Exchange OnlineやGmailをはじめとするクラウド型のWebメールは、従来型のメールサーバーに比べて導入コストや運用・管理工数を低減できるため多くの企業が採用を検討しています。一方でクラウド型のWebメールにもセキュリティリスクがあることを忘れてはいけません。本記事ではクラウド型Webメールのセキュリティリスクとその対策についてご紹介します。
Webメールにおけるセキュリティリスク
クラウド型のWebメールはサービス提供ベンダーがセキュリティ対策を実施しているので自社でメールサーバー自体に対するセキュリティ対策を施す必要はありません。
しかし、セキュリティ対策を全てベンダー任せにするのは危険ですここではクラウド型Webメールにおける主なセキュリティリスクを紹介します。
フィッシング
「フィッシングメール」とは、正式な機関やサービスになりすました文面のメールを送ることで、個人情報を不正に入手しようとする悪質なメールです。本文に記載したURLから偽のWebサイトにアクセスさせ、パスワードや口座番号などを盗み取ろうとします。企業アカウントでフィッシングにかかると、重大な情報漏えいにつながる恐れが大きく、非常に危険です。
特に最近では、手口がますます巧妙になってきており、URLを正規のものから一部だけ変えたり、本物さながらの偽サイトも作られたりしています。ひと目ではフィッシングだと見抜きづらいメールもあるので、細心の注意が必要です。
マルウェア
迷惑メールには、広告・詐欺目的のものだけでなく、マルウェアが仕込まれたものもあります。「マルウェア」とは、ウイルスやトロイの木馬などをはじめとする、悪意あるソフトウェアのことです。
マルウェアに感染すると、データが破損したり、情報が漏えいしたり、あるいは操作を乗っ取られたりする恐れすらあります。また、1台のパソコンから社内ネットワークを通じて、次々に感染が拡大するケースもあるので、企業において対策は必須です。
誤送信
間違った宛先設定や誤った操作によって、意図しないメールを送信してしまうケースがあります。メールの内容によっては、重大な情報漏えいにつながりかねないため軽視できません。
さらに厄介なことに、メールの誤送信は外部からの攻撃ではなく、「従業員のミスで発生するもの」という点です。個々の従業員がどんなに細心の注意を払っていても、100%のリスク排除は不可能。必然的に、企業側のフォローが求められます。
メール消去
従業員のミスや悪意によって、重要なメールが消去される危険性もあります。完全に消去されてしまえば、以降そのメールは確認できません。
メールは、有事の際の証拠として扱われることもある重要なデータです。そうしたケースに備えて、メールの保護は確実に行っておきましょう。こうした重要なメールは、顧客や取引先とのメールに限りません。社内メールであっても、例えばセクハラやパワハラなどの証拠になることがあります。
Webメールにおけるセキュリティ対策
上記のセキュリティリスクに対し、企業はどのような対策をとればよいのでしょうか。ここでは、Webメールにおける代表的なセキュリティ対策を6つ紹介します。
クラウドサービスの多要素認証(MFA)
フィッシング詐欺の増加により「ID/パスワードは盗まれるもの」という前提での対策が求められています。ID/パスワードが万が一漏洩した際にも他の要素を認証に利用することで不正アクセスを防止することが対策として有効です。
具体的にはID/パスワードに加えて有効な証明書を保持している端末かどうかや、指定したネットワーク(グローバルIPアドレス)からのアクセスかどうかを判定して外部からの不正アクセスを防止する対策が可能です。Microsoft 365やGoogle Workspaceをはじめとするクラウドサービスではオプション機能として追加することができるものも多く、また比較的安価に利用できるサードパーティー製サービスもあります。ぜひ設定しておきましょう。
クラウド型のサービスであれば、導入も手軽に行えるのでおすすめです。
マルウェアのチェック
Exchange OnlineやGmailなどでは、添付ファイルのウイルススキャンは自動で行われています。しかし、これだけでは万全と言えません。インターネットに接続しているパソコンには、必ずウイルス対策ソフト(マルウェアチェックツール)をインストールしておきましょう。このとき、スマートフォンやタブレットも含めた、業務に使用している全デバイスの保護を徹底することが大切です。
また、最近ではEDR(Endpoint Detection and Response)と呼ばれるサービスを利用してデバイスに高いセキュリティ対策を行う例も増えてきています。
メール内のハイパーリンクへの警戒
迷惑メールのなかには、悪質なサイトへの誘導やワンクリック詐欺など、URLが記載されたものも珍しくありません。誤ってURLをクリックしてしまうと、前述のフィッシングやマルウェア感染など、多大なリスクを負うことになります。
また、HTMLメールを使った迷惑メールでは、記載されているURLとリンク先のサイトを別のものにするという手法もあります。そのため、HTMLメールにおいては、URLを確認したからといって安心できません。
そこで昨今、注目されているのが、「メールの無害化」です。メールの無害化とは、添付ファイルを削除・変換したり、URLのリンクを無効化したり、HTMLメールをテキストメールに変換したりする処理のことです。無害化を行うことで、メールセキュリティは飛躍的に向上します。一方で、添付ファイルのオリジナル版が確認できなかったり、正式なURLにもアクセスできなかったりするなど、利便性はいま1つです。
そこで、「あらかじめ許可していないURLにはアクセスできなくさせる」という機能が備わったセキュリティサービスがおすすめです。この機能があれば、誤ってリンクをクリックしてしまった従業員がいても、アクセス自体は防げるでしょう。
誤送信防止の仕組み構築
メールの誤送信対策としては、まずメールの運用ルールを定めることが重要です。代表的な運用ルールは以下の通りです。
- 宛先の入力候補表示を無効にする
- アドレス帳を社内/社外でグループ分けする
- 送信メールを一時保留する
- 第三者(上司など)によるチェックを挟む
これらはいずれも、誤送信を未然に防ぐ仕組みとして機能します。一度メールを送信してしまえば、基本的には取り返しがつかないので当然です。加えて、誤送信してしまった場合に備えることも重要です。誤送信を早期発見できるよう、社外宛てのメールであっても、社内関係者をCC/BCCに入れるなどの対策をとっておくとよいでしょう。
しかし、これらの運用ルールを定めていても、最終的に担当者に委ねられることは変わらないため、ヒューマンエラーのリスクを完全には排除できません。そこで次に、システムによる対策も講じましょう。HENNGE Email DLPのようなメールの一時保留や上長承認が機能として組み込まれたサービスを利用すれば管理者によって運用ルールをシステム的に徹底させることが可能です。
送信メールの暗号化
送信先アドレスを間違えるなどして、意図しない相手にメールを誤送信するリスクについては、メッセージや添付ファイルを暗号化することでも対策できます。暗号化メールと暗号化を解除するパスワードつきメールの2通を送ったり、あらかじめ取引先と固定パスワードを定めたりしておく仕組みです。
送信メールの暗号化は、誤送信対策だけでなく、メールの傍受や改ざんへの対策にもなります。送信されたメールは複数のサーバーを経由するため、その過程でセキュリティの甘い箇所があると、比較的容易に不正アクセスを許してしまいます。メールを暗号化していれば、不正アクセスがあったとしても、情報を読み取られたり手を加えられたりする心配がありません。
メールのアーカイブ
やり取りを終えたメールをすべて受信ボックスに残していると、一時的に不要なメールで受信ボックスが圧迫されてしまいます。とはいえ、そうしたメールのなかにも重要な情報が記されているものもあり、おいそれと削除はできません。そこで活用したいのが「アーカイブ」です。
アーカイブというとGmailのアーカイブ機能のようにメールボックスを整理する機能と思われる方も多いかと思いますが、法人メールでは監査用に送受信メールをメールサーバーとは別のサーバーで保管する機能を指すケースがほとんどです。
メールアーカイブはExchange Online ArchiveやGoogle Vaultのように多くのクラウド型Webメールのサービスベンダーが提供しているほか、HENNGE Email Archiveのような安価なサードパーティー製のサービスも提供されています。
まとめ
Webメールは高い利便性を持つ反面、いくつかのセキュリティリスクにさらされています。フィッシングメールやマルウェア、従業員によるメールの誤送信・削除などに注意しましょう。これらへの対策としては、セキュリティ対策ツールの導入などによる、フィルタリング設定やウイルススキャンの実施が有効です。
セキュリティ対策ツール導入の際は、本記事で挙げたポイントを満たしたサービスを選びましょう。キヤノンが提供する「GUARDIANWALL Mailセキュリティ・クラウド」やソースポッドが提供する「SPC Mailエスティー」はメール誤送信対策機能やメールアーカイブ機能を提供しています。ただ多要素認証などより広いカバー範囲を求めるのであればオールインワンコンセプトのHENNGE Oneもおすすめです。Microsoft 365やGoogle Workspaceとの親和性も高く、導入しやすいので、ぜひ検討してみてはいかがでしょうか。
