企業がクラウドのメールサービスを利用するのが一般的となった現在ですが、クラウドを通して個人情報や機密情報を含むメールのやりとりをする機会が多くなる分、企業ごとにメールのセキュリティ対策を実施する必要があります。
送受信におけるセキュリティリスクを把握した上で、メールサービス側のセキュリティ対策に依存するだけでなく、自社側でも送受信に対するきちんとしたセキュリティ対策を行いましょう。メールセキュリティ対策を実施するための考え方を解説します。
メール送受信に伴うセキュリティリスクと対策について
クラウドのメールサービスを利用する際は、メール送受信に伴うセキュリティリスクを理解し、適した対策を行う必要があります。まずは具体的に考えられるセキュリティリスクや対策方法についてご紹介します。
マルウェア・フィッシング
メールの受信時には、さまざまな方法で情報漏洩の危険性が迫ってきます。スパムフィルタや一般的なウイルス対策で、ある程度の危険性を防ぐことができますが、最近ではメールに添付されたファイルからウイルス感染が広がるマルウェアや、偽サイトへ誘導後に個人情報を抜き取るフィッシングメールによる被害も多く確認されています。
マルウェアやフィッシングメールの場合、受信者が開きやすいようなメールの文面とともにファイルやURLが添付されているため、スパムフィルタやウイルス対策では防ぎきれないこともあります。こういった盲点を突く有害なメールを防ぐためにも、コンテンツごとに踏み込んだセキュリティ対策が必要とされています。
傍受・盗聴
クラウドのメールサービスに不正アクセスされてしまうと、メールの盗み見による情報漏えいが発生します。また、メールの送受信なども可能となるため、さらなる攻撃メールの踏み台となる可能性もあります。
第三者による不正アクセスを防ぐためには、適切なアクセス制御が必要になります。HENNGE Oneのようなクラウド型認証基盤を利用することで、IP制限だけではなく、デバイス証明書や二要素認証といった、利便性と安全性のバランスが取れたセキュリティ対策が可能となります。
誤送信・なりすまし
現在でも、ファイルの受け渡しをメール添付で行っている企業が多く、誤送信により情報が漏えいしてしまう危険性が十分考えられます。一方、誤送信でなく、相手がなりすましであった場合も、直接メールにファイルを添付していれば自ら情報漏洩をしてしまうことになります。
誤送信を防ぐためには、自社のセキュリティポリシーに沿った運用ルールを設ける、アドレス帳を整理するなど、誤送信しやすい環境をなくすことに注力しましょう。誤送信やなりすましは、個人だけでは見抜けないこともあるため、常に送受信するメールを第三者が確認できるような環境を設けることも大切です。
クラウド環境でのメールセキュリティに求められる機能
上記のようなセキュリティリスクに対応するためにはどのような機能が必要となるのでしょうか?クラウド環境でのメールセキュリティに求められる機能をご紹介します。
受信のセキュリティ対策
有害なメールを阻止するためにも、受信側のセキュリティ対策はとても重要です。中でも基本的なウイルス対策やスパム対策は必須です。
ウイルス対策としてソフトを導入することで、マルウェアの感染を防ぐことができるのはもちろん、自らが発信者となりマルウェアを拡大してしまう危険性を抑えることも可能です。
スパムメールは、受信者が無視またはブロックすればリスクを回避できるものではありますが、万が一本文に記載されたURLや添付ファイルを開いてしまうと、パソコンが乗っ取られる危険性を持っています。
プロバイダやGmailなど使用しているクラウドサービスによっては、サーバー側で自動的にスパムメールを検知して処理する機能を所有していることも多いため、活用するようにしましょう。これに加え、利用者側も特定のメールアドレスを受信拒否したり、スパムメールフォルダへ自動振り分けしたりできるように、あらかじめ設定しておくとより安心です。
さらにフィッシングメールなどの標的型攻撃と呼ばれるメール攻撃からの防御も必要です。メールの本文や添付ファイルに含まれる危険性を検知するためには、メールの無害化を実現しましょう。無害化では、添付ファイルに含まれているテキストを抽出して、メール本文に反映したり、メール本文や添付ファイルの内容を画像ファイルにしたりすることで確認できます。また、URLを開けないように設定したり、削除されるように設定したりする方法もあります。
このように有害なメールを検知する機能を活用して、メールを開かないようにすることが最も大切です。
送信のセキュリティ対策
従来型のメールセキュリティは受信側への対策がほとんどであり、利用者も受信側のセキュリティ対策に注力することが多かったのですが、情報漏洩対策やコンプライアンスを守るという点では、送信側の対策が極めて重要となります。
特に誤送信により情報漏洩してしまうケースは多いため、ヒューマンエラーが起こらないよう運用ルールで対策を行うことに加え、システムによる対策を併せて取り入れるようにしましょう。
システムから誤送信を阻止するには、宛先のオートコンプリート機能をオフにしたり、送信キャンセルができるよう送信の後の一時保留機能を活用したりしましょう。さらに特定の取引先とだけ送受信する場合は、限定されたアドレスにのみ送受信ができるよう、ネットワークや端末による制限をかけると、より誤送信のリスクを抑えることができます。
それでも、ヒューマンエラーによる誤送信の可能性を完全になくすことはできません。万が一誤送信が発生した場合は、素早い対応が求められます。ここで活用したいのが監査機能やアーカイブ機能、また暗号化機能です。送信後のデータを監査、保存することで誤送信を素早く見つけ出すことができ、誤送信への対応がしやすくなります。また、監査機能やアーカイブ機能があることを周知することは、誤送信の抑制にも効果的であるといわれています。一方、添付ファイルの暗号化機能を使うことにより、誤送信された場合にもパスワードがわからなければファイルを複号化できないようにすることができます。誤送信を未然に防ぐことが第一ではありますが、「誤送信する可能性はなくならない」と考えた上での対策も必要となるでしょう。
クラウド環境でのメールセキュリティ製品を選ぶポイント
今後もクラウドを活用していく上で、メールセキュリティ製品の導入を検討している方も多いでしょう。クラウドでのメールセキュリティ製品を選ぶ際に着目したい3つのポイントをご紹介します。
フィルタリング性能
はじめに、メールを選別、振り分けるためのフィルタリング性能がいかに優れているかをチェックしましょう。スパムメールやウイルスにも多様な種類があり、残念ながら日々新しいスパムやウイルスが発生し続けています。より多くの有害なメールを阻止するためには、常にセキュリティ製品のデータベースが最大かつ最新の状態であることが求められます。
統合的なセキュリティ環境
メールセキュリティ製品によってはメールの送受信どちらか一方のセキュリティ対策にしか対応していないケースもありますが、両方のセキュリティ対策を向上させるには、クラウド・オンプレミス両方に対応した総合的なセキュリティ環境が必要となります。また、クラウド環境ではメールそのものだけでなく、メールサービスを利用するためのパスワードやアクセスの管理も求められるため、包括的なセキュリティ対策が求められます。メールセキュリティ製品がカバーするセキュリティの範囲内をきちんとチェックしましょう。
サポート体制と言語
メールセキュリティ製品を使用する上で、利用者へのサポート体制がきちんと整っているかを見極めることも大切です。サポートの技術水準の高さやレスポンスの早さなどは、万が一問題が発生した場合に重要なポイントとなります。また、適切なサポートを受けるためにも、日本語での対応が可能かどうかの確認が必要です。万が一の時に頼れる事業者であるかどうかをしっかりと見極めましょう。
「メールセキュリティソフトとは? その基本的な機能や導入メリット」もご参考にしてください。
まとめ
クラウド環境におけるメールセキュリティでは、部分的なものではなく送受信に関わる問題からメールサービスそのものにおけるセキュリティ対策まで、包括的な対策が必要となります。
HENNGEが「HENNGE One」では本日ご紹介したメールセキュリティ対策のうち送信メールへのセキュリティ対策機能を提供しています。
メールの一時保留や第三者による確認、送信停止、添付ファイル暗号化機能を網羅しており、メール誤送信対策を容易に実装できます。
安心してクラウドメールが利用できるよう、このようなセキュリティ対策を取り入れてみませんか?
