検索
特集/連載

堅牢なメールセキュリティ層を構築するための唯一の方法メールセキュリティ戦略【後編】

メールはその性質上、システムの一部に人間が必然的に含まれる。だが優秀な管理者はここに活路を見いだす。彼らが堅牢なメールセキュリティ層を構築する方法とは何か。

Share
Tweet
LINE
Hatena

 前編(メールセキュリティ最大の弱点と最強の防衛ラインとは何か)では、メールセキュリティを考える上で欠かせない、最大の弱点と効果的な防衛ラインについて解説した。

 後編では、以上を踏まえて効果的なメールセキュリティ戦略を検討する。

多層戦略

 ユーザーの自覚と技術の両方を用いる多層アプローチもサイバー犯罪と戦う上で役立つ可能性がある。Splunkのマティアス・メイヤー氏(セキュリティエバンジェリスト)によると、戦略は3つの層で構成する必要があるという。

 最初の層は防止だ。市販製品を使って、この層でフィッシングメールの大半をブロックする。2番目の層では人間の介入を増やし、メールセキュリティのリスクをユーザーに認識させる。そして最初の層を擦り抜けた脅威を従業員が検出する態勢を整える。

 3番目の層は、改善を繰り返す段階だ。この層では、SOC(セキュリティオペレーションセンター)がメールセキュリティの脅威を分析して防止層を改善し、自動化によって同じ問題の再発を防ぐ。

 「防止、人間の介入、全体の改善を繰り返すことがSOCの有効性の鍵を握る。このサイクルには一般的にセキュリティチームが対応する。『SOAR』(Security Orchestration, Automation and Response)プラットフォームが提供する自動化を利用することで、その効率を大幅に高められる」とメイヤー氏は説明する。

 だが技術が効果を発揮するには条件がある。

 それは、従業員が疑わしいメールにフラグを付けるなどのセキュリティ対策を実行している場合に限られると同氏は警告する。「組織は適切な技術を確実に用意し、従業員に正しいセキュリティ文化を浸透させる必要がある。さらに、データを解釈して行動できる適切な人材をSOCに配備することが非常に重要だ。それによって、セキュリティに対してバランスが取れたアプローチを取るようにする」とメイヤー氏は語る。

 Synopsysでシニアセキュリティエンジニアを務めるボリス・シポット氏も、最善のメールセキュリティ戦略はユーザーの教育と技術ソリューションで構成すべきであることに同意する。「メールがもたらすリスクや危険性を従業員に自覚させるには教育が必要だ。だが、フィッシング攻撃の存在はずっと前から知られている。認識を促すだけでは駄目だ」と同氏は述べる。

 「フィッシングメールは驚くほど巧妙化しており、スペルミスや下手な文章が見つかるケースはなくなっている。技術的な解決策を導入して従業員の意思決定プロセスを支援する必要がある。教育によってそうした解決策や制約を従業員が受け入れやすくなるだろう」

 Titaniaのニコラ・ホワイティング氏(最高戦略責任者)は、攻撃からの回復性を備えた堅牢(けんろう)なメールシステムを構築できるのは、そうしたシステムを支える技術とそれを利用する従業員の両方を重視する場合に限られると説明する。

 「回復力を向上させる技術的な解決策は多数ある。DMARCのようなメール検証システム、暗号化、既知の脅威に対するフィルタリングなどだ。GDPR(一般データ保護規則)などの法令違反になる情報や企業に深刻な損害をもたらす機密情報などの持ち出しリスクを軽減するファイアウォールなどもある」と同氏は話す。

 従業員はメールを毎日利用するため、サイバー犯罪者にとっては魅力的な標的だ。企業が従業員に問題を意識させる最善の方法はセキュリティトレーニングを行うことだとホワイティング氏は強調する。

 「メールはコミュニケーションツールであるという性質上、人間がシステムに組み込まれる。人間もアクセスポイントの一つなので、他のアクセスポイントと同様、攻撃に対して脆弱(ぜいじゃく)だ」と同氏は言う。

 「そうしたリスクを減らすには回復力の向上が必要だ。セキュリティトレーニングを実施して意識を高め、適切な手法を積極的に促して、結果を共有する。それによって全員が問題の一部ではなく解決策の一部になるようにする。見識のあるCISOならば、従業員は最も弱い部分ではなく堅牢なセキュリティ層を実現する力を持っていることに気付くだろう。ただし、成功に導くには人間のファイアウォールを定期的にアップデートする重要性を理解していることが前提になる」とホワイティング氏は説明する。

 メールを攻撃ベクトルとして好んで使うサイバー犯罪者が増えている。企業はそれを念頭に、メールによるセキュリティ脅威を緩和する措置を早急に講じなければならない。メールのセキュリティに明確な解決策はないとしても、従業員を教育し、技術的な解決策を利用することが大きな違いを生む可能性がある。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る