メールセキュリティのベストプラクティス:デジタルコミュニケーションを保護する

Todd Stansfield

12月 28 2023

2 分で読める

Eメールの封筒で保護を視覚的に表現。

メールは、職場でのコミュニケーションとコラボレーションに使われる主要なチャネルです。

また、依然としてサイバー脅威の最大のベクトルでもあります。

Gartnerメールセキュリティ・マーケットガイド2023によると、組織の約70%がクラウドベースのメールプラットフォームを使用していますが、高度なサイバー脅威から保護するために必要なセキュリティ機能が不足しています。サードパーティの統合的なメールセキュリティソリューションによってこれらの脆弱性を保護できますが、普及率は市場のわずか5%を占めているに過ぎません。そのため、多くの組織が侵害を受けやすい状態になっています。

メールセキュリティは二者択一の対策ではありません。つまり、単に有効にすれば保護されるというものではありません。ソリューションを実装しても、侵害のリスクが必ずしも制限されるわけではありません。効果的なメールセキュリティには、より完全な保護を実現するための適切なテクノロジーセットと運用手順を採用することが必要です。

この記事では、ユーザー、顧客、ビジネスを最新のサイバー脅威からより適切に保護できるメールセキュリティのベストプラクティスを検討します。

メールセキュリティ - メールセキュリティの重要性を理解する

メールセキュリティの重要性を理解する

ナイジェリアのプリンス詐欺が大多数のメール脅威の品質と巧妙さを特徴付けていた時代は終わりました。この悪名高いフィッシング攻撃は、今日の基準に比べて脅威が無差別に行われる明白なものだった時代を象徴していました。現代の脅威の状況は劇的に変化し、非常に高度で説得力のある標的型攻撃が大規模に展開されるようになりました。

フィッシングメールは、個人の情報を使い、正当なサービスを悪用することで、攻撃の検出を困難にする一方で、信頼性を高めます。ビジネスメール詐欺(BEC)は、被害者の現在の職務や背景などの詳細な調査をうまく利用し、被害者に不正な処理を強要します。サイバー犯罪者は、ハッキングされたアカウントを使い、既存のメールスレッドをハイジャックして正当な送信者になりすまし、信頼できるターゲットを食い物にする脅威を配布することがあります。

悪意のあるコンテンツと正当なコンテンツの境界線は区別がつかないように見えます。ナイジェリアのプリンス詐欺の時代とは異なり、ハッカーは、はるかに説得力の高い標的型のキャンペーンを企てています。そしてその結果が現れました。IBMの2023年「データ侵害のコストに関する調査」によると、データ侵害のコストは過去最高に達し、世界平均で445万ドルとなりました。従業員数が500人以下の企業の場合、その額は合計331万ドルです。

これは、デジタル通信とアカウントを保護するサイバーセキュリティの重要な分野であるメールセキュリティの重要性を示しています。メールセキュリティは、さまざまなテクノロジー、プラクティス、手続きを組み合わせて活用します。

 

重大なメールセキュリティの脅威 

 

メールセキュリティの脅威にはいくつかの種類が存在しますが、最も一般的で懸念される種類のものは以下の通りです。

  • フィッシング:フィッシングはメールセキュリティの一般的な脅威であり、攻撃者が知名度の高い定評のあるブランドになりすまし、受信者をだまして悪意のあるリンクをクリックさせたり、QR Codeをスキャンさせたり、マルウェアが組み込まれた添付ファイルをダウンロードさせたりします。これは一般的な種類の攻撃であり、受信者に合わせて内容をカスタマイズされることなく、多数のメールボックスに送信されます。フィッシングにより、認証情報の収集、マルウェアの感染、アカウントの乗っ取り(ATO)などが引き起こされることがあります。インターネット犯罪苦情センターによると、被害者数から見て、依然として最も効果的なサイバー脅威となっています。IC3には、2022年だけで被害者から30万件の苦情が寄せられました。その間、Vadeは2023年に記録的な数のフィッシング脅威を検出しています。 
  • スピアフィッシングまたはBECビジネスメール詐欺(BEC)とも呼ばれるスピアフィッシングは、高度に標的を絞ったサイバー攻撃です。スピアフィッシング犯は、被害者が知っている正当な人物やベンダーになりすまします。通常、スピアフィッシング攻撃には(特に最初のメールには)、悪意のあるリンクや添付ファイルは組み込まれていません。むしろ、テキストの文脈や被害者についての調査、ソーシャルエンジニアリング技術を使って、標的にしたターゲットをうまく操り、通常は金銭的な性質の侵害行為を実行します。これには、不正な口座への資金の送金(電信送金詐欺)、ハッカーへの税務書類の送信(税金詐欺またはW2詐欺)、ギフトカードの大量購入(ギフトカード詐欺)などがあります。

    スピアフィッシング攻撃は最も大きな被害をもたらすサイバー脅威です。IC3によると、BECによる被害報告は2022年に27億ドル(USD)に達しました。それと同時に懸念されるのは、BEC攻撃の数が増加し続けていることです。Verizonのデータ侵害調査レポートによると、2023年のBEC攻撃は前年と比べておよそ2倍に増加しました。
  • メールベースのマルウェア:マルウェアはさまざまなベクトルから脅威をもたらしますが、ランサムウェアを含め、マルウェアを配布する最大のチャネルは今もなおメールです。この種類のメール脅威には通常、ダウンロードされると被害者のデバイスに感染するマルウェアが組み込まれた添付ファイルが使われます。Verizonによると、マルウェアが組み込まれた添付ファイルのほとんどはMicrosoft Officeドキュメントの形式をとっています。一部のメールベースのマルウェア攻撃には、代わりに、被害者をフィッシングページにリダイレクトする悪意のあるリンクが組み込まれていて、そこからペイロードが配信される場合があります。 
  • 中間者攻撃(MitM):MitM攻撃は、ハッカーが二者の正当な当事者間の通信を傍受したり盗聴したりすることによって発生します。一般的なMitM攻撃は、ハッカーがフィッシング手法を適用して被害者から認証情報を収集するときに起こります。彼らは、アプリケーションやWebサイトから認証リクエストを行うことによってこれを実行します。同じ通信チャネルを使って認証が行われる場合、彼らはその中間に自分自身を差しはさみ(それがこの名前の由来です)、認証情報を盗みます。メールアドレスによるログインとSMSメッセージの傍受は、2つの一般的な攻撃チャネルです。その後、ハッカーは収集した認証情報をリアルタイムで使用して、正当なサービスにログインしたり、多要素認証などのセキュリティメカニズムをすり抜けたりします(MFAバイパスとして知られる技術)。

  • スパム:スパムは一方的に送信され、多くの場合、多数の受信者に大量に送信される迷惑メールです。スパムは本質的に悪意のあるものではありませんが、メールボックスを混乱させたり、ネットワークリソースを消費したり、フィッシングリンクなどの悪意のあるコンテンツの配信に使われたりすることがあります。

2023年第3四半期フィッシングおよびマルウェアレポート

メールセキュリティに関する8つの重要なベストプラクティス

前述したように、安全で効果的なメールセキュリティには、適切なソリューションセットと運用手順が必要です。セキュリティ体制を強化するには、以下のベストプラクティスを採用し、それをビジネスの継続的な優先事項にしてください。

1. 統合的なメールセキュリティソリューションの導入


統合的なメールセキュリティソリューションは、最新のメール脅威に対する最良の保護を提供すると広く考えられています。Gartnerのような評価の高い機関は、このテクノロジーを採用して、企業がメールプラットフォームのネイティブな機能を補完し、セキュアメールゲートウェイ(SEG)などの従来のソリューションを置き換えることを推奨しています。

SEGにはセキュリティ上のメリットがありますが、重大な限界もあります。統合的なソリューションとは異なり、SEGは内部ネットワークの外に配置されます。つまり、メールプラットフォームのネイティブなセキュリティ機能が無効になり、内部および内部関係者の脅威に対して脆弱になります。さらに、SEGは多大な時間を必要とし、構成と導入が難しく、レピュテーションおよびシグネチャベースの検出機能を用いるメールフィルターでは未知の脅威の影響を受けやすくなります。このことから、サードパーティのメールセキュリティソリューションの導入の重要性が理解できます。 

ソリューションを購入する場合は、次の機能を備えたソリューションを探しましょう。


    • AIを備えた保護。マシンラーニング、自然言語処理、Computer VisionなどのAIアルゴリズムは、新たな脅威や台頭しつつある脅威を含む、あらゆる種類の高度なメール脅威に対して効果的な保護を提供します。
    • メールセキュリティを管理するための単一の統合されたインターフェイス。一元管理できるインターフェイスによって、ユーザレポートの修復などの管理タスクの可視性と効率が高まります。このようなインターフェイスは、管理者がセキュリティステータスを一目で判断できる、誰もが望む「単一画面」ビューを提供できることが必要です。
    • インシデント対応と脅威検出のための堅固な機能。自動修復を提供するソリューションは、配信後に新しいインテリジェンスを基に潜在的な脅威を即座に削除することでセキュリティを向上させます。一方、支援付きの修復機能により、管理者は一度の処理でユーザーやテナント全体の脅威を修復できるため、貴重な時間を節約できます。
    • シンプルさと使いやすさ。直観的でユーザーフレンドリーな自動化された機能を備えたソリューションにより、「ツールの使用時間」を最小限に抑え、ITチームとセキュリティチームの生産性を高めることができます。

2.フィッシング認識トレーニングの導入

ユーザーは攻撃対象領域における最大の弱点です。ただし、フィッシング認識トレーニングを行うことで、ユーザーを貴重な防衛ラインに見立てることができます。このトレーニングでは、一般的なメール脅威を特定し、修復のために管理者に報告する方法をユーザーに教育します。他の重要な行動の中でも特に、認識トレーニングでは、スプーフィングの兆候を認識し、未知の送信者または不審な送信者からのリンクをクリックしたり、添付ファイルをダウンロードしたりしないようにする方法をユーザーに教えます。

 

ソリューションを選択する際は、以下の機能を備えたソリューションを選びましょう。

  • カスタマイズ。コンテキストは行動を改善する上で重要な役割を果たします。ユーザーの職務とそのユーザーの普段のメールのやりとりに合わせたトレーニングは、一般的な指導よりも優れた結果をもたらします。
  • 自動化。自動化されたトレーニングプログラムにより、人間が介入する必要がなくなります。また、コンピュータシミュレーションを使って教育をオンデマンドで提供することも可能になります。
  • リアルタイム管理。この種類の教育では、事前にトレーニングのスケジュールを設定しません。必要に応じて指導を行います。さらに良いことに、一部のソリューションは、ユーザーがフィッシングの脅威に遭遇したときにトレーニングを自動的に提供します。

 

3.強力なパスワードポリシーを適用する

侵害されたアカウントは、実効力のあるフィッシング攻撃やBEC攻撃の基盤を作ります。パスワードポリシーは、ユーザーが弱いパスワードを作成したり、アプリケーション間でパスワードを再利用したりするのを食い止められます。

 

強力なパスワードポリシーを作成するために:

  • ユーザーに長さのある固有のパスワードを設定するよう要求する。アメリカ国立標準技術研究所(NIST)は最近、パスワードの強度に関しては複雑さよりも長さが重要な要素であると結論付けました。パスワードが長ければ、ハッカーがブルートフォース攻撃(ハッカーが手作業やテクノロジーの助けを借りてパスワードの組み合わせを推測しようとする場合)によってアカウントに侵入するのを防げます。同時に、ユーザーに複雑なパスワードを設定するように求めると、ユーザーは安全でない方法でパスワードを書き留めたり、電子的に保存したりする可能性が高くなります。
  • 間違ったパスワードでのログイン試行を制限する。NISTはまた、ユーザーがログインを試行する際に、ユーザーに許される誤ったパスワードでの試行回数を制限することも推奨しています。そうすることで、ブルートフォース攻撃からも保護できます。
  • 受け入れられないパスワードのリストを作成する。NISTは、辞書用語、特定の名前、侵害された認証情報など、受け入れられないパスワードのリストを作成して適用することを推奨しています。そうすることで、ハッカーがアクセスできる可能性が制限されます。

4.多要素認証(MFA)を採用する

効果的なパスワードポリシーと同じく、MFAを採用することで、ハッカーが正当なアカウントを侵害したり操作したりすることが難しくなります。MFAの場合、ユーザーはメールや他のアプリケーションにアクセスする前に、複数の要素を通じてIDを認証しなければなりません。

サイバーセキュリティソリューションやプラクティスの大半と同様に、すべての形式のMFAが同等の保護を提供するわけではありません。セキュリティを最大限に強化するために、サイバーセキュリティ・社会基盤安全保障庁(CISA)は、ユーザーがフィッシングページにログインするのを防ぐFIDO/WebAuthn認証の採用を推奨しています。企業にとってこれが選択肢にない場合、CISAは代替手段としてアプリベース、SMS、または音声MFAの使用を推奨しています。

 

5.メールセキュリティポリシーを確立する

ユーザー認識トレーニングに加えて、メールセキュリティポリシーは、全体的なセキュリティ体制における人的要素に対処します。メールセキュリティポリシーは、組織内でのメールの安全かつ責任ある使用を定義します。これらは、ユーザーが機密情報をどのように扱い、セキュリティプロトコルやその他の要素を遵守するかについてのルールとガイドラインを確立します。

 

メールセキュリティポリシーを作成する場合:


    • SANS Instituteなどの信頼できる組織の既存のテンプレートを使用してポリシーを作成する。
    • 従業員がポリシーを簡単に見つけてアクセスできるようにする。
    • 読みやすく、理解しやすいものにする。
    • メールセキュリティポリシーを新入社員オリエンテーションとオンボーディングプログラムに組み込む。
    • 公式および非公式の組織会議でポリシーを推進する。
    • 従業員が最初にポリシーを確認し、ポリシーに重要な更新が加えられた場合には、いつでも従業員が正式に承認できるようにする。

6.認証プロトコルを使用する

メール認証プロトコルは、受信メールの信頼性を検証することにより、なりすましを防止します。これには、Sender Policy Framework(SPF)、Domain-Keys Identified Mail(DKIM)、Domain-based Message Reporting and Conformance(DMARC)が含まれます。この組み合わせは、メールスプーフィング、フィッシング攻撃、ドメインのなりすましから保護するのに役立ちます。

 

NISTは、SPF、DKIM、DMARCの実装に関する詳細な推奨事項を提供しています。無料のオープン標準であるDMARCの導入を支援する多くのリソースやベンダーも見つかります。多くの組織が、まだそれを実装も施行もしていません。

 

7.暗号化ソリューションを利用する

暗号化ソリューションは、メール通信の機密性と完全性を保護します。これらのソリューションを利用すると、復号化キーを持たない想定外の受信者はデジタル通信を理解できなくなります。MitM攻撃がますます一般的になっている現在、通信やその他の情報は暗号化によって安全が保持されます。

 

Gartnerメールセキュリティ・マーケット・ガイド2023によると、暗号化ソリューションを採用している組織はおよそ約40%です。この低い数値の原因の1つに、ユーザビリティの問題があります。ただし、使いやすさを向上させる新しいエンドツーエンドのソリューションの出現により、この統計の数値は増加しています。

 

8.適切なサイバー衛生の実践を奨励する

サイバーセキュリティの向上に積極的に参加するようユーザーに情報を提供し、意欲を起こさせるサイバー警戒の文化を促進します。

 

適切なサイバー衛生の実践を促すために、以下の取り組みに焦点を当てましょう。これらはユーザーの認識トレーニングプログラムを補足するものであることにご注意ください:

  • ワークステーションを離れるときは、物理的に安全を確保するようユーザーを促す。
  • 機密情報の安全な取り扱いについてユーザーを教育する。
  • シャドーIT(IT部門の認可を受けていないアプリケーションやWebサービスの使用)の利用をやめさせる。
  • 企業デバイスの個人アカウントの使用をやめさせる。

 

Vadeのメールセキュリティソリューション

Vadeは、サイバーセキュリティの強化を目指す企業を対象としたメールセキュリティソリューションスイートを提供しています。AIを備え、14億個以上のメールボックスから得たグローバルインテリジェンスネットワークを活用した当社のサイバーセキュリティ製品は、メールボックスからブラウザに至るまで、今日の最も高度な脅威からユーザを保護します。また、ユーザが脅威に遭遇するたびに24時間365日実施できる、自動化されたフィッシング認識トレーニングも提供しています。

 

デモを予約する

FAQ(よくある質問)

  • なぜメールセキュリティが重要なのでしょうか?

メールは依然としてサイバー脅威の主要なチャネルであり、セキュリティインシデントやデータ侵害の最大の原因となっています。メールセキュリティが導入されていない場合、組織は経済的損失、風評被害、規制違反や罰則、法的影響のリスクにさらされます。データ侵害を経験した組織の約20%は、規制上の罰金として少なくとも25万ドル(USD)を支払っています。メールセキュリティは、事業継続性を維持するのに必要な保険を提供します。

  • 一般的なメールセキュリティの脅威とは何ですか?

一般的なメールセキュリティの脅威には、フィッシング、スピアフィッシング、マルウェア攻撃などがあります。これらのメールベースの脅威は、悪意のあるリンクや添付ファイルを配信したり、ソーシャルエンジニアリング技術を使ったりして被害者を侵害します。これらの脅威で、ユーザは、リンクをクリックする、添付ファイルをダウンロードする、送信者の要求に従うなどの侵害行為のうち、少なくとも1つを実行する要求されます。

  • メールフィッシング攻撃から組織を保護するにはどうすればよいですか?

組織をメールフィッシング攻撃から保護するために、サードパーティの統合的なメールセキュリティソリューションを採用し、ユーザーにフィッシング認識トレーニングを提供し、メール認証プロトコル(SPF、DKIM、DMARCなど)を実装しましょう。メールセキュリティとパスワードのポリシーを導入し、MFAなどの追加のセキュリティ対策を採用することも重要です。

  • 従業員のトレーニングはメールのセキュリティにおいてどのような役割を果たしますか?

ユーザーの認識トレーニングは、メールセキュリティにおいて重要な役割を果たします。Verizonのデータ侵害調査報告書によると、今日のデータ侵害のおよそ4件中3件が人的ミスによるものです。トレーニングは、ユーザーが一般的なサイバー脅威の警告サインを認識するのに役立ちます。スプーフィングの兆候がないかメールを調べたり、未知の送信者からの添付ファイルのダウンロードを控えたりすることやその他の行動を含め、安全なメールの実践方法を指導します。従業員へのトレーニングを実施することで、セキュリティインシデントの可能性が低くなり、その結果、データ侵害が発生するリスクが軽減されます。