メールのセキュリティ対策とは?必要性や企業が実施すべき対策方法を解説
目次
多くの企業が利用しているメールですが、サイバー攻撃を受けたり、誤送信したりなど、さまざまなセキュリティリスクがあります。
セキュリティリスクを放っておいた場合、企業の信用が失墜するなどの大きな損失を被る恐れがあるため、セキュリティ対策を施すことは重要です。
メールのセキュリティ対策が必要な理由や企業が実施すべき対策方法について解説します。
メールのセキュリティ対策が必要な理由
現在、多くの企業が社内外のコミュニケーションにメールを利用しています。
総務省が、クラウドサービスを利用する企業が具体的に利用しているクラウドサービスを調査したところ、令和2年において「ファイル保管・データ共有」が58.3%と最も高く、「電子メール」の利用は50.2%と次ぐ結果になりました。
一方で、メールによるセキュリティ侵害も多く発生しており、総務省の調査によると、令和2年から過去1年の間に、受信者を標的とした標的型メールが送られてきた企業の割合は34.3%、無差別に送られてくるスパムメールが送られてきた企業の割合は9.7%もあります。[※1]
メールによる悪意ある攻撃が多い理由は、メールアドレスさえ取得できれば、企業に危害を加えるURLやファイルを送ることが容易なためです。
メールは、連絡手段やコミュニケーションツールとして便利ですが、攻撃の対象になりやすく、情報を漏洩したり詐欺被害にあったりなどさまざまなリスクが伴うため、セキュリティ対策を万全にしておくことが重要です。
近年の不正メールの特徴
近年の不正メールは、受信者である特定の企業や組織を標的とした標的型メールが頻発している傾向です。[※2]
攻撃者は、標的から機密情報を盗取することを目的としており、実在する社員の名前を騙ったり、文面を実際に企業で使われている内容に寄せたりして、標的に属する社員にURLのクリックや添付ファイルの開封をさせようとします。
標的型メールは、ウィルス対策ソフトで除外されない場合もあるため、添付ファイルを開封するなどしてウィルスに感染しても気づく可能性が低く、いつの間にか甚大な被害となっているケースもあります。
メールのセキュリティ対策をおこなわないリスク
メールのセキュリティ対策をおこなわないことで生じるリスクを解説します。
情報漏洩の問題
メールは、企業の機密情報や取引先との取引情報、顧客の個人情報を文章やファイルとしてやりとりするケースが多いため、ウィルスなどにより情報漏洩が生じた場合、自社だけでなく、取引先や顧客の情報が漏洩する恐れがあります。
自社の情報の場合は自社だけで被害が留まりますが、取引先や顧客の情報の場合は、第三者に悪用されてさらなる被害をうむなど、多大な迷惑をかけかねません。
取引先や顧客を守るためにも、情報漏洩リスクに備えることが重要です。
社会的評価の下落
企業がセキュリティ対策をおこなわず、サイバー攻撃により被害を受けた場合、セキュリティ意識の低い企業として社会的評価が下落する可能性が高いです。
現代はIT技術が発達し、企業のみならず個人でも多くの人がIT機器に触れ、活用しており、なかには個人でもセキュリティソフトを導入し、セキュリティ対策を万全におこなっている場合もあるでしょう。
生活するうえで欠かせなくなっているメールなどのIT技術に関して、企業がセキュリティ対策をおこなっていないと、不安を感じた顧客や、今後の取り引き継続に懸念を抱いた取引先が離れ、事業の継続が危うくなる恐れがあります。
自社システムやデータのロック
悪意ある攻撃により、自社システムやデータをロックされる恐れがあります。
攻撃者が自社システムやデータをロックする目的は、金銭や情報の提供など、攻撃者の利益となるものを要求するためです。
自社システムやデータをロックされた企業は、ロック解除されない限り業務をおこなえないため、相手の要求をのみ、さらなる被害を受けることもあるでしょう。
企業は、自社システムを攻撃され、度重なる被害を避けるためにも、セキュリティ対策を施しておきましょう。
メールのセキュリティリスク:サイバー攻撃
メールのセキュリティリスクのひとつに、ネットワークを通じて相手に攻撃をおこなうサイバー攻撃があります。
サイバー攻撃の種類とリスクを解説します。
マルウェアへの感染
マルウェアとは、機密情報を盗取したり、データを破壊したりする悪意あるソフトウェアのことで、メールや不正サイトへのアクセスなどが感染経路となります。
マルウェアに感染すると、PCへ不正アクセスされ感染者にとって不利益となる行為がおこなわれるため、メールに添付されたファイルや記載されたURLをむやみに開いたりクリックしたりしないことが大切です。
マルウェアの感染に主に使用されるファイルとして、WordやExcelファイル、拡張子が「.exe」ファイルがあげられます。
フィッシング詐欺
フィッシング詐欺とは、攻撃者が実在する企業や組織の名前を騙り、メールに記載された偽サイトのURLへ誘導してメール受信者のログイン情報やクレジットカード番号などを盗取しようとするサイバー攻撃です。
たとえば、偽サイトでクレジットカード番号を入力した場合、クレジットカードを不正利用されてしまう恐れがあります。
メール受信者に送られるメールの内容は、公式の企業や組織から送られてくるメールの内容と非常に似せて作られているため、記載されているURLやメール送信者のアドレスに不審な点がないか確認しましょう。
標的型メール(スピア型メール)
標的型メール(スピア型メール)とは、特定の企業や組織など標的に対して送られるメールのことで、特定の相手を一点集中して攻撃することから「槍」を意味するスピア(Spear)型メールともいわれます。
標的型メールに記載されたURLをクリックしたり、ファイルを開封したりすることで、マルウェアへの感染などのリスクがあります。
総務省が注意喚起しているように、近年頻発しているサイバー攻撃のため、在籍する社員の名前が使われていたり、件名に「重要」など開封を促す文言が書かれていたりした場合でも、悪意あるメールではないか冷静に判断しましょう。
BEC(ビジネスメール詐欺)
BEC(Business Email Compromise)とはビジネスメール詐欺ともいい、攻撃者が企業の取引先などになりすまし、メールで送金を指示したり、機密情報を得たりしようとすることで、主に金銭被害をもたらします。
総務省によると、日本、米国、シンガポールの企業におこなったアンケートで、米国、シンガポールがBEC(ビジネスメール詐欺)を脅威と感じる割合が高いのに対し、比較的日本は低い割合のため、BECの脅威も意識することが大切です。[※3]
メールの盗聴
攻撃者による不正アクセスによって、メールが相手に届くまでに第三者に盗み見られることをメールの盗聴といいます。
メールが盗聴された場合、企業の機密情報や顧客の個人情報を悪用されたり、システムへのログイン情報を利用され不正ログインをされたりする恐れがあります。
また、標的型メールやBEC(ビジネスメール詐欺)に利用され、さらなる被害をうむ可能性もあるでしょう。
DDoS攻撃
DDoS(ディードス)攻撃とは「Distributed Denial of Service attack」の略で、分散型サービス拒否攻撃といいます。
DDoS攻撃は、標的のサイトやサーバーに複数のコンピューターからデータやアクセスを過剰に送付し、サイトが機能しなくなったり、ネットワークの遅延を発生させたりするサイバー攻撃です。
複数のコンピューターではなく、1台のコンピューターから攻撃することをDos(ドス)攻撃といいます。
DDoS攻撃によりサイトが機能しなくなった場合、顧客は不便さを感じ利用をやめる可能性があり、企業の利益損失や社会的信用の低下を招く恐れがあります。
総務省によると、DDos攻撃に対して日本が脅威と感じている割合は、BEC(ビジネスメール詐欺)と同様、米国とシンガポールと比較して低いです。[※3]
メールのセキュリティリスク:人的操作
メールのセキュリティリスクは、サイバー攻撃だけでなく、社員の人的操作のミスによっても発生します。
メールの送り先を間違えるメール誤送信や、添付するファイルを誤って送信することは、情報漏洩につながる人的ミスの代表行為です。
総務省によると、日本の企業が「自社で最も脅威となる事象」としてあげた内容のなかで、サイバー攻撃などの外的要因を除くと「内部不正による被害(情報漏洩、業務停止)」の次に「メールの誤送信・誤配信」が高い割合でした。[※3]
また、メールを送信する際に、CCとBCCを誤り、メールの受信者にほかの受信者のメールアドレスが公開されてしまい、個人情報の漏洩となった事例もあります。[※2]
メールのセキュリティ対策の方法とは
メールのセキュリティ対策の方法を紹介します。
ウイルス対策ソフトを導入する
ウィルス対策ソフトを導入することで、不審なメールやウィルスの有無がスキャンにより確認されるため、危険なメールやファイルを開いてしまうリスクを軽減できるでしょう。
また、ウィルス対策ソフトはマルウェアの感染やほかのPCへの感染拡大も防止できます。
スパムメールのフィルター設定をおこなう
スパムメールのフィルター設定をおこなうことで、スパムメールとして自動で振りわけられるようになるため、メールが届いて開いてしまうリスクを抑えられます。
スパムメールは、返信したり記載されているURLをクリックしたりすると、現在使われているメールアドレスだと認識され、さらにスパムメールが増えたり、悪質なメールが送られてきたりする恐れがあるため、アクションをおこさないようにしましょう。
メールの暗号化をおこなう
メールを暗号化することで、悪意ある第三者に不正アクセスされないようになります。
メールの暗号化には、公開鍵暗号方式と秘密鍵暗号方式がありますが、秘密鍵暗号方式のほうが「共通鍵」のみでデータの暗号化や復号化ができるため手間が少なく、低コストです。
情報セキュリティの研修をおこなう
企業は、社内で情報セキュリティの研修をおこない、社員のITリテラシーを高めることが重要です。
ウィルス対策ソフトの導入やスパムメールのフィルター設定をしても、社員の情報セキュリティに対する意識が低く、怪しいメールを開いた場合、サイバー攻撃を受ける恐れがあります。
メールによるセキュリティリスクが生じるケースや、リスクを生じさせない対策を研修で周知徹底することにより、メールの誤送信などの人的ミスによるセキュリティリスクも軽減できるでしょう。
メールを使わない手段に「Chatwork」
外的、内的要因によるセキュリティリスクがあるメールは、リスク回避のために使わないこともひとつの手段です。
メールよりもセキュリティリスクを抑えて利用できるコミュニケーションツールに、ビジネスチャット「Chatwork」があります。
「Chatwork」は、大企業や官公庁も導入できるセキュリティ水準が整っているコミュニケーションツールで、チャット形式で相手にメッセージやファイルを送ることができ、万が一送り先を誤った場合にも、すぐに「削除」することができます。
また、通知を送りたい相手には「TO」機能を活用して、名前とアイコンを確認してからメッセージを送れるため、トークルームと「TO」機能の二重チェックで誤送信を防げるでしょう。
コミュニケーション手段の最適化をはかりましょう
メールは便利なコミュニケーションツールである一方、サイバー攻撃や人的ミスなどのセキュリティリスクがあります。
自社の信用だけでなく、取引先や顧客を守るためにも、メールのセキュリティ対策を施すことは重要です。
コミュニケーションツールとして、メール以外の手段を検討される場合には、メールよりもセキュリティリスクを抑えられ、利用しやすいコミュニケーションツールであるビジネスチャット「Chatwork」の活用を検討してください。
Chatwork(チャットワーク)は多くの企業に導入いただいているビジネスチャットです。あらゆる業種・職種で働く方のコミュニケーション円滑化・業務の効率化をご支援しています。
[※1]令和2年 通信利用動向調査報告書(企業編)
https://www.soumu.go.jp/johotsusintokei/statistics/pdf/HR202000_002.pdf
[※2]標的型攻撃への対策
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/05.html
[※3]5Gが促すデジタル変革と新たな日常の構築
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd134510.html