2017年11月22日 08時00分 公開
特集/連載

GDPR順守だけではない電子メールセキュリティ(後編)「最悪のシナリオ」対策とメール監査体制構築のススメ

メールに起因する最悪の事態は常に起こり得る。こうした事態の対策と、開封確認メッセージを利用して「メール監査」ができる体制を作っておこう。GDPRに順守しつつ、組織を守る一助となる。

[Peter Ray Allison,Computer Weekly]
Computer Weekly

 前編(Computer Weekly日本語版 11月1日号掲載)では、電子メールのセキュリティに有効な各種対策方法を紹介した。後編では、DMARCによる偽装アドレスメールの防御、開封確認メッセージによる監査、そして「最悪の事態」への対処法を解説する。

Computer Weekly日本語版 11月15日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 11月15日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

DMARCの導入

 「DMARC」(Domain-based Message Authentication, Reporting & Conformance:ドメインベースの認証、レポーティング、適合)を電子メール認証に使用すると、主要な攻撃手法の1つである偽装アドレスを使用した電子メールをブロックできる。電子メールのリスク評価ツールを使用しても、疑わしい電子メールを特定し、後で解析するために隔離できる。

 DMARCは大企業や公的機関で導入されるのが一般的だ。中小企業(SME)も、利用しているインターネットプロバイダーや電子メールプロバイダー側でDMARCを導入できるかどうかの調査を求めることができる。

 小規模組織の場合は、全ての電子メールが外部委託サプライヤーの電子メールスキャンサービス経由で組織の電子メールサーバに転送されるようにすることを検討すべきだ。

 また、ネットワークのセグメント化によって、電子メールサーバを他のネットワークから隔離して、機密度の高いネットワーク領域へのアクセスを制限することも検討しておきたい。ネットワークのセグメント化は、規制されたアクセス制御と侵入検知を併せて導入することにより、アクセスを細かく制限することが欠かせない。

 電子メールフィルタリングは、電子メールがサーバに届く前に通過するネットワークアプライアンスに導入する。この手法を利用すると、疑わしいプログラムを仮想サンドボックス環境の中でアクティブ化することで、ホストやネットワークのアクティビティーを検査し、マルウェアを発見できる。

最悪のシナリオ

 組織は最悪のシナリオを考えて、惨事が起きたときの手順を整備し、この手順を定期的に更新すべきだ。「もしも」ではなく、「実際に」マルウェア感染がネットワークで広がったときに何をすべきかを詳しく記述しておく。

 「企業は、1つのアプリケーションでセキュリティの全側面をカバーする『何でも屋』的な方法を用意するよりも、さまざまなサプライヤーが提供する多様なセキュリティアプリケーションの使用を検討すべきだ。機能が重複するかもしれないが、それにより防御層が厚くなる」とMimecastでプロダクトマネジャーを務めるピータ・バナム氏は話す。

 だが、100%のセキュリティなどあり得ない。組織は、不正な電子メールを見抜く方法を従業員に教育し、悪意のある電子メールの危険性を注意喚起する必要がある。

 このような教育で参加者の関心を引くには、内容を理解しやすいものにして、専門用語には頼らないようにする。疑わしい電子メールを報告するように従業員を積極的に促し、報告された電子メールについてはフィードバックを返す。そうすれば、セキュリティ設定を更新できるだけでなく、従業員に対する教育もさらに進むだろう。

 また、特定のユーザーに向けてメッセージを調整することも不可欠だ。例えば、人事部の従業員に社外アドレスからの添付ファイルは開かないように指示しても意味がない。人事部は求職者からの応募に対応しなければならない。

 電子メールが漏えいした最近のインシデント以降、既存の電子メールアプリに暗号化プロトコルを拡張機能としてインストールし、電子メールを暗号化する企業が増えている。

 これらのシステムはエンドツーエンドの暗号化を利用してコンテンツのセキュリティを確保するだけではない。その中には一般データ保護規則(GDPR:General Data Protection Regulation)への準拠を確実にするものもある。「電子メールのセキュリティサービスや暗号化サービスは何百種類も存在するが、顧客が必要としているのは検証可能性であることが分かった。検証可能性の需要が高いのはGDPRが原因だ」とregifyでCEOを務めるカート・カンメラー氏は述べる。

開封確認メッセージの送信

 電子メールの設定によって、受信者は開封確認メッセージの要求を無視できる。だが、こうした確認メッセージの送信を強制する、セキュリティに優れた電子メールアプリケーションが存在する。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news075.jpg

KPIの到達可能性をAIが判断して広告配信を自動最適化、マイクロアドが「UNIVERSE FFM Version1.0」を提供
マイクロアドは、「UNIVERSE フルファネルマネジメント Version1.0」を提供開始した。

news061.jpg

マーケティングオートメーション×LPO トライベック・ストラテジーとデータアーティストがツール連携
トライベック・ストラテジーとデータアーティストは、それぞれが提供するツールの連携を...

news053.jpg

電通デジタルとビービット、マーケティングオートメーションのシナリオをPDCAで支援する独自メソッド提供
電通デジタルはビービットと共同で、デジタル行動観察ツール「ユーザグラム」を活用し、...