自社に適した「メールセキュリティ」 製品選定の4つのポイント

メールセキュリティソリューションを選定する際は、「既製服」に合わせるのではなく、自分の「体型に合ったもの」を選択することが肝心だという。これはどのような意味だろうか。

[キーマンズネット]

　メールは依然として業務の中心にあり、日々、社内の関係者はもちろん、取引先や顧客との間で多くのメールが行き交っている。

　「Slack」などチャットベースのコミュニケーションツールやクラウドベースのファイル共有ツールの導入も進んでいる。しかし、メールは見積書や請求書といった書類をやりとりしたり、ワークフローや業務システムと連動させたりといった形で日本企業の「お仕事」と深く結び付いていて、依然として存在感は大きい。

　これだけ広く深く浸透しているだけに、メールアカウントを乗っ取られたり、悪用されたりしたときのリスクもまた深刻だ。

メールセキュリティの4つのポイントとは

　宛先間違いなどのミスや不注意に起因する情報漏えいはもちろん、添付ファイルを介したマルウェア感染や標的型攻撃、ユーザーを巧みにだまして情報を盗み取るフィッシング詐欺やビジネスメール詐欺など、メールを介した脅威の例は枚挙にいとまがない。セキュリティベンダーによって数字にばらつきはあるものの、メール経由の脅威は全体の半数とも、時には9割近くを占めるとも言われている。情報処理推進機構（IPA）がまとめた「情報セキュリティ10大脅威 2023」を見ても、メールを介するものが複数挙がっている。

　では、こうしたさまざまなリスクを抑えるにはどのような対策が必要だろうか。一口に「メールセキュリティソリューション」といっても幅広い。どのようなものがあり、どのような機能に目を向けるべきなのか。

対策はインバウンドとアウトバウンドに大別

　オンプレミス環境向けのアプライアンス製品にはじまり、クラウド版に至るまで幅広くメールセキュリティ製品を提供してきたクオリティアの佐々木 泰氏（営業本部マーケティング部　部長）は、まずメールを受け取る側の「インバウンド」対策と、送信する側の「アウトバウンド」対策に分けられると説明した。

　「攻撃を受けてしまう側からどう防ぐかというインバウンドの対策と、自分たちがメールを誤送信したり、ウイルス付きメールを送ってしまったりする事態を避けるアウトバウンドの対策に分けられます」（佐々木氏）

　インバウンドとアウトバウンドの対策は、さらにそれぞれ細かいソリューションに分けることができる。

　インバウンドの対策では、主に悪意を持った組織や個人による次のような外部からの攻撃をいかに見分け、ブロックするかが鍵となる。

• スパムメール
• ウイルスやマルウェアを含むメール
• 標的型攻撃メール

　これらの対策は、特定のキーワードや送信元（IPアドレスやドメイン名など）を基にメールを迷惑メールフォルダに振り分けたり、ブロックしたりするものが主流だ。添付ファイルにウイルスが含まれていないかどうかをチェックする機能を備えたものや、あるいはクラウドの検知エンジンやサンドボックスでチェックするソリューションも多い。また、スパムメール対策やなりすましメール対策として、DKIM（Domain Keys Identified Mail）やSPF（Sender Policy Framework）、DMARC（Domain-based Message Authentication, Reporting, and Conformance）といった送信認証ドメイン技術を組み合わせるアプローチも増えている。

　一方アウトバウンドで対策は、自社の機密情報や個人情報を誤って、または故意に外部に送ってしまわないようにする、いわゆる情報漏えい対策に主眼が置かれている。

　メールを介した情報漏えいには、宛先間違いやCCとBCCの取り違えなど、誰にでも起こり得る「ミス」によって意図せず送ってしまう場合と、金銭などの動機から明らかな意図を持って流出させる場合がある。いずれにせよシステムだけで対策を完結させることは難しく、従業員への教育や社内のチェックプロセスとの組み合わせといった、人的・組織的な対策も含めて取り組む必要があるだろう。

　またその派生として、パスワード付きZIPファイル本体とパスワードの両方を同一の経路（メール）で送ってしまう、いわゆる「PPAP」と呼ばれる手法への対策も、日本企業では課題の一つだ。

　もともと誤送信防止、さらには情報漏えい防止策という触れ込みで広がっていたPPAPだが、受信者の負荷が大きい割には効果が薄い。当時のデジタル改革担当大臣の発言を機に一気に脱PPAPの動きが進み、官公庁や大手企業でも脱PPAPを宣言している。

　だが、本当に厳密な社外秘とされる重要な機密情報と、誰に閲覧させても構わない公開情報の間にある、「誰にでも見せられるわけではない、ちょっと機微なデータ」を、どのように社外関係者と共有するかについては、まだ模索が続いている。ユーザー認証を組み合わせたクラウドのストレージサービスを使う手法の他、TLS（Transport Layer Security）によるエンドツーエンドの暗号化通信がなされていることを確認した上で、そのまま添付ファイルを送る手法も登場している。TLSを確認する方式は受信者の負担が少ないことが利点だ。

自社のセキュリティポリシーに合致した製品選びが第一のポイント

　メールセキュリティ分野では、このようにインバウンドとアウトバウンドそれぞれに幾つかのソリューションがある。その全てをあれもこれもと一度に導入するのは非現実的だ。

　「理想は全方位的に取り組むことでしょうが、現実には自社が何をしたいのか、自社にとって何が必要かを踏まえて優先順位を付けながら導入していく形になるでしょう」（佐々木氏）

　しかもメールは長年使われてきたため、一部導入済みのソリューションもあるはずだ。俯瞰（ふかん）した視野で、何が必要なのかを見定めていくことが重要だ。

　一方で、いくら複数の対策を組み合わせても、どうしてもすり抜けや漏れが生じてしまうのも、セキュリティの世界ではよくあることだ。そこを補うのはやはり人や組織になる。

　不審な添付ファイルをうっかり開いてしてしまったときにどうすべきかなど、ユーザーのあるべき振る舞いをセキュリティ教育の中で伝えるとともに、定期的に訓練を実施することが有効だ。場合によっては、インバウンドでの訓練に加えて、誤送信で情報漏えいが発覚したとき、誰にどのように連絡、エスカレーションして、どう対処するのかといったフローを見直し、関連部署とともに手順を訓練しておくのも有効だろう。

　その上で佐々木氏は、製品選定のポイントを挙げた。

　一つは、自社のセキュリティポリシーに合致した製品やサービスを選定することだ。

　「ERPの分野では、ベンダーが提示するベストプラクティスに自社の業務を合わせるアプローチを採用したものもあります。しかし、ことセキュリティ製品に関しては、そういうやり方はそぐわないでしょう。『われわれが考えるセキュリティはこれです』と押し付けられるのではなく、業種や業務内容、規模や文化に合ったサービスを選択すべきだと考えます」（佐々木氏）

　人材派遣などのサービス業と製造業、金融業とでは、取り扱う情報の質も、業界ガイドラインで求められるセキュリティレベルも全く異なる。その中で、会社としてどのような情報を守り、そのためにどんな振る舞いをすべきかというセキュリティポリシーやメールの運用ルールを整備しているはずだ。まずはそれに合致するソリューションを選ぶことがポイントだ。いわば既製服に合わせるのではなく、自分の体型に合わせて調整できることが重要だ。ソリューション導入をベンダーに相談する場合、自社のポリシーを説明し、それを実現できるかどうかをまず確認しなければならない。

　近年では、「Microsoft 365」や「Google Workspace」のようにメールシステムがSaaSとして提供され、それに付随するインバウンド・アウトバウンドのセキュリティ機能を利用できる。自社のポリシーを十分満たすことができるのならば、そうしたクラウドサービスの機能で済ませるのも選択肢だ。

　ただ、「この種のファイルを添付して送る場合には、上司の承認を経た上で送付する」といったポリシーを定めている環境では、設定を柔軟に変更できるサービスが必要だ。さらに、管理インタフェースの見やすさや設定のしやすさといった側面で、国産のソリューションに一日の長があるのではないかと佐々木氏は述べた。

　二つ目のポイントは、ユーザーの使い勝手を損ねないことだ。メールを使うのはあくまで従業員であるエンドユーザーだ。日々の業務をこなす上に、さらに負荷を増やすようなソリューションを追加しても使われず、無駄な投資に終わりかねない。

　PPAPを廃止したはいいが、代わりにセキュリティ強化を追求する余り、なぜかPDFでパスワードを送付したり、別途ワンタイムパスワードの発行を強制したりするといった具合に、ユーザーにさらなる負担を強いるソリューションを採用しても、あまりうまくいかないと佐々木氏は言う。

　「PPAPに限らず、セキュリティ対策ではセキュリティ性と利便性がトレードオフの関係になりがちです。いかに負荷を減らしつつセキュリティを高められるのかがセキュリティソリューションのキモであり、うまくバランスが取れなければ、乗り換えを余儀なくされることになるでしょう」（佐々木氏）

　さらに、エンドユーザーがエラーメッセージなどと格闘しなくても、送信元が信頼できるかどうか、不審な国のサーバを経由していないかどうかを一目で分かるような工夫があると、ITに不慣れなユーザーも含め対策しやすくなるとした。

クオリティアが提供するインバウンド対策製品「Active! zone SS」は、送信元や経由サーバの国を国旗のアイコンを使って一目で分かりやすく表示する（提供：クオリティア）

トライアルで確認することがベンダー選びのポイントに

　サイバー攻撃や情報漏えいのリスクが大きく取り上げられるようになったこともあり、近年、企業のセキュリティ担当者が情報収集に熱心になってきた。もちろんコストは重要なポイントだが、ただ安ければいいというのではなく、「自社に必要なのは何か」を明確にした上でソリューションを比較、選定するようになり、「こんなはずではなかった」という失敗例は少なくなっている。

　そんな中でベンダー選びのポイントを挙げるとすれば、（無償）トライアルの有無だという。「実際に運用しているメール環境でソリューションを試し、設定内容を確認し、不明なところがあればサポートに連絡する。支援体制も含めて問題ないことをトライアル期間中に確認することが重要です」（佐々木氏）

　また、24時間365日体制のサポートの有無もポイントだ。ランサムウェア被害からも分かるように、攻撃はユーザーの都合を考慮せず、夜間や休日を狙ってやってくる。その影響を受けて、万が一メールが長時間使えない、といった事態が起これば一大事だ。「特にクラウドベースのサービスの場合、24時間365日体制でサポートが受けられるのか、どのようなSLA（Service Level Agreement）を保証しているかをチェックするのは最低限のラインでしょう」（佐々木氏）

　ちなみに、市場シェアは選定の参考になるものの、有名企業の冠を持っているかどうかでベンダーやパートナーを選ぶのはあまりお勧めできないという。「ITの世界では有名でも、メールセキュリティサービスにどこまで詳しいかとなると話は別です。バックボーンがしっかりしていることも一つの指標ですが、その上できちんとソリューションの仕様やサポート体制を確認し、事前のトライアルを通してソリューションやサポート窓口の対応を確認していくことが重要だと思います」（佐々木氏）