手からクレームの連絡を受けた（16.1％）、相手から損害賠償請求を受けていました。

メールの送信先間違い、添付ファイルの間違いなどのミスを防ぐことに多くの企業が課題を持っています。メールを送信した後に送信を一時保留し、メールの送信先や添付ファイルを再確認したり、上司など送信者以外の人が内容を確認することで、誤送信を防止できます。

調査レポート
メール誤送信の実態調査 2023 | サイバーソリューションズ

業務効率を落とさずに脱PPAPする

パスワード付きZIPファイルをメール添付で送信する「PPAP（ピーピーエーピー）」。PPAPで送信されるファイルは、ウイルスチェックをすり抜けてしまいます。2020年に平井卓也デジタル改革担当相（当時）が、PPAPを廃止する方針を示したことにより、「脱PPAP」の気運は一気に拡がりました。

脱PPAPは、送信時にメール送信先企業のポリシーに沿った対応で、添付ファイルを送信します。PPAPファイルを受信した際のウイルスチェックが欠かせません。メールでの添付ファイルの送受信の効率は落とさずに、脱PPAPを実現するソリューションを選択します。

メールをまとめて保存し、コンプライアンス対応する

全ての企業にとってコンプライアンス対応（法令順守）は不可欠です。コンプライアンス推進体制を整備し、教育・研修を通じて法令違反を防ぐことが求められます。また、コンプライアンスの対応状況のチェックも欠かせません。

サイバーソリューションズで実施した前述のメール誤送信の実態調査では、メール誤送信による情報漏洩事故が発生しても20代のビジネスパーソンの92%は、事故を報告していないことが判明しました。そのような状況に対応するため、コンプライアンス違反が発生した際にも、事実関係を調査するためのメールの送受信履歴を残すことで必要に応じて素早く該当メールを提出・報告できるようにしておくことが必要です。

メールセキュリティの目的別対策とは？

重要な情報が記載されたメールの宛先間違いや、内部情報の不正な持ち出しによる情報漏洩の被害、外部からの攻撃や誤送信による情報漏洩などを防止するために、メールセキュリティでは受信・送信の双方の対策を行うことが必要です。

危険なメールを受け取らない「受信対策」

危険なメールを受け取らない受信対策は、次の5つに分類されます。いずれかの対策だけを実施するのではなく、全ての対策を包括的に実施する必要があります。

事例
7,000アカウントのMicrosoft 365メールセキュリティオンプレからクラウドへ移行で運用管理を低減 | レオパレス21さま

受信したPPAPファイルのスキャン

受信したPPAPファイルをクラウド上で暗号を解除しスキャンすることで、PPAPファイル経由でのウイルスの侵入を防ぎます。

事例
メール、ファイルの無害化の作業負担がゼロに。PPAP対策も万全に、業務効率が格段にアップ | 茨城県五霞町様

なりすまし対策

SPF/DKIM/DMARCといった受信メールの信頼性を確認する認証技術を用いることで、送信者を偽装したフィッシングメールや詐欺メールの受信を防ぎます。

スパム対策（アンチスパム）

スパムメールを検知するスパムエンジンとホワイトリストやブラックリスト方式により迷惑メールを受信しないようにブロックします。

関連記事
今さら聞けない法人向けスパムメール対策とは

ウイルス対策（アンチウイルス）

複数のウイルス対策エンジンと最新のパターンファイル（ワクチン）で、メールに添付されているファイルにウイルスやマルウェアが含まれていないかチェックします。

サンドボックス

ウイルス対策では問題が検知されなかった添付ファイルをクラウド上のサンドボックスでチェックすることで、未知のウイルスの侵入を防ぎます。

人的ミスによる情報漏洩を防ぐ「送信対策」

メール送信者による自己承認

メール送信者が、メールを送信する際に承認画面にて内容の再確認をすることで、誤送信を未然に防ぐための機能です。承認保留中のメールは内容を確認し、送信の取り消しが可能です。

上長による送信メールのチェック

メールを送信すると、上長（第三者）に確認依頼が届き、上長（第三者）の承認後にメールが送信されます。送信者と上長（第三者）の2重チェックによる確認ミスを防ぎます。

送信メールを強制的にBCC

メールの宛先のToまたはCcに指定した件数以上のメールアドレスが含まれる場合に、自動的にすべての宛先をBCCに変換して送信することで、宛先メールアドレス（個人情報）の漏洩を防止します。

個人情報チェック

メール本文や添付ファイル内に個人情報が含まれていないかをチェックします。個人情報が含まれていた場合には、メール送信を保留にし関係者へ通知することで、情報漏洩を防止します。

送信メールの脱PPAP

メール送信先毎に、ファイルの分離送信、PPAP送信、通常送信、パスワード別経路送信などの複数の送信方法を、送信先ごとに細かく設定します。送信先の脱PPPA状況に応じたメールの添付ファイル送信を自動化します。

事例
Microsoft 365 対応の脱PPAP 添付ファイル分離送信の作業負担がゼロに（ネットワールド様）

送信保留

メール送信した後に一定時間送信を保留します。送信保留の時間内であれば、送信をキャンセルし、内容を編集できます。

すべてのメールを保管しインシデント発生に備える

メールの保存期間

電子帳簿保存法の改正により2024年1月以降、電子メールの保存が義務付けられました。請求書、領収書、納品書、注文書、見積書などをメールで受け取った場合はデータ保存の対象となります。取引書類は紙・メール・ダウンロードの3つの方式に分類して管理されることになっており、保管期間は7年間です。長期間なので、運用の規則やシステムの整備がポイントになります。

メールサーバとは別に、全てのメールを保管する「メールアーカイブ」を導入することで、コンプライアンス違反の事実関係の調査を迅速に行うことができます。

メール検索のしやすさ

送受信されたメールの調査では、調査対象のメールを迅速に探し出さなければなりません。メール本文のみならず、添付ファイルの内容も含めた検索性能が調査能力を左右します。

関連記事
メールのアーカイブは全てのメールを保管しリスクに備えること

メールセキュリティ対策の選び方

社内に不要な負担をかけないことを前提に、上記のメールセキュリティの目的別対策をふまえて、自社の環境に合わせたソリューションを選びます。送信先にも配慮した対応ができること、利用しているメールシステムに合わせたサービスを選ぶことが重要です。

企業の業務アプリとして利用されているクラウドサービスMicrosoft 365やGoogle Workspaceであっても、添付ファイル自動URL化機能・遅延送信やBCC強制変換のようなメールセキュリティ機能は十分ではありません。企業の情報資産をサイバー攻撃から守るために「情報漏洩対策」「標的型メール攻撃対策」「メールアーカイブ」「シングルサインオン」「アクセス制御」といったセキュリティ対策を付加することが不可欠です。それらMicrosoft 365/Google Workspaceの脆弱性を効率的に回避できるのが、サイバーソリューションズののCloud Mail SECURITYSUITE（CMSS）です。

月額200円でメールセキュリティ対策を実現できる法人向けソリューション

Cloud Mail SECURITYSUITE（CMSS）で、月額200円からMicrosoft 365やGoogle Workspaceのメールセキュリティを強化できます。

受信する全てのメールをチェックし、DMARCによるなりすましメールの受信防止、ビジネスメール詐欺やフィッシングメールの受信防止、ウイルス、マルウェア対策、迷惑メール対策、サンドボックス、受信時のPPAP対策も提供します。ご興味があればお気軽にお問い合わせください。

まとめ

メールを使った攻撃手法は常に変化しています。外部からの攻撃を防御し、内部からの人的にミスによる情報漏洩を防ぎながら、コンプライアンスに対応するためにも、メールセキュリティは全ての企業や団体にとって不可欠です。メールセキュリティの本質をとらえた対応と業務効率や生産性に適合したメールセキュリティを選定しましょう。

メールニュースを購読する