電子メールは今や多くのビジネスシーンで使われる基本的なコミュニケーションツールになっていますが、あまりに身近なツールであるがゆえに、大多数の方々がセキュリティ対策を怠っているのが現状です。そこで本記事では、ビジネスで電子メールを利用する際に行うべき基本的なメールセキュリティ設定についてご説明します。
メールセキュリティ設定の重要性
電子メールはビジネスで欠かせないツールですが、SMTP(Simple Mail Transfer Protocol)やPOP3(Post Office Protocol versison 3)といった送受信のプロトコルにはセキュリティ機能が付いていないため、何も設定を行わないまま利用すると安全性が低く大変危険です。
設定しない状態を放置すると、マルウェア感染による情報漏洩やビジネスメール詐欺などの被害に遭うリスクが高くなり、最悪の場合には金銭的な被害や自社の信用低下につながります。そのような被害を回避するためにも、日頃から全社的にセキュリティ対策を実施しておく必要があります。
メールのセキュリティ対策としては、一人一人がメールソフト側で暗号化や迷惑メールなどの設定を行う方法と、専用のメールセキュリティシステムを使い、メールサーバー側でセキュリティ設定を行う方法とがあります。セキュリティの度合いがより高いのは後者です。
メールセキュリティ設定の方法
では、メールセキュリティシステムを導入した後には、どのような設定が必要になるのでしょうか。サービスによって細かな設定が異なるため、ここでは導入後に必要となる設定方法の基本についてご紹介します。
インバウンドセキュリティの設定強化
ここでのインバウンドとは、インターネットなどの外部ネットワークから「入ってくる」脅威に対して社内資産を保護することを指します。
外から入ってくる具体的なリスクとしては、外部からの不正アクセス、大量のデータを送り付けるDoS(サービス拒否=Denial of Services)攻撃やDDoS(分散型サービス拒否=Distributed Denial of Service)攻撃、マルウェア感染などが挙げられます。
インバウンドセキュリティとして実施するべきなのは、ウイルスを発見したらすぐに削除または隔離を行う、あるいはスパムメールに警告を発するといった対応です。
たとえば、受信したメールの中に不審なURLが含まれていた場合、リンクを無効化することでフィッシングメールや標的型メールへの誘導を防ぎます。また、HTMLメールをテキストメールに自動変換することで、不正なプログラムの自動実行を防止できるのでマルウェアへの感染も防ぎます。
そのほか、メールセキュリティシステムでは対策レベルに応じたアクションが規定されているので、自社でどのレベルまで採用するかを設定できるものもあります。
その一つに、迷惑メールかどうかを判定する仕組みとして「スコアリング設定」があります。これは、メールに含まれる文言や送信元メールアドレスの偽装判定、ブラックリストへの掲載有無などの複数項目でメールごとに点数を与え、一定以上のスコアが付いたメールを迷惑メールとして処理するものです。
メールセキュリティシステムでは、管理画面上で何点以上のメールを迷惑メールとして扱うかを設定し、それを基に削除したり、あるいは件名で【SPAM】と警告しつつ個人のメールボックスに配送したりするなどの設定ができます。
安全性を優先し過ぎると、必要なメールまでスパム扱いになってしまい、利用する社員にとって不便になることがあります。定期的に状況を確認し、自社にとって適切なレベルになるように調整することが大切です。
アウトバウンドセキュリティの設定強化
アウトバウンドとは、社内のネットワークから「出ていく」情報を保護することです。
外部へ出ていくメールの具体的なリスクとしては、メール誤送信による情報漏洩、盗聴によるデータ流出などが挙げられます。
アウトバウンドセキュリティとして実施できるのは、メール送信時に一時保留する、電子証明書を付加する、暗号化する、ある条件に合致した場合は警告を表示するといった対応です。
たとえば、社員が顧客宛てにメールを送信した場合、システム側でのルールに基づき、メールをチェックします。条件に合わないメールは送信拒否する、管理者に報告するといった対応ができるため、誤送信のリスクが減少します。問題なく送信できた場合も、ログを一定期間保存するので、万が一何かトラブルがあった場合にも調査しやすくなります。
また万が一、PCがマルウェアに感染した場合には、速やかにエスカレーション(一般ユーザーが管理者などよりも上位の権限を持つこと=Escalation)する機能を備えているセキュリティ設定方法も増えています。
定期的なアップデートの実施
メールセキュリティシステムでは、マルウェアを検知して駆除または隔離を行います。
一般的なウイルス対策ソフトと同様に、メールセキュリティシステムでも新しい脅威に対応するためのパターンファイルがあります。どれくらいの頻度で設定の更新を行っているかを事前に確認すると、比較的安心・安全です。
なお最近では、導入の手軽さなどからクラウド型のセキュリティサービスも増えています。クラウド型では、サーバー側で常に最新版がアップデートされており、利用者は更新を意識しないですむので便利です。
メールセキュリティのトラブル窓口の設置
メールセキュリティシステムを導入することで、通常のメール送受信と異なる操作が必要になったり、通常より送信に時間がかかったりするなど、利用者にとって不便な点が発生するケースがあります。
また万が一、システム側でサーバー障害などの予測できないトラブルが発生し、送受信できなくなるリスクもあります。
そのようなリスクに備えて、何かトラブルが発生した場合に、社内で窓口となる部門・担当者を決めておくと対応がスムーズに進みます。システムベンダーによっては、電話ではなくメールやチャットのみで対応する場合もあるため、連絡方法や対応時間などを事前に確認しておくとよいでしょう。
まとめ
昨今利活用が進むクラウド型メールでは基本的なメールセキュリティの機能が実装されていますが、メールの誤送信対策については機能がないケースもあります。
そういった際にはHENNGE Oneのようなサードパーティー製のサービスを利用して送信フィルタリング等を実装することもできます。ぜひ検討してみることをおすすめします。
