業務になくてはならない電子メールですが、外部との情報の出入口になっているためセキュリティ上の危険が数多く存在しています。2015年1月 警察庁発表の「不正アクセス行為対策等の実態調査 調査報告書」によりますと、電子メールとウェブサイトへのアクセスによるウイルス感染被害は82%以上となっています。電子メールに限っても37%と高い確率でウイルスの被害が発生しています。
そのほかにも、標的型攻撃、ランサムウェアなどのマルウェア感染、フィッシング詐欺、スパムメール、メールの誤送信による情報漏えいなど、メールを介して事件、事故などの被害に遭うケースが多々あります。
企業規模に関わらず、メールセキュリティの強化は現代のビジネスにおける必須の対策のひとつとなっています。
ウイルス等の感染ルート別被害状況
(引用) 2015年1月 警察庁 不正アクセス行為対策等の実態調査 調査報告書
また、2016年7月にJNSAが発表した「2014年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~」によると、管理ミスと誤操作による個人情報の漏えいが74%を超えています。管理ミスには組織としてのルールが整備されていないものや、ルールは存在しているが、守られていないといったケースが含まれています。組織としてのルールの策定はもちろん、ルールを遵守する仕組み作りや、その仕組みを属人的な管理だけにするのではなく、誤操作をしたとしても「情報漏えいを防いでくれるようなシステム」で守ることが重要です。
漏えい原因比率(件数)
(引用)JNSA 2014年 情報セキュリティインシデントに関する調査報告書
主なメールセキュリティ対策
自分では対策しているつもりでも、もしかすると見落としがあるかもしれません。この機会にお使いのシステムのメールセキュリティ対策をチェックしてみましょう。
■ アンチスパム
メールを利用していると広告や宣伝のメールがたくさん送られてくることがあります。これらのスパムメールによって、必要なメールが埋もれてしまい探し出すのに時間がかかったり、必要なメールを誤って削除してしまったりと、スパムメールによる業務への悪影響は少なくありません。業務を円滑に効率よく進めるために、メール受信前にスパムを取り除くアンチスパムソフトウェアや機器の利用が効果的です。システム管理者自ら個々にスパム対策することもできますが、スパムメールは日々進化し送信方法も巧妙になっているため管理担当者の負担が大きくなってしまいます。管理負担軽減や効果を考慮すると、スパムメールの対策を専門で行うアンチスパムソフトウェアの利用をお勧めします。
■ アンチウイルス
金銭や情報の取得を目的とした犯罪者が、対象者をウイルスに感染させるためにメールにウイルスを潜ませて送ってくることがあります。主にメールの添付ファイルや、悪意のあるサイトのURLリンクといった形で送ってくるので、送信元や本文をあまり確認せずにメールをうっかり開いてしまうと、ウイルスに感染してしまいます。中にはプレビュー表示しただけで感染してしまうものもあるため、注意して対応するだけでは防ぎきれないのが実情です。エンドポイント型のアンチウイルスソフトウェアを使っている方は多いと思いますが、ゲートウェイ型のアンチウイルスアプライアンスやバーチャルアプライアンスであれば、一元管理ができるため企業での運用に向いています。
■ メール無害化
日本年金機構で発生した個人情報流出事件をきっかけとして、総務省は地方自治体に対し情報セキュリティ対策の抜本的強化を求めています。そのひとつはLGWAN接続系とインターネット接続系の分離で、もうひとつは標的型攻撃を防ぐための受信メールの無害化です。標的型攻撃では添付ファイル、URLリンクなどでマルウェア感染が引き起こされることが多いため、受信メールを無害化するメールセキュリティ対策は自治体だけではなく企業でも必要とされており、アンチスパムやアンチウイルスと併用することをお勧めしています。
■ メール誤送信対策
受信時のメールセキュリティ対策としてアンチスパム、アンチウイルス、メール無害化などの対策がありますが、送信メールについても対策が必要です。例えば、宛先を間違えて送信してしまったり、Bccにしなければいけない多くのメールアドレスをToやCcに入れて送ってしまい、メールアドレスが漏えいしてしまったり、添付ファイルを間違えて送ってしまったりなどのうっかりミスを防ぐにはソフトウェア的な仕組みが有効です。
メールセキュリティ対策で得られる効果
■ 標的型攻撃の防御
ごく自然な形で実在する信頼できる名前で特定の標的に、ウイルス対策ソフトに検知されないようなウイルスメールを送り付けて感染させ、長期間にわたって情報を盗み続ける標的型攻撃は、巧妙に偽装したメールをきっかけとして始まります。メール受信者が不信感を抱かないように様々な偽装工作をおこなっているため、人によるチェックでは判断することに限界があります。ですから、スパムメール対策、ウイルスメール対策のようなメールセキュリティ対策製品を導入することで、人が気づかない標的型攻撃を防御することができます。さらに、ファイアウォールや侵入検知・防止システムを組み合わせて多層防御することで、より効果の高い防御を実現できます。
■ ランサムウェアの防御
ランサムウェアは、ランサムウェアと呼ばれるマルウェアの一種を送り付け、強制的にファイルを暗号化したり、コンピュータの起動をロックしたりするなどして対象者を脅迫し、その弱みに付け込んで復旧するための費用の名目で金銭を脅し取る攻撃です。ランサムウェアの作成も実行も容易にできることや、比較的短期間に被害者がファイルやコンピュータを復旧させるための金銭を支払うため被害が急増しており、国内における2016年のランサムウェアの被害報告件数は2015年比で約7倍だったと報じられています。
ランサムウェアはメールやWebサイトから感染しますので、スパムメール、ウイルスメールのブロックや悪意のあるサイトへのアクセスをブロックする仕組みを対策することで、不正サイトへのURLをクリックしてしまったり、ウイルス付きの添付ファイルを開いてしまったりといった、うっかりミスによる被害を防いでくれます。
■ 個人情報漏洩対策
メール誤送信に注意しなければならないと広く知られた今でも、情報漏えい事件は全国の様々な公的機関、一般企業で発生しています。うっかりミスとはいえメール誤送信による情報漏えいが発生すると企業・団体への信頼を大きく損ねてしまいます。
2016年6月JNSA発表の資料「情報セキュリティインシデントに関する調査報告書」によると、2015年の個人情報漏えいインシデントの平均損害賠償額は1件あたり約3億3700万円となっています。
宛先の入力ミス、ファイルの添付ミスなどのメール誤送信による情報漏えいをしたことのないという人は少ないと思いますが、ついうっかりという誤操作が原因となるケースが多く報告されています。メール誤送信防止システムのようなシステムで対策を行うことにより、個人情報漏えいを予防し、信頼の毀損や損害賠償金の支払いといった大きなダメージから企業や団体を守ります。
■ IT統制
内部統制は事業を企業理念や規律に沿って健全に進めるために必要なものです。その中で経営に大きな影響を与えるリスク管理は情報セキュリティと密接に関わっています。
個人情報や機密情報の保護、障害や事件に備えるためのメール送受信状況の記録、データのバックアップ、誤操作や不正防止・抑止のための対策、監視などの情報セキュリティ対策を行うことでIT統制のレベルを高め、企業経営を安全に行うことができます。
メールセキュリティ対策のタイプ
■ エンドポイント型
ユーザが利用する端末にインストールしたソフトウェアによって対策します。このような製品は比較的安価なので中小規模のユーザに適しています。しかし、端末が増えると更新ファイルの適用や管理が行き届かなかったり、ポリシー設定が面倒だったり、個々により設定が統一されていなかったりといったデメリットがあります。
■ ゲートウェイ型
メールサーバ周辺に設置するタイプですので、エンドポイント型とは異なり一斉に対策を行うことが可能です。
持ち込み端末など一時的に使用する端末でも対策の恩恵を受けられます。ユーザ端末台数に関わらず構成できるため、中~大規模ユーザに適しています。
■ クラウド型
昨今増加しているクラウドメール向けの対策です。ウイルス対策、スパム対策、誤送信対策などがSaaSサービスとしてクラウド上で提供されていますので、拡張性や初期費用の安さ、利用開始までの時間の短さなどが特徴です。