ビジネスでGmailを利用している場合は、セキュリティ設定を徹底することが重要です。2段階認証機能の利用やChromeのアップデート、パスワード管理の徹底などを行い、情報漏洩を防ぐための対策が求められます。本記事では、メール利用時のセキュリティリスクや対策方法などについて説明します。
[RELATED_POSTS]ウイルスだけじゃない! 企業が抱えるメールのセキュリティリスク
電子メール(以下「メール」と表記)は多くの企業が日常業務でよく使用するツールであるため、セ キュリティには十分に気を使わなくてはなりません。メール運用時の安全性を高めるには、まずど のようなセキュリティリスクが介在するのかを把握しておくことが大切です。
不信なメールや添付ファイルによるリスク
企業がまず対処するべきメールのセキュリティリスクとして、不審なメールの受信が挙げられます。差出人が不明なメールや、取引先の担当者・顧客などになりすましたメールには注意が必要です。
こうした不審なメールの受信により、マルウェアに感染するリスクが高まります。マルウェアの仕込まれた添付ファイルを開封したことで感染してしまうケースは後を絶ちません。
フィッシング詐欺にも注意しましょう。これは、ターゲットを特定のWebサイトへ誘導し、情報や金銭を詐取しようとする詐欺です。近年は手口がますます巧妙化しており、実在するWebサイトそっくりの詐欺サイトに誘いこもうとするケースも見受けられます。
標的型メールへの対処も必要です。これは、通常の迷惑メールのように不特定多数に送信されるものではなく、ターゲットを定めた上でメールを用いて攻撃を行う手法です。ターゲットから確実に情報や金銭を詐取するべく、事前に念入りな下調べが行われているケースが多いため、注意しなくてはなりません。
なお、メールリスクやメールに必要なセキュリティについてより詳しく知りたい場合は、以下の記事にもぜひ目を通してください。
メールに必要なセキュリティの基本とは? メールリスクの種類や対策方法
https://www.cloud-security.jp/blog/neccesary-basic-security-for-mail
誤送信等による情報漏洩のリスク
他に注意するべきリスクとして、誤送信などによる情報漏洩も挙げられます。メールの内容によっては、漏洩によって自社だけでなく取引先や顧客などステークホルダーへも多大な不利益をもたらすため、注意が必要です。誤送信の多くは、人為的ミスによって引き起こされる事故です。「うっかり送る相手を間違えた」「CCに無関係の人のアドレスが含まれていたが、そのまま返信してしまった」「メールアドレスを手入力して打ち間違い、全く別のアドレスに送信してしまった」などのケースが考えられます。企業が保有するノウハウや顧客情報などの重要な情報が外部に漏れると、企業にとって大きな痛手です。それだけでなく、取引先をはじめ社会的な信頼も失いかねません。そのため、徹底した誤送信対策が求められます。
また、従業員によるメールの悪用がないとも限りません。実際、内部不正による情報漏洩の事例はいくつもあります。自社の従業員にまで疑いの目を向けるのは心苦しいかもしれませんが、リスクを少しでも軽減するには必要なことです。メールの誤送信と併せて、内部不正に伴う情報漏洩も考慮した上でセキュリティ対策を講じなければなりません。
Gmailのセキュリティ設定をしないと他サービスにも影響が及ぶ!?
Google社が提供する「Gmail」は、世界で最も人気のあるクラウド型メールサービスとして有名です。業務用のサービスとしては同社が提供する「Google Workspace」もありますが、Gmailを業務用として利用している企業も多くあります。
莫大なユーザー数を誇るGmailですが、利用者の多さはそれだけ「フィッシング詐欺や不正アクセスなどの標的になりやすい」というリスクへつながります。Gmailは優れたメールサービスですが、使い方を間違えるとセキュリティアクシデントを引き起こす危険性を含んでいるため注意が必要です。
また、Gmailは、同社のほかのサービスや、サードパーティのアプリやサイトとも連携することが可能です。万が一、Gmailに不正アクセスを許してしまうと、ほかのサイトや、サービスにまで影響が及ぶ可能性もあります。
このような事態を防ぐためにも、2段階認証機能の設定や、パスワード管理の徹底、セキュリティ診断、といったGmailのセキュリティ対策を徹底する必要があります。
Gmailのセキュリティ対策
Gmailは世界を代表するアメリカのIT企業Googleが提供するサービスで、デフォルトの状態で強固なセキュリティが実装されています。複雑なパスワードを設定し、2段階認証機能を有効にすることで高いセキュリティ性を得られます。また、定期的なセキュリティ診断の実行、アカウントやパスワード管理の徹底も重要です。
2段階認証機能の利用
「2段階認証機能」とは、アカウントのセキュリティを強化するための仕組みです。通常のログインで必要な情報はユーザー名とパスワードだけですが、2段階認証ではパスワードに加えて、Googleから携帯端末に送られてきたコードを入力する必要があります。2段階認証を設定することでログインに必要な情報量が増えて複雑化するため、あらゆる文字列の組み合わせを総当たりするブルートフォースのような方法では、パスワードを不正に取得してもログインすることはできません。
Googleアカウントで2段階認証機能を有効にする方法は以下の通りです。
Googleアカウントを開きます。
ナビゲーションパネルで[セキュリティ]を選択します。この時点で本人確認をまだ行っていない場合は、本人確認を行う必要があります。
[Googleにログインする方法]項目から[2段階認証プロセス]>[使ってみる]を選択します。
画面の指示に沿って手順を完了します。
・「参考サイト」
セキュリティ診断機能の利用
Googleが提供しているサービスのひとつに「Googleセキュリティ診断」があります。これは利用しているGoogleアカウントにセキュリティ上の問題がないかチェックするサービスです。もし問題発生している場合には、Gmailアドレスか、再設定用に登録しているメールアドレスに通知されます。
ここでは主な4つの項目について確認しましょう。
お使いのデバイス
アカウントに紐づいているデバイスが表示されます。長時間使用していないデバイスがある場合などは安全のために削除することを促されます。
ログインと再設定
本人確認を行う方法を管理します。電話番号や再設定用メールアドレスを登録することで、セキュリティを高めることが可能です。
最近のセキュリティイベント
最近実行されたセキュリティイベントの履歴を閲覧できます。例えば、新しいデバイスからのアカウントへのアクセスなどが、ここに表示されます。
サードパーティによるアクセス
アカウントにアクセスすることを許可された外部アプリやサイトが表示されます。身に覚えがないアプリやサイトが許可されている場合は、アクセス権限を削除することも可能です。
これらの機能は、ユーザーの利用状況にあわせて問題の通知と改善を促してくれるので、必ずチェックしましょう。
Gmailの設定確認
自身のアカウントに他人がアクセスできる状況では、いつ情報漏洩などの事故が発生しても不思議ではありません。このようなリスクを軽減するために、Gmailの各種設定が適切にされているかを確認しましょう。
まずは、送信するメールの最後に追加される署名の内容が正確かどうかを確認します。Gmail画面右上の歯車マークから[すべての設定を表示]→[全般]タブと進み、署名の内容を確認しましょう。
次に、[アカウントとインポート]タブの[名前]欄に表示されているメールアドレスが自分のものであるかを確認します。また、[アカウントへのアクセスを許可]欄で、他人が自身のアカウントへアクセスできない設定なっているかをチェックしましょう。
転送の設定も要チェックです。[フィルタとブロック中のアドレス]タブから、不明なアカウントへ転送フィルタを介してメールが転送されていないかを確認します。[メール転送とPOP/IMAP]からも同様にチェックしましょう
Chromeのアップデート
Google Chromeブラウザのバージョンをアップデートするのも、Gmailのセキュリティ向上に有効です。Chromeをアップデートせずに古いバージョンのまま使用していると、脆弱性を突くサイバー攻撃のターゲットになり得るため、注意が必要です。
Chromeを立ち上げたら、右上の「その他」アイコンから[ヘルプ]→[Google Chromeについて]へと進みます。新たなバージョンがリリースされている場合、自動的にアップデートが行われるため、完了するまで待ちましょう。完了すると、「アップデートが適用されました。更新の完了にはChromeを再起動してください」とメッセージが表示されるので、Chromeを再起動します。
ビジネス用メールアカウントの厳正な管理
Gmailはその利便性の高さからビジネスシーンで利用している企業も多くあります。しかし、業務用に使用しているGmailアカウントが不正アクセスを受けると、企業機密や社員の個人情報、さらには顧客情報などが漏洩する恐れも生じます。そこで、ビジネス用メールアカウントを厳正に管理することでセキュリティ強化を図りましょう。
具体的な対策としては、業務用Gmailアカウントを外部に漏らさないということが重要です。アカウント自体が知られていなければ、不正アクセスに遭う可能性も最小限にできます。プライベート用のアカウントと、業務用のアカウントは必ず分けるようにしてください。独自ドメインを使用して送信相手にGmailを使っていることを知られないようにすることも有効です。
セキュリティ診断機機能を使用して、不正利用の兆候がないか定期的に確認することも重要です。アクティビティに異常が見られた場合は、パスワードの変更、もしくはアカウントの削除といった対策を取る必要があります。
Googleアカウントの管理画面で、特定のサービスだけを利用できないようにすることも可能です。異常が発見されたアカウントではGmailを利用しないよう設定しましょう。
パスワード管理の徹底
パスワード管理の徹底は、セキュリティについて最も重要な、基本事項です。シンプルかつ有効な方法は、定期的なパスワード変更です。同じパスワードを使い続けると、セキュリティリスクは飛躍的に高まります。
また、自分の名前や誕生日、会社名や電話番号など、個人情報から推察されてしまう可能性があるパスワードは厳禁です。もちろん、預金通帳やクレジットカード、携帯電話やパソコンなどで同じパスワードを使い回すのも避けましょう。パスワードは基本的に、アルファベットの大文字と小文字、数字などを組みあわせて複雑化するほど強力です。なるべく単語としての意味を持たない文字列を使い、文字数も長ければ長いほど強力です。
パスワードの管理方法には大きく分けて2つあります。紙媒体での管理とデジタルデータでの管理です。
紙媒体での管理は、万が一パソコンやデータファイルが破損しても失われないというメリットがある一方で、紛失や紙の劣化による視認性の低下というデメリットが生じます。また、盗難されるリスクもあります。
逆にデジタルデータで管理する場合は、半永久的にデータを保管できるというメリットがあります。ただし、パソコンの破損によりデータが失われる危険性はあるため、HDDやクラウドなどに分散して保管するとより安全です。
詐欺、スパム、フィッシングの報告
送られてきたメールが、詐欺やスパム、フィッシングである可能性を感じた場合は、何らかのアクションを起こすことは控えましょう。返信しないのはもちろん、添付されているファイルにも触らないほうが安心です。また、不審なリンクが記載されているケースでは、クリックしないようにしましょう。
Gmailのヘルプページでは、不要なメールのブロック方法や、詐欺を回避して報告する方法を公開しています。詐欺を回避して報告する方法では、テクニカルサポートを偽装する手法の詐欺やGoogle広告になりすました詐欺など多種多様な手口が紹介されており、基本ルールや対策、報告方法などの解説も記載されているので、参考にしてください。
(参照元:https://support.google.com/mail/answer/7036019)
Gmailのセキュリティ設定では不十分!?強化する方法は!?
Gmailはセキュリティに優れたサービスであるものの、無料ツールであるため万全とは言い難いです。より安全にGmailを運用するためには、各種ソリューションを導入してセキュリティを強化しましょう。
Googleの有料セキュリティキーの導入
Googleは、Gmailの安全性をさらに高められる有料のセキュリティキーをリリースしています。「Titanセキュリティキー」は2段階認証(2要素認証)を物理的に行えるデバイスであり、導入することでGmailを始めとする各種Googleサービスの利用時における安全性をさらに強化することが可能です。
物理キーを端末のUSBポートへ接続することで、2要素認証が行えます。これにより、フィッシング攻撃などによるアカウントの乗っ取りリスクを軽減することが可能です。
クラウド型メールセキュリティHENNGE One E-Mail Securityの導入
万全なセキュリティ体制を望んでいる場合は、「HENNGE One E-Mail Security」の導入をおすすめします。これはクラウド型のメールセキュリティソリューションであり、Gmailのセキュリティだけでは足りない部分を補完し、メールの安全な運用を実現します。
標的型攻撃にも対応
送受信されるメールをリアルタイムでスキャンし、脅威を未然に検知します。フィッシングやランサムウェア攻撃といった標的型攻撃に対応しているため、安全な環境下でのメール運用が可能です。
GmailだけでなくMicrosoft 365にも対応しています。そのため、TeamsやOneDriveにアップロードされたファイルもスキャン対象です。
誤送信を防ぐフィルタ
HENNGE One E-Mail Securityにはメールの誤送信を未然に防げる機能も搭載されています。例えば、メール送信時に一時的保留する機能を活用することで、事前に送信メールをチームメンバーに確認してもらうことが可能です。また、特定のアドレスから社外へメールを送った際は任意のアドレスを自動的にBCCへ追加する機能では、退職予定の従業員が機密情報を社外へ漏らしていないかのチェックに有用です。取引先やシーンごとに柔軟な設定ができるため、メールの誤送信が頻発している現場に適しています。
メール監査と証跡調査
メール監査機能により内部不正対策が実施できます。従業員の不正行為を未然に検知できるため、情報漏洩リスクを軽減できます。
また、送受信されたメールを長期保存できるのも大きな特長です。メールのアーカイブを残せるため、誰がどこへメールを送信したのかを保管でき、情報漏洩が発生した際の証跡調査に役立ちます。
まとめ
Googleメールは世界一有名なメールサービスといっても過言ではなく、そのセキュリティも非常に強固なものとなっています。しかし、強力なパスワードの設定や2段階認証機能などはユーザー側が任意で設定するものですので、利用する側のセキュリティ意識が問われます。業務でGmailを使う場合、高度なセキュリティ対策は必要不可欠ですが、その場合には全ユーザーのセキュリティレベルを統一できるHENNGE Oneのようなセキュリティサービスを追加することもおすすめです。HENNGE Oneを利用すれば一律の多要素認証設定やメール誤送信対策も可能ですのでぜひ検討してみてください。
業務で Gmail を使う場合、高度なセキュリティ対策は必要不可欠です。万が一、情報漏洩のような事故が発生した場合、企業が受けるダメージは決して小さくありません。Gmail のセキュリティ設定だけでなく、Google のセキュリティキーやメールセキュリティ強化に役立つソリューションの導入なども、この機会に検討しましょう。
- カテゴリ:
- メールセキュリティ