ESET/マルウェア情報局

クラウドのメールサービスを使う時に気をつけること

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「クラウドのメールサービスを利用する際のセキュリティ対策とは?」を再編集したものです。

普及が進むクラウド型のメールサービス

 SaaS型のクラウドサービスの中でも、メールサービスは広く普及しているもののひとつだろう。実際に、総務省が公開している令和2年度版の情報通信白書では、「利用しているクラウドサービス」のうち、メールは「ファイル保管・データ共有」の56.0%に次いで二番目に多く、普及率は48.0%となっている。

 ビジネスにおいて、メールがコミュニケーション手段の中心を担うようになるとともに、メールサーバーの重要性も高まっていった。過去には、メールサーバーは社内に設置して厳重に運用し、社外に託すなど論外と言われたこともあった。その後、大企業などでは強固なデータセンターに自社のサーバーを設置し、冗長化といった対策を講じてメールサーバーの安全性を担保するといった方法がとられるようになった。

 2010年前後の米国におけるクラウド黎明期を経て、日本国内でもクラウドサービスの有用性が声高に叫ばれ始める。以降、先進的なITベンチャーなど、クラウドサービスを手掛ける事業者も増加し、緩やかながら認知と利用が拡大していくこととなった。その背景には、メールシステムの構築・運用に多大な費用が必要になるため、そのコストを抑制したい企業のニーズに合致したことが挙げられる。その後、利用の浸透とともに、安全性に対する不安も払しょくされ、多くの企業においてクラウドのメールサービスは一般的に利用されるようになっている。

メールの領域を超えたサービスへ

 もともと、クラウドメールはGmailに代表される、ウェブブラウザーでいつでもどこでもチェックできる「ウェブメール」が原点だ。Gmailのサービス開始当初は、ウェブブラウザーでメールを管理することはイレギュラーな行為として捉えられがちだったが、今や状況は一変している。さらに近年は進化を遂げ、メールの領域を越えて統合型のコミュニケーションサービスへと変遷している。

 統合型のコミュニケーションサービスを代表する、Google Workspace(旧G Suite)やMicrosoft 365(旧Office 365)といったサービスは、メールだけではなく、スケジュールやオンラインストレージ、チャット機能などを複合的に提供している。企業活動で求められるオフィスソフトなどのサービスも含め、月額利用料を払うだけで簡単かつ手軽に提供されるため、日本でも利用が広がっている。

 ビジネスコミュニケーションの手段は、メールをはじめチャットツールなど、多様化している。また、テレワーク推進が声高に叫ばれる中、複数のコミュニケーション手段に対応できるサービスへのニーズは高まっている。スケジュールやファイル共有を含めて、ビジネス環境をオールインワンで提供するクラウド関連サービスは、今後も伸長していくことが確実視される。

クラウドメールの利用に潜むセキュリティリスク

 クラウドメールは、クラウドサービス事業者に管理や運用を委ねることが前提となる。したがって、管理・運用する事業者によってセキュリティのレベルも変わることになる。企業への導入としてサービスを選定する際には、サービス提供事業者の設定するセキュリティレベルが自社の水準を満たしているかを導入前には確認するようにしたい。

 そして、クラウドならではの危険性がはらむことも強く意識しておかなければならないポイントだ。クラウドの特性とも言える、いつでもどこでもアクセスできるという利便性は翻すと、場所・時間を問わず攻撃対象になり得るということでもある。クラウド事業者側の対応範囲外、あるいは対応が難しいセキュリティ対策は自社で補完する必要がある。以下、クラウドメールにおけるセキュリティリスクを挙げていく。

・情報漏えい

 「2018年情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの原因として「誤操作」がおよそ25%を占める。経路別では「電子メール」がおよそ20%を超えており、メールの誤操作が原因で情報漏えいしてしまう危険性を企業としては強く認識しておく必要がある。

 誤操作による情報漏えいは、従業員に対する注意喚起やセキュリティ教育で一定の抑制効果が期待できる。しかし、人が介在する以上、完全にミスをなくすことはできない。「フェールセーフ」の観点から、ミスが発生することを前提に、対応機能を有したツールの導入やファイルの暗号化を実施することで、被害を最小限に抑制する取り組みが欠かせない。

・フィッシング・迷惑メール

 BEC(ビジネスメール詐欺)や標的型メールなど、企業を取り巻く迷惑メールの状況は年々巧妙化しており、危険性が増している。従業員に対して、セキュリティ教育を施すのとともに、抜き打ちでテストメールを配信するなどして、意識向上を図る必要がある。組織的にメールに対する「目利きの力」を養うことが求められている。

 BECについては、アカウントを不正に利用されるケースが増加傾向にある点にも注意したい。自分のアカウントがBECに利用されないよう、二段階認証を利用するなど認証強度を高めておく必要もあるだろう。

・有事の際の証拠隠滅

 ビジネスの現場でやりとりされるメールは、トラブルが発生した際の有力な証拠や解決策の糸口となり得る。従業員が勝手に削除した場合でも、サーバーにアーカイブされていれば、検索して証拠としてトラブル解決に活用できる。クラウドメールはサービスによってアーカイブ機能がない、あるいはアーカイブ可能な容量に制限がある場合もある。セキュリティリスクを重視するのであれば、有事を見越して一定のアーカイブ容量があるサービスを選定するようにしたい。

クラウドメールに求められるセキュリティ対策

 先述の通り、クラウドメールのセキュリティリスクとして「情報漏えい」、「フィッシング・迷惑メール」、「有事の際の証拠隠滅」が代表的なものとして挙げられる。極論となるが、こうしたセキュリティリスクを回避するためには、クラウドメールサービスに従業員が直接アクセスできないようにすればいい。しかしこれでは本末転倒だ。あるいは原則社内からしかアクセスを許可せず、社外からメールを閲覧する場合は許可制にするといった方法はどうだろうか。しかし、これもビジネスの効率が大きく低下し、クラウドメールの利便性を享受できない。

 そこで、検討したいのがメールの送受信前にゲートウェイ型の仕組みでメールをチェックする「メールセキュリティ」だ。送受信するメールの経路に「関所」を設けることをイメージするとわかりやすい。メールセキュリティの代表的なツールとして知られる、「GUARDIANWALL Mailセキュリティ・クラウド」では以下の機能でメールのセキュリティを高めている。

・送信メールを「保留」

 GUARDIANWALL Mailセキュリティ・クラウドは、メールの送信後であっても、一旦は保留して従業員が再確認できるような仕組みを提供している。従業員が誤って送信ボタンを押してしまった後でも、もう一度メールの内容を確認してから送信できるため、送信ミスを未然に防ぐことが可能となる。

・送信メールの添付ファイルを「暗号化」

 メールを誤送信してしまった場合、添付ファイルが暗号化されていることは強力な防御策となる。パスワードさえ送らなければ、添付ファイルが開かれる可能性は限りなく低い。GUARDIANWALL Mailセキュリティ・クラウドでは、送信時に自動的に添付ファイルが暗号化されるため、ユーザーが暗号化し忘れる恐れもない。

・一斉配信メールの送付先をBCC化

 メールの誤操作で添付ファイルの漏えいと並んで挙げられるのが、メールの宛先やCCに設定されるメールアドレスの漏えいだ。コンプライアンス重視の流れもあり、以前にも増して、メールアドレスの漏えいに敏感な状況となっている。GUARDIANWALL Mailセキュリティ・クラウドでは、社外への一斉配信メールをBCC化する機能により、万が一のメールアドレスの漏えいを防ぐことが可能だ。

・受信メールの中からスパムメール、マルウェアを精緻に検出

 不審なURLが含まれたメールを削除、隔離することが可能な「Webレピュテーション」機能を搭載しているGUARDIANWALL Mailセキュリティ・クラウドを導入することで、BECやフィッシングと疑われるメールをフィルタリングし、任意の後処理が可能となる。ランサムウェアやマルウェアが疑われるファイルをサンドボックス上で解析して検出することもできるため、ユーザーに危険なメールが配信されるリスクが低減する。

・送受信するメールをアーカイブ、レポート

 GUARDIANWALL Mailセキュリティ・クラウドはメールアーカイブやログレポート機能を有するため、たとえ削除されたメールでも検索して確認したり、メールの利用状況を確認したりといったことが可能だ。企業がメールを監査していることを従業員に意思表示することで、内部犯行を抑制する効果も期待できる。

 今回、例として紹介したGUARDIANWALL Mailセキュリティ・クラウドはクラウドメールに焦点をあて、クラウドメールに特化したセキュリティ機能を提供している。また、クラウドメールとして一般化しているGoogle Workspace(旧G Suite)やMicrosoft 365(旧Office 365)などのサービスとの親和性も高く、日本独自の商習慣に合わせてセキュリティ強度を高めることもできるだろう。

安全なメールコミュニケーションを実現するために

 SNSやチャットツールが普及した今でも、企業活動のコミュニケーションにおいてメールは主要な位置づけにあることに変わりはない。それだけに、従業員による些細なミスが元で、企業が損害を被る可能性も否定できない。

 メールを標的にしたセキュリティリスクも増大しているため、引き続き万全のセキュリティ対策が求められる。ビジネスの現場で安全なコミュニケーションが図れることは企業の競争力と密接に関係している。クラウドだから安全という考え方は通用しない。セキュリティを高めるためのツールを積極的に活用するなど、クラウドメールのセキュリティ対策を講じることを検討してほしい。