メールセキュリティ最大の弱点と最強の防衛ラインとは何か：メールセキュリティ戦略【前編】

必要だがマルウェアの主な侵入経路ともなるメールのセキュリティは昔も今も重要だ。メールセキュリティを考える上では、最大の弱点と効果的な防衛ラインを知る必要がある。

≫ 2021年05月07日 08時00分公開

　悪意のあるメールは、世界中の企業が直面する課題になっている。Verizonの調査によると、2019年におけるマルウェアの配布手段の94％はメールだという。英国のソフトウェア会社Egressの統計によると、83％の企業がメールによるデータ侵害の影響を受けている。

　メールによるセキュリティの脅威は増え続けている。だがどうすればよいのか。メールによるデータ侵害の24％は人間のミスが原因だ。故に、メールセキュリティ強化の最善の方法は、ユーザーの意識向上トレーニングと個人の責任感だとする専門家もいる。CISO（最高情報セキュリティ責任者）が、技術によってメールセキュリティに対処すべきだと考える専門家もいる。

　メールセキュリティに最終的に必要なのは教育なのか、技術なのか。

メールによるセキュリティの脅威の軽減

　メールは業務に最も使われているコミュニケーションツールの一つであると同時に、最大の攻撃ベクトルでもある。悪意のあるリンクや添付ファイルを添えてフィッシングメールを配布するサイバー犯罪者が増えている。

　「高まり続ける脅威に対抗するには、安全なコンピューティング習慣を従業員が身に付ける必要がある。だがメールセキュリティの最終責任を負うのはシニアITマネジャーだ」と話すのはケビン・カラン氏（IEEEのシニアメンバーかつ英アルスター大学サイバーセキュリティ学教授）だ。

　IT部門は企業のセキュリティを総合的に理解し、それを全社的なリスクの問題と捉えてセキュリティの脅威の法的な課題や規制的な課題を認識しなければならないと同氏は言う。その後、回避する脅威、受け入れざるを得ない脅威、軽減する脅威を見極め、各ケースに対処する具体的な計画を立案する。

　メールがもたらすセキュリティの脅威に無関心な従業員は多い。結果として、そうした従業員が簡単にサイバー犯罪の餌食になる。メールセキュリティ問題を従業員に認識させるため、IT部門はセキュリティに関する適切な教育を実施する必要がある。例えば、メールのベストプラクティスを示し、メール内のリンクをクリックする危険性を説明するとカラン氏は話す。

　同氏は、よく使われている手法も推奨する。セキュリティチームが偽のマルウェアを埋め込んだメールを従業員に送信し、それを開いた従業員を解説サイトに誘導する。解説サイトでは、その従業員が犯したミスとその行動の危険性を説明する。「教育は不可欠だ」と同氏は強調する。

　ユーザーの自覚は必須だが、悪意のあるメールによる脅威を軽減する技術的な手段もたくさんある。カラン氏によると、その一つが着信メールの認証だという。「SPF」（Sender Policy Framework）、「DKIM」（DomainKeys Identified Mail）、「DMARC」（Domain-based Message Authentication, Reporting and Conformance）などを実装すれば、なりすましメールに起因するスピアフィッシングなどの攻撃を緩和できると同氏は言う。

　カラン氏によると、これらは送信元メールサーバのIPアドレスとドメインを検証できるため、特に効果が高いという。だが、多くのメリットがあるのに導入していない企業は多いと同氏は指摘する。メールセキュリティの脅威を厳しく取り締まるため、ファイアウォール、アクティブな添付ファイルスキャン、Webフィルタリング、侵入検知システム、マルウェア対策製品も活用すべきだと同氏は補足する。

　さらに、ユーザーの特権を制限することを企業に勧める。マルウェアの実行はユーザーの特権を利用する。

　ランサムウェアは悪意のあるWebサイトで配布されるのが一般的になっているため、広告のブロックを有効にすることも同氏は推奨する。

　「全体としては、従業員が責任感を持ち、警戒を怠らないようにしなければならない。企業が十分な防御とトレーニングを整えることで、メールが攻撃ベクトルとして使われないようにすることも必要だ」（カラン氏）

重要なのは人間

　BT Securityのトリスタン・モーガン氏（グローバルコンサルタンシーおよびサイバー部門ディレクター）によると、サイバー攻撃に対する最も効果的な防衛ラインは人間だという。

　「最善の技術と最高の防護を配備したとしても、セキュリティの強度を決めるのは最も弱い部分だ。誤ったリンクをクリックするといった取るに足らない行動によってセキュリティの土台が崩れることもある。実際、それは度々起きている」と同氏は語る。

　「2000通に1通のメールはフィッシング攻撃だと推定される。その1通が攻撃に成功すれば大規模なサイバーインシデントに発展する」

　コロナ禍によってリモートで働く従業員が増えていることを考えると、メールセキュリティのリスクは2020年よりも劇的に高まっている。こうした問題に対処する最善の方法は、全従業員がセキュリティに責任感を持つ職場文化を生み出すことだとモーガン氏は強調する。

　「BT Securityには、セキュリティの全側面を定期的に負荷テストする攻撃セキュリティチームがある。テスト対象には、サイバーセキュリティだけでなく物理的なセキュリティやソーシャルエンジニアリングも含まれる」と同氏は説明する。

　「このチームは、当社のビジネスにとっての全てのリスクと脆弱（ぜいじゃく）性を突き止めるべく尽力する。それによって、変化する脅威に合わせて戦略や従業員のトレーニングを調整し、セキュリティに不足が見つかった領域を改善できる」

　同氏によると、企業はセキュリティの重要性を全従業員に個人レベルで納得させなければならないという。「当社が実施した最近の調査では、セキュリティインシデントの被害に遭った従業員の45％がその事実を報告していないことが明らかになった。その理由は、どうすればよいか分からなかったか、報告しないことを選んだかのどちらかだった」とモーガン氏は話す。

　「これは非常に重大な問題だ。セキュリティチームは対応するための貴重な時間と対策する機会を失う。従業員を教育し、サイバー脅威に対処するツールを装備し、自覚を促すことが重要だ。だが、サイバー脅威への対処を受け入れる気持ちや個人の責任感を従業員に持たせることこそが企業のセキュリティを本当に変えると考えている」

後編では、以上を踏まえて効果的なメールセキュリティ戦略を検討する。

TechTargetジャパントップセキュリティ