メールセキュリティの必要性とメール送信時の脅威について解説
2022年2月18日公開 (最終更新日:2022年2月18日)
メールセキュリティとは、外部からのメールを使った攻撃を防ぐための対策です。ビジネスにおいて日常的に使われているため、攻撃者にとってはそれだけ攻撃機会が増え、手法はさまざまです。企業にとっては近年大きな脅威となっています。ここでは脅威やセキュリティ対策について紹介します。
目次
メールセキュリティとは?
メールセキュリティとは、メールを使った外部からの攻撃を防ぐための対策です。同時にメールの誤送信を防ぐなど、人的ミスによる情報漏れを防ぐことも含まれます。ビジネスではメールによる連絡が不可欠という方も多いですが、安全にメールで情報をやりとりするための対策がメールセキュリティです。
メールセキュリティの必要性
メールは利用者の多いツールです。そのため、メールを狙ったサイバー攻撃は多く、新しいマルウェアが毎日登場しています。業務メールや知人からのメールを装い、個人情報を盗もうとする方法も増えていて、対策をせずにメールを使い続けることはリスクが高いでしょう。
情報漏洩の脅威
メールセキュリティでは情報漏洩への対応が重要です。どのようにして情報が漏洩するのか紹介します。
サイバー攻撃
メールを狙ったサイバー攻撃とは以下のようなものです。
- 不特定多数をターゲットとした攻撃(フィッシングメールなど)
- 標的型攻撃(ビジネスメール詐欺など)
- メールの盗聴
フィッシングメールはオフィシャルサイトを装った偽サイトに誘導し、ユーザーID、パスワードなどのアカウント情報、口座情報などを盗み出そうとする詐欺メールです。企業向けではクラウドサービスのアカウント情報を入手して機密情報を盗み出すものです。また、標的型メール攻撃のための情報を仕入れるといったケースもあります。
標的型攻撃とは、特定の企業や団体をターゲットにした攻撃です。関連団体や取引先相手などの名前を使い、業務メールを装ったメールを送ることで、添付ファイルを開かせウイルスに感染させたり、機密情報を盗み出そうとします。さらに、ビジネスメール詐欺は、自社の経営者や取引先企業を名のり、金銭を騙し取ることを目的としたものです。
メールの盗聴とは、何らかの方法でメールを盗み見する方法です。ログインIDやパスワードが漏洩すると、他者がアカウントをのっとることもできます。過去のメール情報まで読まれてしまったり、アカウントがビジネスメール詐欺に悪用されたりすると被害が拡大する恐れがあります。
ウイルス感染による情報漏れ
ウイルス感染による情報漏洩は、大きく分けて2種類あります。
- 情報を特定のサイトに自動で転送する
- インターネット上に情報を公開する
情報を自動で転送するものには、キーロガーと呼ばれるキーボード入力した情報を記録するものもあります。自動で転送するタイプのウイルスに感染していても、コンピューターの画面や動作に影響はほとんどないため、利用者は感染に気づきにくいのもポイントです。
インターネット上に情報を公開された場合、その情報をインターネット上から完全に消すことは難しいです。
人的ミスにより情報漏れ
人為的ミスによる情報漏れは、誤送信によるものです。誤送信にも2つのパターンがあります。
- 送信先メールアドレスの入力を間違える
- 送信予定ではなかった情報を送信する
送信先メールアドレス誤りには、メールアドレスの入力ミスのほか、以外にもBCCで送るべきときにCCで送信してしまう例もあります。
メールセキュリティ対策の種類
メールセキュリティ対策にはいくつかの種類がありますので紹介します。
メールや添付ファイルの暗号化
メールを送信する際に暗号化することは、メールセキュリティ対策になります。メールの内容を暗号化する効果は以下のような点です。
- 盗聴……メールの内容を見られないようにする
- 改ざん……メールの内容を変えられないようにする
- なりすまし……本来の送信者になりすまして、メールを送信されないようにする
メールの暗号化には2つの方法があります。
- TLS/SSL
- S/MIME
TLS/SSLはインターネット上でデータ通信を暗号化して送受信する仕組みです。一度設定するとすべてのメールを暗号化することができて便利ですが、なりすましの対策はできません。
S/MIMEは電子署名を利用した暗号化技術で、なりすまし対策もできますが、手順が比較的複雑に感じる人もいます。
ウイルス対策ソフトの導入
ウイルス対策ソフトをPCにインストールして、メールセキュリティを高め、PCをウイルス感染から守る方法もあります。同時に社内のほかのPCへの感染拡大も防げるのがメリットです。ウイルス対策ソフトではウイルスの検知と除去を行います。次々と生まれる新しいウイルスを検知できるようにするためには、常にウイルス定義ファイルを最新化の状態に保つことが重要です。
メールセキュリティ製品の導入
メールセキュリティ製品にはクラウド型、ゲートウェイ型、エンドポイント型などの提供形態の違いがありますが、代表的な機能は4つです。
- スパム対策……迷惑メールを自動で見極め、受信しないようブロックする
- メール無害化……メールに添付されるファイルやURLをチェックし、脅威となるものを無効化する
- メール暗号化……メール本文や添付ファイルを暗号化して盗聴を防ぐ
- 誤送信防止……一時保留、送信条件設定など人によるミスを抑止する
定期的な社員教育
人為的なミスによる情報漏洩をなくすためには、社員教育が大切です。送信時の確認ルールを明確にし、徹底してメールセキュリティを高めます。
また、不審なメールを開かないように訓練することも重要です。どのようなメールが「怪しいメール」に当たるのか、怪しいと感じたときの対処などを知ることが社内のPCをウイルスから守ることにつながります。
IT環境は変化し続けているため、定期的にルールの見直しや社員教育を行い、メールセキュリティを高い水準で保つ努力も続けます。
添付ファイル、本当に安全?
ビジネスでメールを使っていると、ファイルを添付したメールを受信することも多々あるでしょう。特に、容量の大きなファイルや重要データはZIP形式に圧縮して添付することがありますが、セキュリティに留意が必要です。
ファイルをメールに添付する方法が安全ではない理由
- 誤送信やメールの盗聴による情報漏洩
- ファイルの中にウイルスが入っていた場合、検知しにくい
機密情報を含んだ添付ファイルが第三者に漏洩すると大きなトラブルにつながります。また、誤送信した場合に送信を取り消すことができない点も問題です。
添付ファイルが暗号化ZIP形式などで圧縮されていた場合、ファイル内のウイルス検知が難しくなります。そのため、ファイルが添付されているメールをメールサーバーで受信拒否する企業も増えてきています。
メールによるファイルの送信についてはこちらの記事で詳しく紹介しています。
安全にファイル授受ができるBizストレージ ファイルシェア
メールでの情報共有はセキュリティが不安という方には、NTTコミュニケーションズが提供するBizストレージ ファイルシェアの導入がおすすめです。
Bizストレージ ファイルシェアには、ファイルの送受信機能と共有フォルダー機能があり、Webブラウザーだけでファイル共有できます。
セキュリティも充実しており、不正アクセスの検知・遮断、2要素認証やIPアドレスなどによるログイン制限、ログなど、企業にとって安全なファイル授受環境を提供しています。
ファイルはアップロード時とダウンロード時にウイルスのチェックが可能で、暗号化してファイルを保存します。ファイル転送では上長承認機能で転送前にダブルチェックができ、ファイル共有では特定のメンバーだけでファイルを共有できます。誤送信や情報漏洩も防げ、安心してファイルのやりとりができます。