社長のメールが妙に丁寧……AI時代の不審メールを見抜く社員は何に違和感を抱く？：メールセキュリティ対策状況に関する調査（2026年）／後編

脱PPAP後のファイル送付手段が分散し、不審メールへの気付きも従業員からの申告に支えられている実態を前編では取り上げた。では、企業はメール攻撃にどう備え、日々の運用に落とし込んでいるのか。後編では製品による検知、従業員教育・訓練、セキュリティ担当体制、製品を導入しない理由から、企業のメール対策の現実解を探る。

[中村篤志，キーマンズネット]

　メールセキュリティ市場が拡大する中、企業にとってメール対策が引き続き重要な投資領域であることを前編で確認した。一方で、調査から見えてきたのは、対策を導入するだけでは終わらない現場の迷いだ。PPAPをやめた後のファイル送付手段は一枚岩ではなく、不審メールへの気付きも従業員からの申告に支えられている。

　後編となる本稿では、引き続き「メールセキュリティに関するアンケート 2026年（実施期間：2026年5月25日〜6月12日、回答件数：145件）」を基に、メールセキュリティの運用面に焦点を当てる。

メール攻撃対策は製品検知だけでなく教育、EDRも上位に

　はじめに、フィッシングメールや不審な添付ファイル、URL誘導、なりすましメールなど、メールを起点としたサイバー攻撃に対して実施している施策を聞いた。

　最も多かったのは「メールセキュリティ製品による不審メールの検知」で64.8％だった。次いで、「従業員への注意喚起、教育、訓練」（49.0％）、「エンドポイント対策、EDR／XDR（Endpoint Detection and Response／Extended Detection and Response）による検知」（46.9％）、「添付ファイルやURLの検査、ブロック、無害化」（38.6％）、「Microsoft 365やGoogle Workspaceなどの標準セキュリティ機能の強化」（36.6％）が続いた（図1）。

図1：メールを起点としたサイバー攻撃への対策

　製品による検知だけでなく、従業員教育やEDR／XDR、添付ファイルやURLの検査などが上位に並んだことから、メール攻撃への対策は、単一の仕組みで防ぐというより、複数の対策を組み合わせる方向に広がっていると考えられる。

　また、「自然な文面の不審メールや、AIで作成された可能性のあるメールへの注意喚起」（28.3％）や、「取引先や社内関係者になりすましたメールへの確認ルールの整備」（13.1％）も挙がった。前編で見たように、不審なメールは業務連絡や取引先とのやりとりに紛れるようにして届く。製品で検知するだけでなく、通常と異なる指示や送金依頼、ファイル共有依頼が届いた際に、別ルートで確認する運用を整えることも重要になる。

AI時代の不審メール､見抜く社員は何を見ているのか？

　製品による検知や添付ファイルの無害化と並んで重要なのが、従業員への注意喚起や訓練だ。前編では、不審メールに気付いたきっかけとして最も多かったのは「従業員からの申告」だった。また、直近1年間の変化として「不審メールの文面が自然になり、見分けにくくなった」が最も多く選ばれていた。

　この結果から分かるのは、従業員に不審メールを完全に見抜かせることではなく、違和感を覚えたときに立ち止まり、申告や確認につなげる状態を作ることの重要性だ。

　そこで、従業員や経営層に対してどのような注意喚起やトレーニングをしているかを聞いたところ、「メールを用いた攻撃の訓練を実施している」が最も多く、40.7％。次いで「メールを用いた攻撃の啓発を実施している」（37.9％）、「メールを用いた攻撃のリテラシー教育を実施している」（36.6％）が並んだ（図2-1）。

図2-1：従業員や経営層に注意喚起や対策方法のレクチャーやトレーニングをしているか

　前編で紹介した不審メールの例には、業務に溶け込んだ違和感の少ない文面や、社内イベントと重なるタイミングの通知、自社システムを狙い撃ちにしたような文面があった。こうしたメールに対しては「怪しいメールを開かない」という一般的な注意喚起だけでは限界がある。教育や訓練を通じて、どのような場合に確認するか、誰に申告するか、申告後にどのように対応するかを具体化する必要がある。

　ここで補足しておきたいのは、違和感の源泉は必ずしもセキュリティ教育だけではないということだ。例えば普段から社長や上司が独特な言い回しでメールを送っている企業では、急に整った文面の“社長メール”が届いたときに、従業員が違和感を抱くこともあり得る。日常の社内コミュニケーションの癖を知っていることが、なりすましを見抜く一つの材料になる場合もある。

　では、こうした人とシステムを組み合わせたセキュリティ体制は、どのように整備されているのだろうか。

　セキュリティ対策の担当体制を聞いたところ、最も多かったのは「情報システム担当者が他業務と兼任している」（33.1％）だった。次いで、「セキュリティ専門部署があり、役員またはCISOが統括している」（22.8％）、「セキュリティ専門部署がある」（17.2％）が続いた（図2-2）。

図2-2：セキュリティ対策の担当体制

　専門部署または専任担当者を置いている割合は、「セキュリティ専門部署があり、役員またはCISOが統括している」（22.8％）、「セキュリティ専門部署がある」（17.2％）、「専任のセキュリティ担当者がいる」（4.1％）を合わせて44.1％だった。約半数の企業では、何らかの形でセキュリティを専門的に担う体制を整えている一方、兼任体制の企業もある。

　従業員規模別に見ると、5001人を超える大企業では専任の担当者や部門、チームを設置している割合が高い。一方、1000人以下の中堅・中小企業では、専任体制を敷く割合は相対的に低く、企業規模による差が見られた。

　だが、中堅・中小企業では専任担当者や専門部署の設置が難しいケースもある。重要なのは、必ずしも専任組織を置くことではなく、誰が判断し、誰に相談し、どのような基準で対応するのかを明確にすることだ。兼任体制であっても、責任者、報告ルート、外部サービスの活用範囲を定めておくことで、属人的な対応を減らしやすくなる。

製品を導入しない理由は予算だけではない

　最後に、ソリューション面での対策状況を見ていこう。

　前編では、全体の約7割が何らかのメールセキュリティ製品を導入していることに触れた。現在導入しているメールセキュリティ製品やサービスを聞いたところ、「Microsoft Defender for Office 365」（25.7％）、「Microsoft 365／Exchange Onlineの標準セキュリティ機能」（23.8％）といったMicrosoft関連の製品・機能が上位に挙がった。

　ただし、企業のメール環境や既存のセキュリティ対策は一様ではない。クラウド型のメールサービスやグループウェア、エンドポイント対策、メールゲートウェイ、標準機能などを組み合わせながら、自社のリスクや運用体制に合わせて対策を取っている企業もある。

　一方、メールセキュリティ製品を導入していない理由を見ると、「導入や運用の予算が不足」（22.1％）が最も多かった。次いで、「対応できる人員の不足」（17.9％）、「現状のセキュリティ対策で対応できる」（16.6％）が続いた（図3-2）。

図3：メールセキュリティ製品を導入していない理由

　予算不足が最多ではあるものの、課題はコストだけではない。「ツール・製品に対する知識不足」（12.4％）や「導入すべきセキュリティ製品の優先順位が分からない」（10.3％）も一定数選ばれている。つまり、製品を導入しない背景には、費用の問題に加えて、判断できる人材や知識、優先順位付けの難しさがある。

　メールセキュリティ対策は、製品の有無だけでは判断できない。製品を導入していても、従業員が申告しやすい体制や、申告後の判断フローがなければ、現場での運用は滞る。逆に、専任体制をすぐに整えられない企業でも、注意喚起、訓練、報告ルート、確認ルールを組み合わせることで、現実的な対策を進めることはできる。

メール対策は、製品と人と体制をどうつなぐかが問われる

　前後編にわたり、不審メールによる攻撃の実態と被害例、企業におけるメールセキュリティ対策の現状を見てきた。

　前編では、迷惑メール対策ソリューションの導入が進む一方で、脱PPAP後のファイル送付手段が分散し、不審メールへの気付きも従業員からの申告に支えられている実態を取り上げた。後編では、メール攻撃への対策として、製品による検知や従業員教育、EDR／XDR、添付ファイルとURLの検査など、複数の施策が実施されていることを確認した。

　今回の調査から見えるのは、メールセキュリティ対策が製品導入だけでも、従業員の注意力だけでも完結しないということだ。攻撃メールは業務連絡や取引先対応に紛れ込み、従業員の違和感が発見の起点になることもある。その一方で、申告を受け止める体制や判断基準がなければ、現場任せの対応になりかねない。

　専任のセキュリティ担当者や専門部署を置くことが難しい企業でも、まずは判断基準や報告ルートを明確にし、属人的な対応を減らすことが現実的な一歩になる。製品と教育、申告、担当体制をどうつなぎ、現場で継続できる形に落とし込むか。メールセキュリティ対策は、その運用設計が問われる段階に入っている。