企業の6割がメールシステム、Microsoft 365 を採用しています。(「企業のメールセキュリティへの取り組みに関するアンケート調査」2024年1月、サイバーソリューションズ株式会社調べ)
業務でのコミュニケーション手段として欠かせないメールには、セキュリティ対策も欠かせません。 Microsoft 365 のメール送受信は Exchange Online で利用できますが、Exchange Online に備わっているセキュリティ機能は、昨今脅威の増しているセキュリティリスクには完全とはいえません。この記事では、Exchange Online のセキュリティリスクと解決策について紹介します。
目次
Exchange Onlineとは?
Exchange Onlineは、クラウドで提供される安全性の高いメール&スケジュールのサービスで、グループウェアとして利用できます。Microsoft 365のメール機能、スケジュール管理、連絡先、タスク管理などの機能をメールクライアントのOutlookと連携して利用できます。
送受信されたメールのデータを自動でバックアップする機能や誤送信防止機能なども搭載しています。
Exchange Onlineの特徴は次の通りです。
- メールボックスの容量は50GB
- デバイスからメールにアクセス可能
- チームメンバーのスケジュールを共有可能
企業のメールセキュリティへの取り組みに関するアンケート調査(2024年1月、サイバーソリューションズ株式会社)の調査結果によると、企業のメール・チャット・グループウェアはいずれもMicrosoft 365 が6割以上のシェアを占め、企業規模が大きいほどMicrosoft 製品の導入率が高いことが明らかになりました。
出典:企業のメール環境とセキュリティ対策の実態調査 2024 より作成
高まるメールセキュリティの重要性
メールはビジネスに不可欠なコミュニケーション手段であると同時に、情報セキュリティでの大きなリスクとして認識されています。メールを入口にしたサイバー攻撃やランサムウェアやEmotetなどのマルウェア感染が頻発している他、従業員のメール誤送信やPPAP問題なども無視できなくなっており、メールのセキュリティ対策は最重要のセキュリティ課題です。
メールによるサイバー攻撃では、取引先や従業員を偽装した「なりすましメール」を通じて引き起こされるランサムウェアの被害が後を絶ちません。ランサムウェアとは、なりすましメールに添付されたファイルの開封時にPCやサーバ、ネットワーク内のシステムやデータが不正に外部送信されて暗号化され、それを復旧するために巨額の金銭を要求されるマルウェアで、昨今被害が深刻化しています。
さらに、従業員がメールの宛先を間違えて個人情報や機密情報を外部に送信する「誤送信」も増えており、日常で起こりがちなミスで組織の信頼性が損なわれるリスクは大きくなっています。
関連記事:【メールセキュリティ最前線】その目的はウイルス感染防御と誤送信防止、コンプライアンス対応にあり
Exchange Online でできるセキュリティ対策
これらのメールにおけるセキュリティの脅威へ対処するために、Exchange OnlineにはExchange Online Protection(EOP)というメールセキュリティサービスが標準で搭載されています。
マルウェア対策
Exchange Online Protectionは、メール経由で侵入する既知のマルウェアを検知し排除する機能を備えています。また、送信するメールや添付ファイルを監視し、マルウェアが検知された場合はメッセージを削除します。
スパムメール対策
Exchange Online は独自の高度なスパムフィルタリング機能により、不要な広告や迷惑メールを排除します。その排除機能のレベルは組織のセキュリティポリシーに合わせて調整できます。
なりすましメール対策
Exchange Online は、DMARCの機能も搭載しています。DMARCはメールのドメイン認証技術のひとつで、メール認証プロトコルSPF とDKIMの設定を組み合わせて、実在する組織になりすました不正な送信元ドメインからのメール受信を防ぎます。
誤送信の防止
Exchange Online には、誤送送信を防止するための複数の機能があります。組織外の受信者を To/CC に指定すると警告を発する「メール ヒント」、送信ボタンを押した後に指定した時間だけ送信を遅らせることができる「遅延送信」、特定の条件の場合に上長の承認後にメールを送信するといった処理を設定できる「トランスポート ルール」、個人情報等の機密情報を自動検出する「データ損失保護」、メール内容を暗号化する「Office 365 Message Encryption」の5つです。
セキュリティグループによる管理
Exchange Onlineでは「セキュリティグループ」と呼ばれるグループ機能を使ってユーザのセキュリティを保護します。グループごとにセキュリティレベルや権限を設定できることから、ユーザ全体のセキュリティレベルを統合的に管理できます。
Exchange Online に残るセキュリティリスクと課題
Exchange Online と Exchange Online Protection は、信頼性の高いクラウドメールとメールセキュリティサービスですが、すべてのメールの脅威には対応できません。では、Exchange Online にはどのようなセキュリティリスクがあるのでしょうか?
ランサムウェアや未知のマルウェア対策への課題
日々、高度化するランサムウェアなどのサイバー攻撃に対処するためには、従来のセキュリティ対策技術で採用されている「パターンマッチング」処理だけでは、ランサムウェアや未知の脅威へのリスクがあります。
パターンマッチング処理は、既知のマルウェアの攻撃パターンやデータを「シグネチャ」としてデータベースに登録し、脅威の可能性が疑われるファイルにシグネチャと同じパターンとのマッチング処理を行います。
サイバー攻撃に用いられるマルウェアは新しいものが1日に10万以上も作られており、その攻撃の手段は高度化、複雑化、巧妙化しています。これらの新たに生まれた「未知の脅威」をシグネイチャへ登録し、検知できるようになるまでには時間差があります。
「未知の脅威」は、パターンマッチング処理では検知できないことから、セキュリティ対策をすり抜け、マルウェアに感染し情報漏洩やシステム破壊などのセキュリティ侵害の被害をもたらします。
この「未知の脅威」を検知するには、「サンドボックス(sandbox)」と呼ばれるセキュリティ対策を導入します。サンドボックスとは、隔離された仮想のコンピュータ環境で、添付ファイルを実行したり、メールや添付ファイルのリンク先URLにアクセスし、それらの挙動やふるまいをもとに脅威を検知します。サンドボックスのメリットは、シグネチャが登録されていない未知の脅威を検知できる点にあります。
ランサムウェアなどの未知の脅威には、このサンドボックスが有効ですが、Exchange Online Protection(EOP)の標準のメールセキュリティにはサンドボックスが付随していないことから、Exchange Onlineでサンドボックスを導入するには、ユーザあたり月額 8,205円のMicrosoft 365 E5 ライセンスが必要です。
サイバーソリューションズが提供するCloud Mail SECURITYSUITE(CMSS)は、お使いのMicrosoft 365にユーザあたり月額200円で、サンドボックスを含んだ高度なメールセキュリティの受信対策を導入できます。CMSSは、Exchange Onlineと連携したセキュリティ対策なので、ユーザが利用しているOutlookやパソコンへの対策製品のインストールなどは不要です。
PPAP問題
「PPAP」とは、外部にファイルをメールで送る場合、暗号化したzipファイルを送信後、パスワードを別メールで送付する手法です。このPPAPの問題点は、ZIPファイルが暗号化されているとセキュリティ対策ソフトで中身を解析できない点にあり、受信ファイルがウイルス感染していても、そのまま受信者に届けられてしまう可能性があります。
Exchange Online の標準機能ではPPAPに対応していないため、PPAP経由でマルウェアが侵入するリスクがあります。また、メール経由で添付ファイルを送信する際に、受信先のポリシーに合わせて脱PPAPのメール送信を行うことも負担になります。
アーカイブしたメールの検索や監査
Exchange Onlineでは、全てのメールを保管したメールを検索するには、Microsoft Purview コンプライアンス ポータルのコンテンツ検索電子情報開示ツールを使用します。このツールを利用するためには、「電子情報開示マネージャー」の役割グループでメンバーの権限を設定する必要があります。また検索性、検索結果の確認の容易性や抽出には手間と時間がかかることから、迅速な調査や監査には課題が残ります。
関連記事:
- Microsoft 365 メールセキュリティの課題と対策
- Exchange Online Protection とは? Microsoft 365 に標準で搭載されているメールセキュリティについて徹底解説
Exchange Online のセキュリティリスクを解消する方法
Exchange Online のセキュリティリスクを解消するには、Microsoft 365 のプラン変更によるセキュリティ強化の他に、別途セキュリティサービスを連携させる方法があります。
例えば、メールのフィルタリングや誤送信対策を強化したい場合は、サードパーティのサービスを利用してもいいでしょう。セキュリティを強化したい内容をピンポイントに安価で対策できるため、メリットがあります。
Cloud Mail SECURITYSUITEで対策
Cloud Mail SECURITYSUITE(CMSS)は、Microsoft 365 をはじめとしたクラウドサービスのメールやアプリのセキュリティを強化するサービスで、マルウェア対策、なりすましメールやビジネスメール詐欺、フィッシングなどの迷惑メール対策、未知の脅威防御、脱PPAP、メールアーカイブをオールインワンで安価に提供します。
詳しくは、Cloud Mail SECURITYSUITEのサービスサイトをご覧ください。
7,000アカウントのMicrosoft 365メールセキュリティ対策事例
不動産大手のレオパレス21様は、Microsoft 365で約7,000のメールを運用していましたが、 メールセキュリティは3社4製品をオンプレミスで運用していました。2021年頃から、一部の取引先より脱PPAP対応を求められたことをきっかけに、メールセキュリティのクラウド化を推進し、従来のセキュリティ対策を踏襲し、脱PPAPを実現しながらコストの妥当性を評価しCMSSを導入しました。最新の脅威を防御とメールセキュリティの運用・管理工数を削減できました。詳しくは、レオパレス21様の事例をご覧ください。
Microsoft 365 脱PPAPの負担がゼロになった事例
ITソリューションのディストリビュータ大手のネットワールド様は、PPAP廃止の機運が高まる前から、クラウドストレージを経由した添付ファイル対策を導入していました。しかし、運用は運用は従業員任せになっており、脱PPAPでの添付ファイルの送信には、月間20時間の負担がかかっていました。
本質的な脱PPAPに対応するために、複数の製品やサービスを選定した結果、Microsoft 365に対応し、取引先の要望に合う方法で送信でき、低コストで導入できることからCMSSを採用しました。取引先の要望への対応と自社のセキュリティを強化できました。詳しくは、ネットワールド様の導入事例をご覧ください。