サイバー攻撃対策として注目されるメール無害化と導入効果
メール無害化が注目される背景とは
2015年6月、日本年金機構は125万件の年金加入者に関する情報が、外部に漏えいしたと発表しました。
その後の調査により、1000通を超える電子メールによる標的型攻撃を繰り返し受けたことによる、マルウェア感染が原因であることが明らかになっています。
この情報漏えい事件は、警察による捜査が続いていたものの、2018年5月に容疑者不詳のまま時効を迎えています。
日本年金機構の情報漏えいや、マイナンバーの本格導入を背景に、全国の地方自治体が対応すべき指針として「自治体情報システム強靱性向上モデル」が設けられました。
新たな自治体情報セキュリティ対策の抜本的強化に向けて(報告)
1.マイナンバー利用事務系(既存住基、税、社会保障など)においては、原則として、他の領域との通信をできないようにした上で、端末からの情報持ち出し不可設定や端末への二要素認証の導入等を図ることにより、住民(個人)情報の流出を徹底して防ぐこと。
2.マイナンバーによる情報連携に活用されるLGWAN環境のセキュリティ確保に資するため、財務会計などLGWANを活用する業務用システムと、Web閲覧やインターネットメールなどのシステムとの通信経路を分割すること。なお、両システム間で通信する場合には、ウイルスの感染のない無害化通信を図ること(LGWAN接続系とインターネット接続系の分割)。
3.インターネット接続系においては、都道府県と市区町村が協力してインターネット接続口を集約した上で、自治体情報セキュリティクラウドを構築し、高度なセキュリティ対策を講じること。
※1および2:自治体情報システム強靱性向上モデル
出典:新たな自治体情報セキュリティ対策の抜本的強化に向けて~自治体情報セキュリティ対策検討チーム報告~ (総務省)
http://www.soumu.go.jp/main_content/000387560.pdf
この「自治体情報システム強靱性向上モデル」では、業務に利用するLGWAN接続系ネットワークとインターネットに接続されたネットワークとを完全に分離することが求められています。
インターネットに接続できる端末を制限することは、業務系ネットワークがインターネットからの攻撃を受ける危険がなくなるため、究極のセキュリティ対策だといえます。
しかし、インターネットに接続できる端末が限定されると、市民や外部の事業者から送られてくるメールや添付ファイルを、今まで通り業務用端末で利用することができなくなってしまうというデメリットがあります。
そのため、ウイルスやマルウェアなどの感染リスクのない状態に処理されたメールに限っては、業務系ネットワークに持ち込むことができる(無害化通信)ルールになっています。
この処理は、メール無害化として多くの自治体で実際に行われています。
メール無害化とは
電子メールを使ったサイバー攻撃は、主に、不正なコードを埋め込んだHTMLメールや添付ファイルを開かせるという手口で行われています。
取引先や知人を装うなど、悪質で巧妙化する標的型攻撃に対しては、「怪しいメールに注意する」「不用意に添付ファイルを開かない」などの対策では限界があります。
そこで、利用者がメールを受信する前に、セキュリティリスクのない安全な状態まで自動で加工することで、危険性のあるメールに触れること自体を無くしてしまうのが、メール無害化です。
具体的には、HTMLメールを強制的にプレーンテキストへ変換したり、添付されているファイルを自動で削除したりする方法が取られています。
メール無害化を行うことで、標的型攻撃が行われる危険がなくなり、安心安全な電子メールの利用を実現することができます。
メール無害化は一般企業でも有効なセキュリティ対策
標的型攻撃の被害拡大を受けて、一般企業においてもメール無害化が注目されはじめています。
メール無害化は、危険なメールをエンドユーザーに触れさせないことから、メールによる標的型攻撃の対策として極めて有効です。
その反面で、HTMLメールの強制テキスト化や添付ファイルの自動削除が無条件に行われてしまうと、日常業務を行う上での利便性が大幅に低下してしまうという欠点があります。
メール無害化は、業務用ネットワークとインターネット用ネットワークを分離している地方自治体のセキュリティ対策として始まりました。
そのため、地方自治体とは環境が異なる一般企業が、地方自治体向けのメール無害化ソリューションをそのまま導入するのは、セキュリティと利便性のバランスがとれず、業務効率の低下を引き起こす可能性があります。
現在では、一般企業での利用を想定し、利便性とセキュリティのバランスを考慮したメール無害化ソリューションが登場しています。
添付ファイルの自動削除をするだけではなく、添付ファイルからマクロやJavaScriptを除去し、安全なファイルに自動で加工できる製品や、メール誤送信対策や迷惑メールフィルタなどを含めた総合的な電子メールセキュリティを構築できる製品など、メール無害化ソリューションの機能は製品によりさまざまです。
もともとは自治体のセキュリティ対策として生まれたメール無害化ですが、電子メールを日常的なコミュニケーションツールとして利用する一般企業にとっても、導入効果の高いセキュリティ対策だといえます。
メール無害化導入の課題と対応策
電子メールの利用ポリシーを制定しましょう
日常的に表組みや画像などを利用したメールを送受信している場合は、HTMLメールをプレーンテキストに自動変換する方法でメール無害化を行うと、送受信できなくなってしまいます。
HTMLメールは多彩な表現が可能な機能ですが、表示は受信側の環境に依存するため、かならずしも意図した内容で表示されているわけではありません。
まずは、セキュリティ上のリスクが大きいHTMLメールを利用する必要性について、社内の業務を精査しましょう。
メールソフトウェアの初期設定がHTMLメールになっているという理由から、意図せずHTMLメールを利用しているケースも多く見受けられます。
また、メールにこだわらず、オンラインストレージの利用など、セキュアで利便性の高い方法を採用するのも良いでしょう。
電子メールの本文はプレーンテキスト形式とし、画像や表組みが必要な場合はPDFを利用するなど、取引先を含めた統一的な電子メールの利用ポリシーを定めることをおすすめします。
HTMLメールの日常的な利用をやめていくことで、標的型攻撃に対する対策になるだけでなく、将来的にメール無害化を導入する場合の、業務への影響を最小限にすることができます。
マクロ機能は全社的なIT化への取り込みを検討しましょう
マクロ機能を使用しているEXCELファイルを日常的に送受信している場合は、添付ファイルに埋め込まれたマクロを自動削除する方法でメール無害化を行うと、たとえ正規のマクロであっても削除されるため、正常に動作しなくなってしまいます。
EXCELのマクロ機能やVBAの利用は、手軽に業務効率化ができることから、広く利用されています。
その半面、作成者のスキルや動作環境に依存するため、あくまでも個人や部門単位の効率化策として活用されており、IT部門による管理が行われていないケースが一般的です。
そのため、現在マクロ機能により定形化されている業務は、裏返せば現状のITシステムに対する現場のニーズが現れています。
業務内容を分析し、重要性や必要性に応じて、IT部門が巻取ることで、全社的な効率化を実現することができる可能性があります。
また、マクロ機能は、定型業務を自動化する手段として長年利用されていますが、今後はより広い業務範囲を対象とした、RPA(Robotic Process Automation)による自動化が主流になると言われています。
マクロ機能の利用をやめることは、セキュリティ対策の観点だけではなく、全社的なIT化への巻取りや、最新技術の活用など、業務効率化の観点からも重要な打ち手として捉えることが重要です。
メール無害化の導入はセキュリティ対策にとどまらない業務改善のチャンス
メール無害化ソリューションの導入は、標的型攻撃を始めとしたセキュリティ対策として非常に有効です。
導入する上で懸念されるのは、メール無害化により既存業務にどの程度の影響が出るかという点ですが、あらかじめ影響範囲を洗い出すことは難しくありません。
メール無害化は、セキュリティが向上する反面で、今まで出来たことができなくなるため、日常業務が不便になるように思えます。
しかし、HTMLメールやマクロ機能で実現されている業務には、まだまだ改善できる余地が残っています。
メール無害化の導入と同時に、オンラインストレージやRPAの活用など、電子メールやマクロ機能にこだわらない抜本的な業務見直しを行うことで、セキュリティ対策と、業務効率アップを両立することが可能なのです。