企業に必要なメールセキュリティ対策は？　ツールの選び方も解説

標的型攻撃メール

標的型攻撃メールは、特定の相手をターゲットにして取引先などの関係者を装い、マルウェアが潜む添付ファイルを開かせたり、不正サイトに誘導したりするメールを送る攻撃手法です。あらかじめターゲットを決めて情報を収集し、会ったことがある差出人の名前やビジネスに関連する話題などを巧妙に取り入れてメールを送るため、一定の知見がないと危険なメールであることを即座に判断できません。

2019年以降、Emotet（エモテット）と呼ばれるマルウェアが沈静化と流行を繰り返し、個人から大企業まで様々なシステムにマルウェアを感染させましたが、この攻撃では標的型攻撃メールの手法が用いられています。Emotetによる攻撃の特徴は、感染した端末から過去の送信メールの内容や関係者の名前などの情報を抜き取って、巧妙に偽装した標的型攻撃メールを送信する点です。添付ファイルやURLから端末へ侵入されると、情報漏洩やデータの破壊が起こるほか、感染させた端末に保存されているメールアドレス宛に二次感染を目的としたメールを送り、さらに感染を拡大させようとします。

併せて読みたい

• 標的型攻撃メールとは？　特徴や文面例、対策について解説

フィッシングメール

フィッシングメールは、実在する企業やサービスを騙り、メールで偽サイトに誘導してID・パスワード、クレジットカード情報などを入力させることによって個人情報を盗み出す手法です。金融機関や公的機関といった一般に信頼性の高い組織を装うケースも多く、手口は年々巧妙化しています。

メールの誤送信

メールによるセキュリティインシデントは、外部からのサイバー攻撃ではなく、従業員の人的ミスによるメールの誤送信が原因となることもあります。例えば「メールの宛先を選ぶ際にうっかり別のアドレスを選択して無関係の相手にメールを送信する」「本来は他の受信者に見られてはならないアドレスを、BCCに入れるべきなのに、誤ってCCに入れて誤送信して大量のアドレスを漏洩させてしまう」といったケースが代表的です。

ビジネスのメールでは、取引に関する機密情報がやりとりされることもあり、誤送信は取引先との関係性を揺るがす重大な情報漏洩につながるおそれがあります。

併せて読みたい

• メールの誤送信対策7選！　原因やリスク、主なパターンを解説

不審なメールや添付ファイルを開かないルールを設定する

受信メールに対する基本的なセキュリティ対策の1つが、不審なメールや添付ファイルを開かないよう社内ルールを設定して、順守を徹底させることです。

「日本語に不自然なところがある」「一般的に日本では使われない漢字が含まれている」「個人情報を要求する」「普段のやりとりでは送られてこないようなファイルが添付されている」といったメールは要注意です。攻撃の手法は日々進化しているため、定期的に社内で勉強会などを開催して最新の情報を共有し、注意喚起しましょう。

スパムメールはブロックするよう設定する

無差別に大量に送られてくるメールや、不要な広告を含むメール、詐欺メールなどは、スパムメールとして検出・ブロックするようフィルターを設定するのも有効な対策です。フィルターを適切に設定すると、スパムの疑いがあるメールは受信トレイではなく迷惑メールフォルダーに振り分けられるようになり、業務に支障をきたすメールを一つひとつ排除する必要がなくなります。

HTML形式ではなくテキスト形式で受信するよう設定する

HTML形式のメールは、テキスト形式のメールに比べてセキュリティリスクが高く、ウイルス感染の可能性が潜んでいるため、テキスト形式に変換してから受信するよう設定することも重要です。

HTMLメールは、プログラミング言語を使用してスクリプトを埋め込むことができるため、開封した人のパソコンで悪意のある動作をさせることも可能です。HTMLメールの危険性を社内に周知し、そのまま開けない設定を行うよう、従業員に指導しましょう。

メールセキュリティ対策ツールを導入して無害化する

受信メールに対するセキュリティ対策として、メールセキュリティ対策ツールを導入して、メールの本文や添付ファイルなどに仕掛けられた脅威を受信前に除外して無害化する方法も考えられます。

メールセキュリティ対策ツールでは、マルウェアを代表とする危険性の高い添付ファイル、詐欺の疑いが濃厚なURLなどが含まれているリスクの高いメールについて、脅威をあらかじめ取り除いた上で受信させたり、不審なメールについて警告を表示させたりすることが可能です。製品によっては、サンドボックスと呼ばれる仮想環境で発見したファイルやプログラムを動作させる振る舞い検知により、未知のマルウェアにも対応できる場合があります。

ウイルス対策ソフトを導入する

受信したメールをスキャンして、マルウェアなどの有無を確かめるウイルス対策ソフトも、効果的なセキュリティ対策です。マルウェアが検知された場合、自動的に隔離して適切に対処します。メールセキュリティ対策ツールと併せて、社内のすべての端末にウイルス対策ソフトを導入しておけば、受信メールからのセキュリティリスクを大きく低減できます。

メールを暗号化する

送信メールによる情報漏洩を防ぐためには、メールの暗号化が有効です。メールの暗号化は、送受信するデータを暗号化するTLS（Transport Layer Security）やSSL（Secure Sockets Layer）などの規格を使用し、悪意のある第三者の目にふれた場合でもメールの内容が露見しないようにする仕組みです。S/MIME（Secure/Multipurpose Internet Mail Extension）と呼ばれる暗号化方式を使うと、メールの暗号化と同時にメールへの電子署名も可能になり、受信者がなりすましメールを区別できるようになります。

また、添付ファイルを暗号化して送信したい場合は、自動的に暗号化するクラウドサービスや、オンラインストレージで共有する方法を選択しましょう。

誤送信防止ツールを導入する

誤送信によるメールからの情報漏洩は、誤送信防止ツールを導入することで防げます。人間によるうっかりミスを防止するためには、従業員の意識の強化に加え、ミスを防止できる仕組みの導入が重要です。重要なメールを送信する前に内容の確認を促すポップアップを表示させて注意喚起したり、即送信せずにいったんチェックを求めたりすることができるツールを利用することをお勧めします。

メールセキュリティ対策ツールを選ぶ際のポイント

メールの送受信に伴うリスクに適切な対策を講じるには、幅広い脅威に対応できるメールセキュリティ対策ツールの導入が有用です。どのような点に着目してメールセキュリティ対策ツールを選べばいいのか、ポイントを確認していきましょう。

自社に必要な機能が備わっているか確認する

メールセキュリティ対策ツールの機能は、製品ごとに異なるため、自社のメールの使用状況、業務特性などを踏まえて必要な機能を洗い出してください。未知のマルウェアにも対処したい場合は振る舞い検知機能がついている製品を、内部からの情報漏洩対策も強化したいなら暗号化や誤送信防止機能が付いている製品を選びましょう。実施したい対策に応じて必要な機能を絞り込むと、自社の状況に最適な製品が選べます。

自社に必要な規模とコストを確認する

メールセキュリティ対策ツールの選定では、組織の規模をカバーできる製品を選ぶことも重要です。中には、ユーザー数に制限を設けている製品もあります。メールセキュリティ対策を導入したい端末が多い場合や、今後の人員増加が見込まれる場合は、ユーザー数の制限に余裕のある製品を選択するようにしてください。

すぐには人員増加の予定がない場合でも、ユーザー数を追加する際にかかるコストについて事前に確認しておくと安心です。併せて、ユーザー数の追加対応にかかる期間などもチェックするのがお勧めです。

提供形態を確認する

メールセキュリティ対策ツールの提供形態には様々なパターンがあり、それぞれ適した環境や企業規模などが異なるため、自社の状況を鑑みて適切な形態を選びましょう。

例えば、クラウド型で提供される場合は、物理的な環境設定が不要で、クラウドサービスが主流になりつつあるメール環境に適しています。コストを抑えて手軽に導入できることや、基本的には従量課金制でコストを最適化できることもメリットの1つです。使用する規模に応じて、導入対象を柔軟に拡大・縮小できます。

ゲートウェイ型の場合、メールセキュリティに必要な機能が搭載された機器をメールサーバーの周辺に設置するため、端末の数にかかわらずメールトラフィックを管理・制御できます。対象端末が多い企業に最適です。

ユーザーが利用する端末一つひとつにインストールするエンドポイント型の場合、小規模な組織であればユーザーごとに手軽に導入できて、細やかな対策ができます。ただし、端末数が多いとコストがかさむ点に注意してください。

既存の社内システムとの連携を確認する

メールセキュリティ対策ツールを導入する場合、社内で使用している既存のメールシステムと連携できなければ、十分な価値を発揮しません。導入を決める前に自社のメールシステムを調べ、連携可能であることを確認しておきましょう。