今日のデジタル社会においては、メールはあらゆる規模の企業の連絡に不可欠な手段になっています。しかし、特に小規模企業にとって、メールは重大なセキュリティ上の問題も引き起こしています。サイバー脅威が進化し、より巧妙になるにつれ、機密情報を保護し、メールのやり取りの機密性を確保することが、かつてないほど極めて重要になっています。
ここ数年、企業のメールサーバーを介したサイバー攻撃が全体的に激増しています。この事実は、過去数年にわたって世界中でリモートワークにシフトしていることを鑑みると、それほど驚くべきことではありません。ただし、リモートワークが常態となった現状において、大半のサイバーセキュリティの専門家にとって驚くべきことは、多くの組織(特にこの種の攻撃に対して最も脆弱な小規模企業)が、ビジネスメール詐欺(BEC)やその他のより伝統的な形式のメールを使ったサイバー攻撃からシステムの安全を確保するための基本的なサイバーセキュリティ対策を講じていないことです。
ビジネスメール詐欺は、企業間で日々行われる大量のメールのやり取りを悪用しようと企む深刻な種類のデジタル詐欺および脅迫です。サイバー犯罪者は、ソーシャルエンジニアリングの複雑なプロセスを介して、従業員または信頼できる仕事関係者になりすまし、標的となった会社内の被害者を信じ込ませて、機密情報や資金を隠しアカウントに転送させます。この種の攻撃はそれぞれ重大度が異なりますが、通常は標的の企業に甚大な被害をもたらします。これが、弊社が、メールセキュリティのベストプラクティス、ガイドライン、手順、ポリシーに関するこのガイドを作成した理由です。このガイドは、特に小規模企業向けとして作成されていますが、これらの対策はあらゆる規模の企業にも等しく適用できます。小規模企業のメールの安全を確保し、機密情報が望まない盗み見から保護する対策が、今こそ必要です。
小規模企業向けメールセキュリティのベストプラクティス
小規模企業向けメールセキュリティのベストプラクティスは、大規模企業に使用されるものと似ています。すなわち、主にフィッシング詐欺、スピアフィッシング攻撃、詐欺的な請求書という3種類のメールサイバー攻撃から保護します。まずは基本的なメールセキュリティ対策から始めましょう。
ビジネスメールアカウントはビジネス用である
これは、いささか単純で単刀直入に思われるかもしれませんが、万一の場合に備えて指摘するだけの価値があります。誰にとっても仕事は生活における重要な一部であるため、個人用アカウントではアクセスできない特定のサービスにビジネスメールを使用して登録またはログインしたい誘惑に駆られることがあります。しかし、会社のメールを個人のオンラインアクティビティに使用すると、詐欺師がその個人について詳しく調べることが簡単に可能になり、より標的が絞られたサイバー攻撃を受ける可能性があります。同様に、パソコンや自宅のWi-Fi接続を使用している場合、これらは両方とも通常、職場で使用しているエンタープライズ接続やカスタマイズされたマシンほど安全ではないため、ハッカーがその個人のビジネス上の資格情報を盗み出すことができる可能性が高くなります。この事実は、次のベストプラクティスにもつながります。
ビジネスメールを公衆Wi-Fiで使用しない
会社の安全なマシンを使用してビジネスメールアカウントにアクセスしているとしても、公衆Wi-Fiは、ハッカーやサイバー犯罪者が個人のマシンに侵入して機密データを盗み出す完璧な入り口となります。公衆接続を使用せざるを得ない場合は、VPNを使用して、重要なビジネスサーバーに接続し、全体的なエンドポイントのセキュリティを高めることをお勧めします。仮想プライベートネットワーク(VPN)は、ユーザーのリモートコンピューターと組織の専用サーバーとの間に一種の暗号化されたプライベートトンネルを構築することで機能します。結果として、VPNは、リアルタイムの暗号化により、安全性の低いネットワークを介して送信されるデータを保護します。VPNおよびその仕組みの詳細については、「VPNとは?」という記事をご覧ください。
強力なパスワードとパスフレーズ
ビジネス用メールアカウントのハッキングの場合、第一段階は、アカウントに総当たり攻撃を仕掛けて、パスワードとパスフレーズを推測することです。これが、すべての従業員が「強力な」パスワードまたはパスフレーズを使用することを推奨する理由です。パスワードは、十分な長さ(12~14文字)を持ち、特殊文字、数字、大文字、小文字の組み合わせが含まれている場合、「強力」であると見なされます。同様に、「強力な」パスフレーズもほぼ同じルールに従います。ただし、パスフレーズの場合、長さが15~20文字であり、その他の言語の文字(可能な場合)を使用している必要があることを除きます。
これらそれぞれについて、おぼえておくべき最も重要なことは、これらが一意であり、1つのアプリケーションに対してのみ使用される必要がある点です。つまり、職場で使用しているシステムの数に応じて、これらのパスワードまたはパスフレーズはかなりの数にならざるを得ません。このため、パスワードマネージャーまたはパスワードボールトを使用することをお勧めします。これらには、強力なパスワードを作成したり、一意のパスワードとパスフレーズをすべて保存したりするためのパスワードジェネレーターも用意されています。パスワードマネージャーとパスワードボールトがハッキングされる可能性もありますが、パスワードは暗号化されているため、引き続き安全性は維持されます。256ビットAES(Advanced Encryption Standard)のような業界標準の方式で暗号化された情報を解読することはほぼ不可能です。このため、ハッカーがボールト自体に「入れた」としても、暗号されたデータに対してハッカーは何でもできるわけではありません。
フィッシング詐欺と添付ファイルに関する意識啓発トレーニング
ビジネスを保護する最も簡単な方法は、すべての従業員を対象としたシンプルなサイバーセキュリティトレーニングに投資することです。企業のビジネスでこれができない場合、フィッシング詐欺やメール添付ファイル詐欺(悪意のある添付ファイルまたはHTMLスマグリングとも呼ばれます)の危険性について従業員を教育することをお勧めします。取り上げる主なポイントは、以下のとおりです。
- ユーザーのログイン資格情報を盗み取り、一般的なポップアップウィンドウを模倣する不正なWebサイトやログインウィンドウ(Microsoft Outlookのログインウィンドウなど)のような一般的なフィッシング詐欺に対する意識啓発。
- マルウェアが潜んでいる可能性がある最も一般的なメール添付ファイルの形式(.DOCX、.HTML、.EXEなど)。これには、HTMLスマグリングと呼ばれる最近の一般的な形式のメールサイバー攻撃も含まれます。
- 疑わしく感じるリンクや心当たりのない差出人からのメールは絶対にクリックしないよう従業員に警告する。悪意のあるリンクは、詐欺師が通常、一種のフィッシング詐欺Webサイトを介して企業の従業員とビジネスに対するサイバー攻撃を成功させる最も簡単な手段です。
多要素認証を有効にする
効率的であるために一般的になりつつあるセキュリティ対策の1つに、多要素認証があります。場合によってはMFA、二要素認証(2FA)とも呼ばれる多要素認証を使用すると、従業員がメッセージにアクセスする前にビジネスアカウントに対して複数レベルのセキュリティチェックが行われます。例として、追加のパスワード、安全なSMSからのコード、または事前に決定されたセキュリティ上の質問などがあります。
ログアウトすることを忘れない
これも、仕事用のメールを使用する際に行うべき最も明らかな操作であるように思われるかもしれませんが、多数のサイバーセキュリティ攻撃は、不満を抱いた従業員が前任の従業員のビジネスに損害を与えることを目論むことから始まることに留意することが重要です。誰かのアカウントを乗っ取り、別の従業員になりすますことが、サイバー攻撃を仕掛け、検知を免れる最も簡単な方法です。このため、企業自体または企業の従業員が意図せずして容疑者にならないようにするために、企業のビジネスに関わる全員がセッションが終わるたびにログアウトすることを忘れず、ログインの詳細情報を互いに決して共有しないよう徹底してください。
メールスキャンと保護システム
ソーシャルエンジニアリングの脅威とメール関連のサイバー攻撃の複雑さが増すに伴い、悪意のある高度なメール添付ファイルや組み込みスクリプト攻撃に対する最善の防御は、専用のメールスキャンおよび保護システムです。機械学習と静的コード分析が含まれる自動化されたアンチウイルス製品をお勧めします。これにより、添付ファイルのファイルの種類だけでなく、メールの実際のコンテンツが評価されます。高度なオンラインのサイバーセキュリティ製品として、Kaspersky Security for Microsoft Office 365をお勧めします。ビジネスユーザーと個人ユーザー向けとして受賞歴のあるこのプレミアムパッケージには、リモートアシスタンスと24時間年中無休のサポートが用意されています。
メールセキュリティプロトコルと標準
ビジネスメールシステムを保護できる最も重要な方法の1つとして、適切なメールセキュリティプロトコルを実装する方法があります。メール関連のサイバー攻撃に対する防御の最前線として一般的に検討されるメールプロトコルは、Webメールサービスを通過する通信の安全を確保できるよう設計されています。分かりやすく言うと、メールサーバーは、メールプロトコルを使用して受信者のメールクライアント間でメールメッセージを配信します。プロトコルは、メッセージの処理方法と配信方法をサーバーに伝えます。セキュリティプロトコルは、このプロセスを検証および認証します。
ビジネスメールを保護するために使用できるプロトコルには、以下のような複数の異なる種類があります。
- SPF – メールドメインの所有者が、メールの送信時にそのドメイン名の使用が承認されるユーザーを特定して検証できます。
- DMARC – ドメインの所有者が、メッセージの認証に失敗したときに通知を受けて対応できます。
- SMTPSとSTARTTLS – クライアントとサーバー間のメールのやり取りを暗号化します。
- DKIM – ユーザーが認証のためにデジタル署名にリンクできるようにします。
- S/MIME – MIME形式のデータを暗号化して認証する方法を定義します。
- OpenPGP – Pretty Good Privacyフレームワークに基づいており、メールの暗号化標準および認証標準です。
- デジタル署名 – 公開鍵の所有権を介して送信者の詳細情報を編集する手段です。
- SSL/TLS – メールセキュリティでは直接使用されませんが、HTTPSに使用されるため、サーバー間のネットワークトラフィックを暗号化します(Webメールメッセージ全体を網羅します)。
多くの一般的なメールクライアントプロバイダーが、SPF、DKIM、DMARC(DNSレコードを介して構成されます)を使用してユーザーのプライバシーを保護しています。少なくともこれら3つをビジネスメールシステムに実装することをお勧めします。
メールセキュリティポリシー、ガイドライン、コンプライアンス
メールセキュリティポリシー、ガイドライン、コンプライアンスにより、職場でのビジネスメールアカウントの使用に関するルールと制限を定義します。組織のメールセキュリティポリシーの主要部分として上記の各ポイントを取り込む必要があります。また、これらのガイドラインには、以下に関するルールも含める必要があります。
- ユーザーアクセスとデバイス使用状況。
- データの処理と保管。
- メールの転送、削除、保持に関するルール。
- ネットワークとシステム使用状況を含むポリシー範囲の広さ。
- 道義的行為と適切な行動。
- パスワードの暗号化とメールクライアントで使用するその他のセキュリティツール。
- メールマルウェアおよび不正な添付ファイル、リンク、またはメッセージを突き止める方法に関するサイバーセキュリティトレーニングマテリアル。
- 企業が責任を持つメール監視と従業員の記録業務。
- メールで受信するマルウェア、脅威、または不正なコンテンツを報告する部署と方法。
つまり、小規模企業から大規模企業までのすべての組織に、上記の主題を明確に提示して定義するセキュリティコンプライアンスモデル(SCN)が必要です。これらのガイドラインは、企業のメールに含まれるすべてのコンテンツのプライバシーとセキュリティを確保できる(各国政府が施行する)法的フレームワークとして機能します。このことは、デジタル通信に違反している企業に対するクライアントとパートナーの警戒心がより高まっていることを考慮すると、特に重要です。
今日のデジタル状況においては、メールは小規模企業と大規模企業の両方にとって不可欠な存在となっていますが、サイバー攻撃の主要な標的にもなっています。リモートワークがより一般的になるに伴い、メール関連のサイバー攻撃のリスクも高まっています。小規模企業のニーズを満たすように特別に設計されたカスペルスキーの小規模企業向けセキュリティを使用すると、小規模企業を簡単に保護できます。
関連記事
推奨製品