運用やアーカイブまで考慮したメールセキュリティの選定：メールセキュリティサービスの選び方【前編】

メールセキュリティサービス選びで妥協してはならない。フィッシングメールの検知率はもとより、大量のユーザーの移行やアーカイブなども考慮されたサービスであれば運用も効率化する。

[Nicholas Fearn，Computer Weekly]

　メールセキュリティの特効薬はない。

　メールセキュリティサービス選びで最も重要なことの一つは、セキュリティを確保する対象だ。Vade Secureのエイドリアン・ジェンドル氏（チーフソリューションアーキテクト）は次のように話す。「『Google Workspace』で機能するものが『Microsoft 365』のメールにも適しているとは限らない」

関連記事

• 「最悪のシナリオ」対策とメール監査体制構築のススメ
• 「メールセキュリティに悪影響」MicrosoftのDMARCレポート停止をNCSCが批判
• AIによるセキュリティの自動化がもたらす次の課題
• 受信者がだまされるフィッシングメールの件名トップ10
• 今すぐ再確認すべき電子メールセキュリティ総まとめ

　「高い技術を持つハッカーはメールセキュリティシステムをリバースエンジニアリングすることが知られている。ここで言うリバースエンジニアリングとは、システムの弱点を明らかにし、その弱点を利用して悪用する方法を開発することだ」

　ジェンドル氏は、ゲートウェイまたはクラウドゲートウェイを検討している企業に警告する。ハッカーはMXレコードを検索してMicrosoft 365のメールを保護するゲートウェイを見つけ出し、使われている防御層に応じてサイバー攻撃を調整するという。

　同氏は次のように話す。「多くの環境で、ハッカーはゲートウェイを迂回（うかい）してMicrosoft 365のパブリックエントリポイントに直接アクセスできる。そのようなケースにはAPIベースのサービスが適している。APIベースのサービスはハッカーから見えないMicrosoftのテナント内にあり、通常は脅威への自動対応のような追加機能を同時に提供する」

　米国の児童福祉および問題行動の医療機関KVC Health Systemsは、長年にわたり多くのフィッシングメールやスピアフィッシングメールを目にしてきた。そしてMicrosoft 365に移行したタイミングでそうしたメール攻撃が急増した。

　KVCのエリック・ナイバーグ氏（IT部門バイスプレジデント）は次のように話す。「医療データは高値で売れる。そうした情報の漏えいは組織の評判に悪影響を及ぼす」

　「メールセキュリティ製品／サービスに満足したことは一度もない。80％の攻撃を阻止できるだけでは不十分だ」

AIベースのメールセキュリティ

　KVCは、Vade SecureのAIベースのメールセキュリティシステム「Vade Secure for Microsoft 365」を本稿執筆の9カ月前に実装した。以来、KVCは深刻なメール攻撃を目にしていない。ナイバーグ氏は次のように話す。「ほぼ毎年、1通から2通のフィッシング攻撃を受けてきた。Vade Secure for Microsoft 365を稼働させてから、そのようなメールを目にしていない。Vade Secure for Microsoft 365はこれまで見てきたどのメールフィルターより改善されている。Microsoftが見逃したメールもキャッチしてくれる」

　英ロンドンの広告代理店Four Communicationsも、メールセキュリティに関するさまざまな問題に直面している。こうした問題を解決するため、同社はMimecastのメールセキュリティとアーカイブのサービスを導入した。

　Four Communicationsのジェイク・フレイザー氏（ITおよび運用部門ディレクター）は次のように話す。「当社は近年、多くの新企業を買収している。買収するたびに新しい従業員が入ってくるためITの複雑性が増加する。新しく受け入れた従業員を当社のシステムに移行させるに当たって、買収前のメールシステムのデータを一切失うことなく移動する必要がある。移行前のメールシステムが何であろうと問題になってはならない」

　Mimecastのメールセキュリティとアーカイブのサービスによって、従来は数カ月かかっていた新しい従業員の移行を数週間で完了できるようになったとフレイザー氏は言う。

　「Mimecastのサービスで過去のメールは全てアーカイブされる。メールは以前と同じフォルダ構造に整理される。移行に苦痛を感じることもなく、データが失われる恐れもない」（フレイザー氏）

適切なソリューションの選択

　最も効果的なメールセキュリティプロバイダーを見つけるには、幾つか重要な要素を考慮しなければならない。サリー大学のアンドリュー・ロゴイスキ氏（サイバーコンサルタントおよびイノベーションチーム）は次のように話す。「サービスの選択に当たっては、メール内の情報の機密性、整合性、可用性を確保するアーカイブと復旧、署名、暗号化などの機能を確認する必要がある」

　選択時に考慮すべきもう一つの要素は“データの保存場所”だとロゴイスキ氏は話す。データ保護、プライバシー、暗号化に関する法的問題から、メールを保持して処理する地理的な位置を検討する必要がある。

　「例えば、ドイツのようにプライバシーとデータ保護に厳格な法律がある国でメールサービスをホストすることを意図的に選択できる。2018年にGDPR（一般データ保護規則）が最初に施行されたとき、データの所在地が大きな話題になった」（ロゴイスキ氏）

　「英国は既にEUを離脱している。データ保護の法律が変わり、EUのGDPRとは差が出る可能性もある。EU諸国と相互運用するには、データ保護を等しく行うことを実証しなければならない。EUと米国間のプライバシーシールドの枠組みは非常に複雑なプロセスで、今でも混乱を招いている。英国はこの枠組みの独自のバージョンを作成しなければならないかもしれない」

後編では、今すぐ着手すべき新たな脅威と、利用するメールセキュリティプロバイダーに不可欠な要素を紹介する。