企業内でさまざまな用途に使用され、サイバー攻撃の第一の伝達手段でもあるメールには、多数の規制が課され、慎重な使い方が求められます。2018年3月25日から適用されているGDPRもその一つです。
メールは、ある人から他の誰かに宛てたメッセージで、情報処理ネットワークを介してあるメールサーバから別のメールサーバへと送られます。
このシンプルなメールの定義だけでも、次のような二つの実績を持つこのコミュニケーションプロセスのセキュリティ課題を挙げるに十分だと考えられます。一つは、ビジネスコミュニケーションで最もよく使われているという点、もう一つはメールが今日ハッカーの主要な攻撃手段であり(1)、最も脅威に晒されていると同時に脅威を与える存在であるということです。
メールは、組織のサイバーセキュリティ戦略の中核に置かれるべきです。なぜなら、メールは社内かつ社外コミュニケーションのどちらにおいても極めて重要で、全社員そして企業のエコシステムを形成するすべての個人に関わるツールだからです。さらに言うと、メールは今日では企業価値となるデータを破壊したり、盗んだりする目的で企業を攻撃しようとするハッカーたちの標的になっています。メールサービスは、特にフィッシングやスピアフィッシング、また業界のスパイ行為として持ち込まれたマルウェアの悪用などの詐欺目的のデータ盗用の様々な手段から保護される必要があります。
このようなサイバー犯罪に対するデータ保護の状況と並行して、GDPR(一般データ保護規則)の適用によって、個人情報の保護に関連する新しい規則が加わりました。2018年3月25日から、ヨーロッパのすべての企業、または、欧州共同体内の市民とやり取りをする者は、EUの規制であるGDPRに従うことになっています。この規制は、特に企業に対して、顧客、納入業者、被雇用者、またはその企業の関係者などデータべ―スに保持しているすべての個人情報を保護することを命じています。またそこでは、どのような企業が二つの概念である『プライバシーバイデザイン(あらゆる新しいプロセスはサイバーセキュリティの視点から作られるべきである)』と『プライバシーバイデフォルト(保存されているすべてのデータは最低限事前に匿名化されるべきである、つまり人を形式上特定できないようにする)』を遵守すべきかが定義されている。
つまり企業は、所有している個人情報を保護するための手段を導入しなければならないということ、そして、それらの情報が収集された目的の範囲外で使用されたり、当該者の明確な同意なしに第三者に伝えたりしないことを保証する義務があるということを示しています。
この新しい規制の枠組みにおいて、企業は所有しているデータがハッキングの危険に晒されないように適切な対策を取っていることを証明しなければなりません。以上のことから、データのハッキングのメインゲート、つまりメールサービスを保護する必要があります。そして、これは、G SuiteやOffce 365などのクラウド上のアプリケーションプラットフォームを利用する企業にとっては、より一層必要不可欠です。つまり、サイバー犯罪からの保護、とりわけメールサービスを保護することができるソリューションは、この新しい状況に完全に適合するので、GDPRに対応していることを証明することができます。
メールサービス、つまり、社外に向けた送受信だけでなく社内で交わされるメールフローも保護することで、個人情報保護保証に関わる法律の要求に応えることができます。より正確には、メールを保護することは、この法律が要求するさまざまな条件に影響をもたらします。つまり、データの保護、データの追跡とアクセスの制限、データ漏洩に対する備え、さらに、ユーザーIDの管理です。
データを保護する
メール保護ソリューションを導入することで、マルウェア、フィッシング、スピアフィッシングなどあらゆる攻撃の企てを阻止することができます。それにより、単独または大量のデータの窃盗を回避することができます。重要なのは、既知の脅威だけでなく、特に未知の脅威を阻止することで、ゼロデイ攻撃(未確認の欠陥を利用した攻撃)から保護することができるソリューションを備えることです。セキュリティの分野においては、たった一つでも攻撃が成功してしまうと、重大な結果が引き起こされることがあります。ヒューリスティックフィルターとマシーンラーニングおよび人工知能のアルゴリズムを基本とした当社のソリューションを使うことにより、シグネチャーやIPアドレスの評価に基づく従来の技術を使ったソリューションでは対応が難しい、これらの新しい攻撃を阻止することができます。
データの追跡とアクセスの制限
メールのフィルタリングの実行記録、イベントの実行記録、長期間におけるの正確な統計によって、トレーサビリティが保証されています。この統計は、データ消費対策(データの寿命、消去と移動のワークフロー、アクセス管理など)の実装に基づいています。
データ漏洩に備える
データ漏洩に備えるためには、ユーザーの認識を高めるとともに、特にフィッシングとスピアフィッシングに対して有効な保護ソリューションを備えることが必要です。
認識を高めて注意を喚起することをデータセキュリティの中心に置くべきです。なぜならユーザーは、攻撃の第一の標的であり、ハッカーたちにセキュリティ上の弱点だとみなされているからです。つまり、企業の防衛壁を突破してデータにアクセスするためにハッカーたちがだまそうとするのはユーザーです。
データの漏洩を防ぐことは、この種の脅威を検知して、データを盗み出そうとするすべての攻撃を阻止できるメール保護ソリューションを備えることでもあります。例えば、そのソリューションは、開封時を含めて、メールの中にあるリンクを分析できなければなりません(フィッシング対策)。また、それに加えて、ID詐称やデータ窃盗対策専門の保護を提供できなくてはなりません(スピアフィッシング対策)。
ホワイトペーパーをダウンロードしてください:「進化した攻撃を内包するスピアフィッシング」
ユーザーIDを管理する
認証は、企業と個人を保護するための重要な要素であり、その必要性はメールだけにとどまらず、さらに広い範囲に及んでいます。メール保護に関しては、ユーザーごとのフィルタリングの規則(特に、スピアフィッシングの標的型攻撃を検知するため)と隔離された各ユーザーのアクセス認証に基づくことが可能でなければなりません。
1 - Dark Reading : 2017年セキュリティ違反の影響調査