メールセキュリティとは？目的別の対策方法やセキュリティ対策サービスの選び方を徹底解説

メールセキュリティは、メールを使った外部からの攻撃やメール誤送信等による内部からの情報漏洩による損害を防ぐための情報セキュリティ対策です。本記事では、メールセキュリティの目的と対策について紹介します。

Cloud Mail SECURITYSUITEについて詳しく見る

CYBERMAIL Σについて詳しく見る

メールセキュリティとは

メールセキュリティとは、メールを利用した外部からの攻撃や、内部からの情報漏洩を防ぐための対策を指します。具体的にはウイルス、マルウェアやなりすましメール、ビジネスメール詐欺など外部攻撃を防ぐ受信対策と、メールの誤送信など、人的ミスによる情報漏洩を防ぐ送信対策を指します。最近は脱PPAPへの対応も求められています。また、電子帳簿保存法や関税法などに対応したコンプライアンス対応も必要です。

なぜメールセキュリティが必要なのか

業務に欠かせないメールを安全かつ効率的に利用するうえで、メールセキュリティは企業にとって重要なセキュリティ対策の要となります。セキュリティインシデントの多くが、メールを起点として発生しているからです。IPA（情報処理推進機構）による「情報セキュリティ10大脅威 2024」では、10大脅威のうち4件がメールに関する脅威になっていることから、メールによる詐欺被害のリスクについて広く社会で認知されてもなお強く注意喚起されるテーマだということが分かります。

関連記事
なりすましメールとは？ 偽メールを送れる背景と対策
情報セキュリティ10大脅威 2024｜IPA（情報処理推進機構）
5400万通のメールから見えたサイバー攻撃のトレンド　気を付けたい3つのポイントと対策は？

メールセキュリティ事故の原因

Security NEXTによると、2023年1月から2023年10月5日までの「個人情報漏洩事件・事故関連記事」482件の事故原因は「メール誤送信」が118件（24.5 %）でトップでした。求職者の個人情報を含むファイルを営業DMに誤って添付したり、社員の健診結果を別企業へ誤送信したり、生徒の成績情報を誤って第三者へ送信するなど、業態に関係なく誤送信が発生しています。

メール誤送信の原因の多くは、宛名入力ミスとファイルの添付ミスです。宛名の誤入力はメールアプリの「オートコンプリート」が原因になるケースも多く、表示される複数の候補先から誤った宛名を選択してしまうことで、誤送信に繋がっています。ファイルの添付ミスは、ファイル名や保存場所が似ている場合に、誤って別のファイルを選択してしまうヒューマンエラーが原因となっているようです。

また上場企業のメールセキュリティ事故はマルウェア感染によるものが多く、PCから窃取したメールの連絡先を悪用したなりすましメールの送信事例も相次いで報告されています。主にメールの添付ファイルを通じて感染するマルウェアのEMOTET（エモテット）は攻撃手法を変化させながら活動休止と再開を繰り返しており、引き続き注意が必要です。

関連記事
個人情報漏洩事件・事故関連記事の一覧｜Security NEXT
ビジネスパーソンの6割が経験するメール誤送信：効果的な対策とサービスの選び方ポイント！

マルウェア感染

また上場企業のメールセキュリティ事故はマルウェア感染によるものが多く、PCから盗んだメールの連絡先を悪用したなりすましメールの送信事例も相次いで報告されています。主にメールの添付ファイルを通じて感染するマルウェアのEMOTET（エモテット）は対策が打たれてもマルウェアとして攻撃手法を変化させ再び猛威を振るっており、引き続き注意が必要です。

メールによる情報漏洩の原因は誤送信とマルウェア感染だった！必要な対策を解説
マルウェアとは？種類、脅威や影響、必要な対策をわかりやすく解説

メールセキュリティ事故によって生じる損害リスク

メールでの小さなミスが、企業にとって取り返しのつかない事態に発展することもあります。顧客の個人情報や取引先に関する情報の流出はコンプライアンス違反になり、損害賠償問題や取引中止に追い込まれるかもしれません。同業他社に自社の重要な情報やノウハウが渡ってしまえば、大きな損失になります。また事件がマスコミに報道されることで企業イメージ低下、信用の失墜による顧客離れにつながるリスクもあります。

また、EMOTETに感染すると、それをきっかけにランサムウェア（身代金要求型ウイルス）に感染し、端末に入り込んで奪ったデータをもとに金銭を要求されることもあります。ネットワークを通じて社内全体に伝染したマルウェアを除去するための手間や時間、業務への影響も計り知れません。

さらに自社が攻撃されて被害を被るだけでなく、気付かないうちに自社のPCが攻撃の踏み台にされ、遠隔操作でサイバー攻撃に利用されるなど、加害者になってしまうこともあるのです。

関連記事
ビジネスメール詐欺（BEC）、被害額は約4,050億円にも上る脅威と対策
Emotet感染、情報漏洩、ランサムウェア被害企業・事例一覧2023｜サイバーセキュリティ総研

メールセキュリティの目的

メールセキュリティの目的は、主に次の５つに分類できます。

脅威が潜む危険なメールを受信しないようにする

不特定多数に送信されるスパムメールや、実在する金融機関や法人、または取引先や自社の従業員などを装ったフィッシングメールを受信しないことが重要です。

メール送信者の正当性と電子メールの信頼性を確認するSPF、DKIM、DMARCなどのメール認証技術を用いることでフィッシング攻撃やスパムを防止できます。

脅威が除去された状態でメールを受け取れるようにする

メールを使った攻撃は、ウイルスやマルウェアを含んだファイルを添付して送信します。メールや添付ファイルの本文中に、ウイルスやマルウェアをダウンロードさせる不正なサイトへのリンクURLが記載されています。

こうしたメールへの対策としては、「添付ファイルをスキャンしてウイルスやマルウェアを除去した後で受信」、「添付ファイルを分離して受信」、「メール本文や添付ファイル内のURLを無効にして受信」などの方法が有効です。

人的ミスによるメールの誤送信を防止する

2023年1月に弊社(サイバーソリューションズ)で調査を実施しました。結果として、4人に1人が送信先を誤った経験があり、「相手からクレームの連絡を受けた（16.1％）、相手から損害賠償請求を受けたことがあると回答しました。

メールの送信先間違い、添付ファイルの間違いなどのミスを防ぐことに多くの企業が課題を持っています。解決策として、メールを送信した後にメール送信を一時保留し、メールの送信先や添付ファイルを再確認したり、上司など送信者以外の人が内容を確認することで、誤送信を防止できます。

調査レポート
メール誤送信の実態調査 2023  | サイバーソリューションズ

業務効率を落とさずに脱PPAPする

パスワード付きZIPファイルをメール添付で送信する「PPAP（ピーピーエーピー）」。PPAPで送信されるファイルは、ウイルスチェックをすり抜けてしまいます。2020年に平井卓也デジタル改革担当相（当時）が、PPAPを廃止する方針を示したことにより、「脱PPAP」の気運は一気に拡がりました。

脱PPAPは、送信時にメール送信先企業のポリシーに沿った対応で、添付ファイルを送信します。PPAPファイルを受信した際のウイルスチェックが欠かせません。メール添付の運用効率を維持しつつ、脱PPAPを実現できるソリューションの選定が重要です。

関連記事
脱PPAPとは？PPAPに潜む課題と廃止の背景や対策方法まで解説！
日本人はなぜ「マスク」と「PPAP」をやめられないのか：あなたは大丈夫？　電子メールのセキュリティ対策

メールをまとめて保存し、コンプライアンス対応する

全ての企業にとってコンプライアンス対応（法令順守）は不可欠です。コンプライアンス推進体制を整備し、教育・研修を通じて法令違反を防ぐことが求められます。また、コンプライアンスの対応状況のチェックも欠かせません。

サイバーソリューションズで実施した前述のメール誤送信の実態調査では、メール誤送信による情報漏洩事故が発生しても20代のビジネスパーソンの92%は、事故を報告していないことが判明しました。そのような状況に対応するため、コンプライアンス違反が発生した際にも、事実関係を調査するためのメールの送受信履歴を残すことで必要に応じて素早く該当メールを提出・報告できるようにしておくことが必要です。

関連記事
メールのアーカイブは全てのメールを保管しリスクに備えること
20代は8％しか上司に報告しない！？ビジネスメールの誤送信と対応の実態調査を発表

メールセキュリティの目的別対策とは？

重要な情報が記載されたメールの宛先間違いや、内部情報の不正な持ち出しによる情報漏洩の被害、外部からの攻撃や誤送信による情報漏洩などを防止するために、メールセキュリティでは受信・送信の双方の対策を行うことが必要です。

危険なメールを受け取らない「受信対策」

危険なメールを受け取らない受信対策は、次の5つに分類されます。いずれかの対策だけを実施するのではなく、全ての対策を包括的に実施する必要があります。

事例
7,000アカウントのMicrosoft 365メールセキュリティオンプレからクラウドへ移行で運用管理を低減 | レオパレス21さま

受信したPPAPファイルのスキャン

受信したPPAPファイルをクラウド上で暗号を解除しスキャンすることで、PPAPファイル経由でのウイルスの侵入を防ぎます。

事例
メール、ファイルの無害化の作業負担がゼロに。PPAP対策も万全に、業務効率が格段にアップ  | 茨城県五霞町様

なりすまし対策

SPF/DKIM/DMARCといった受信メールの信頼性を確認する認証技術を用いることで、送信者を偽装したフィッシングメールや詐欺メールの受信を防ぎます。

関連記事
DMARCとは？ なりすましメールからお客様、取引先、従業員を守るために

スパム対策（アンチスパム）

スパムメールを検知するスパムエンジンとホワイトリストやブラックリスト方式により迷惑メールを受信しないようにブロックします。

関連記事
今さら聞けない法人向けスパムメール対策とは

ウイルス対策（アンチウイルス）

複数のウイルス対策エンジンと最新のパターンファイル（ワクチン）で、メールに添付されているファイルにウイルスやマルウェアが含まれていないかチェックします。

関連記事
コンピュータウイルスとは？主な感染経路、脅威と対策、感染時の対処法について

サンドボックス

ウイルス対策では問題が検知されなかった添付ファイルをクラウド上のサンドボックスでチェックすることで、未知のウイルスの侵入を防ぎます。

関連記事
Emotet（エモテット）とは？手口から起こりうる被害と対策方法を解説

人的ミスによる情報漏洩を防ぐ「送信対策」

メール送信者による自己承認

メール送信者が、メールを送信する際に承認画面にて内容の再確認をすることで、誤送信を未然に防ぐための機能です。承認保留中のメールは内容を確認し、送信の取り消しが可能です。

上長による送信メールのチェック

メールを送信すると、上長（第三者）に確認依頼が届き、上長（第三者）の承認後にメールが送信されます。送信者と上長（第三者）の2重チェックによる確認ミスを防ぎます。

送信メールを強制的にBCC

メールの宛先のToまたはCcに指定した件数以上のメールアドレスが含まれる場合に、自動的にすべての宛先をBCCに変換して送信することで、宛先メールアドレス（個人情報）の漏洩を防止します。

個人情報チェック

メール本文や添付ファイル内に個人情報が含まれていないかをチェックします。個人情報が含まれていた場合には、メール送信を保留にし関係者へ通知することで、情報漏洩を防止します。

送信メールの脱PPAP

メール送信先毎に、ファイルの分離送信、PPAP送信、通常送信、パスワード別経路送信などの複数の送信方法を、送信先ごとに細かく設定します。送信先の脱PPPA状況に応じたメールの添付ファイル送信を自動化します。

事例
Microsoft 365 対応の脱PPAP 添付ファイル分離送信の作業負担がゼロに（ネットワールド様）

送信保留

メール送信した後に一定時間送信を保留します。送信保留の時間内であれば、送信をキャンセルし、内容を編集できます。

すべてのメールを保管しインシデント発生に備える

メールの保存期間

電子帳簿保存法の改正により2024年1月以降、電子メールの保存が義務付けられました。請求書、領収書、納品書、注文書、見積書などをメールで受け取った場合はデータ保存の対象となります。取引書類は紙・メール・ダウンロードの3つの方式に分類して管理されることになっており、保管期間は7年間です。長期間なので、運用の規則やシステムの整備がポイントになります。

メールサーバとは別に、全てのメールを保管する「メールアーカイブ」を導入することで、コンプライアンス違反の事実関係の調査を迅速に行うことができます。

メール検索のしやすさ

送受信されたメールの調査では、調査対象のメールを迅速に探し出さなければなりません。メール本文のみならず、添付ファイルの内容も含めた検索性能が調査能力を左右します。

関連記事
メールのアーカイブは全てのメールを保管しリスクに備えること

メールセキュリティ対策の選び方

社内に不要な負担をかけないことを前提に、上記のメールセキュリティの目的別対策をふまえて、自社の環境に合わせたソリューションを選びます。送信先にも配慮した対応ができること、利用しているメールシステムに合わせたサービスを選ぶことが重要です。

企業の業務アプリとして利用されているクラウドサービスMicrosoft 365やGoogle Workspaceであっても、添付ファイル自動URL化機能・遅延送信やBCC強制変換のようなメールセキュリティ機能は十分ではありません。企業の情報資産をサイバー攻撃から守るために「情報漏洩対策」「標的型メール攻撃対策」「メールアーカイブ」「シングルサインオン」「アクセス制御」といったセキュリティ対策を付加することが不可欠です。それらMicrosoft 365/Google Workspaceの脆弱性を効率的に回避できるのが、サイバーソリューションズののCloud Mail SECURITYSUITE（CMSS）です。

月額200円でメールセキュリティ対策を実現できる法人向けソリューション

Cloud Mail SECURITYSUITE（CMSS）で、月額200円からMicrosoft 365やGoogle Workspaceのメールセキュリティを強化できます。

受信する全てのメールをチェックし、DMARCによるなりすましメールの受信防止、ビジネスメール詐欺やフィッシングメールの受信防止、ウイルス、マルウェア対策、迷惑メール対策、サンドボックス、受信時のPPAP対策も提供します。ご興味があればお気軽にお問い合わせください。

クラウド型メールセキュリティ製品を選択するメリット

クラウド型のメールセキュリティ製品は、複数のメールセキュリティを一括で導入できるため、システムを構築する手間や時間、コストを削減できます。セキュリティの更新がクラウド上で自動で行えるため、常に最新の脅威に対応できます。多層的なメールセキュリティ対策により、セキュリティ対策の導入や運用の負担を軽減できるでしょう。

クラウド型メールセキュリティシステムの費用体系

クラウド型メールセキュリティ製品は、大きく分けて「ID単位での課金」と「ドメイン単位での定額課金」の2種類の料金体系が取られています。ID単位での課金では、1IDあたり月額数百円程度が相場です。一方、ドメイン単位での定額課金の場合は、契約アカウント数が増えるほど、1アカウント当たりの単価が割安になる制度を導入しているところが多い傾向にあります。「ID単位での課金」と「ドメイン単位での定額課金」のいずれも対策の幅やプランなどにより、段階的な費用体系であることが多いです。

クラウド型メールセキュリティ製品の選び方

クラウド型セキュリティ製品を選ぶ際は、目的や既存システムとの連携などを加味しましょう。ここでは、6つの選び方を解説します。

包括的な対策ができるか

メールには、さまざまな脅威とリスクがあります。これらを包括的に対策できるメールセキュリティ製品を選びましょう。対策すべき脅威やリスクとして、以下が挙げられます。

・なりすまし対策
・フィッシングメール対策
・迷惑（スパム）メール対策
・マルウェア対策
・PPAP受信メールのウイルス検知
・メール添付ファイルの安全な送信
・サンドボックス
・メール無害化
・メールアーカイブ、メール監査

1つの防御階層に複数のセキュリティ対策を整備する多重防御により、多様化するメールへのリスクや脅威に確実に対応できるでしょう。

目的にあった機能があるか

メールセキュリティ製品により、搭載している機能が異なります。メールセキュリティ製品を導入する目的を明確にし、必要なメールセキュリティ製品を導入しましょう。目的や対策に応じた機能のみを選定することで、コスト削減にもつながります。

導入済みのほかのシステムと連携できるか

メールセキュリティ製品は、現在利用しているほかのシステムと連携が取れるものを選びましょう。連携可能な製品を選べば、既存環境を変えることなく、メールの脅威やリスクに備えられます。Microsoft 365やGoogle Workspaceなどのクラウドサービスやオンプレミスのメールシステムと連携できるかも重要なチェックポイントです。

費用対効果は適正か

メールセキュリティ製品の導入や運用にかかるコストには、導入初期費用・月額や年額の利用料・メールサーバーを管理するための人件費などが含まれます。必要なコストと得られる効果を比較して、導入を決めましょう。なお、オンプレミス型に比べ、クラウド型のメールセキュリティ製品は導入のコストが抑えられます。

脱PPAPは可能か

PPAPはセキュリティ対策として不十分であるだけでなく、暗号化したファイル経由でウイルスなどのマルウェアに感染する危険性がある誤った対策方法であり、脱PPAPの潮流が高まっています。

なお、PPAPは日本で独自に普及した手法のため、Microsoft 365やGoogle Workspaceといった海外のメールクラウドシステムは脱PPAPに対応していません。海外のメールクラウドサービスを利用しながら脱PPAPを実現できるかを確認しましょう。

自社の運用スタイルに適しているか

業務アプリケーションに海外のクラウドサービスを利用しつつ、ワークフローやグループウェアは国産の製品やクラウドサービスを利用している企業は少なくありません。メールセキュリティ製品は、グループウェア製品やサービスといかに連携できるかが重要です。メールセキュリティ製品は、導入済みのグループウェア製品に対応できるか、運用スタイルに合わせて設定をカスタマイズできるかを重視しましょう。チェックすべき例として、以下が挙げられます。

・SLA（サービス品質保証）の責任範囲や違反時の対応が十分か
・適宜、バージョンアップしてもらえるか
・国内での運用実績があるか
・システムは安定して利用できるか
・多様な業種・業態での運用実績があるか
・サポート体制は十分か

月額200円でメールセキュリティ対策を実現できる法人向けソリューション

Cloud Mail SECURITYSUITE（CMSS）で、月額200円からMicrosoft 365やGoogle Workspaceのメールセキュリティを強化できます。

受信する全てのメールをチェックし、DMARCによるなりすましメールの受信防止、ビジネスメール詐欺やフィッシングメールの受信防止、ウイルス、マルウェア対策、迷惑メール対策、サンドボックス、受信時のPPAP対策も提供します。ご興味があればお気軽にお問い合わせください。

まとめ

メールを使った攻撃手法は常に変化しています。外部からの攻撃を防御し、内部からの人的にミスによる情報漏洩を防ぎながら、コンプライアンスに対応するためにも、メールセキュリティは全ての企業や団体にとって不可欠です。メールセキュリティの本質をとらえた対応と業務効率や生産性に適合したメールセキュリティを選定しましょう。

メールセキュリティには、サイバーソリューションズ株式会社が提供するメールセキュリティ対策をご利用ください。さまざまなインフラ環境に対応しており、価格優位性もあります。メールに関するサービスも豊富です。ぜひご検討ください。