メールセキュリティは大丈夫?日本の現状と最新動向を踏まえた対策
サイバー攻撃の9割はEメール経由!Eメールは旧来的なツールと捉えている方も少なくないかもしれませんが、巧妙化するサイバー攻撃に対応するためには、メールセキュリティの強化・充実が欠かせません。本記事では、メールセキュリティ対策の現状とTLS設定の変更など、最新動向を踏まえたメールセキュリティ対策について解説します。
昨今、ビジネスチャットの普及などにより、ビジネスにおけるコミュニケーション手法は多様化しつつあります。たとえば、社内連絡や簡単な報告はビジネスチャットで行い、社外とのやり取りや重要な要件はEメールを利用するといった使い分けをしている方も多いのではないでしょうか。その意味では、デバイスやネットワークなどと同様にEメールにおいても十分なセキュリティを確保する必要があります。
本記事では、メールセキュリティをテーマに、昨今のEメールを取り巻くリスクや日本のメールセキュリティの現状、またメールセキュリティを実施する際のポイントなどについて解説します。
サイバー攻撃の9割はEメール経由!Eメールを取り巻くリスク
システムの脆弱性を突いたハッカーによる攻撃や、パスワードを窃取したうえでの不正アクセスなど、昨今のサイバー攻撃には多彩で巧妙な手口が多くなっています。しかし、サイバー攻撃は、その9割がEメールをきっかけにしていると言われています(※1)。
また、日本のソフトウェア分野の動向調査・分析などを行っている独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ 10大脅威 2021」においても、Eメールを介したサイバー攻撃が数多く挙げられています。例えば、Eメールの添付ファイルやメール本文中のリンク開かせることでランサムウェアに感染させる手口や、業務メールに偽装したEメールを開かせることでウイルスに感染させる標的型攻撃などです。そのほか、サイバー攻撃ではありませんが、Eメールの誤送信による情報漏えいなども、情報セキュリティにおける脅威として紹介されています(※2)。
Eメールは普及から20年以上が経過しているため、旧来的なツールと捉えている方も少なくないかもしれません。しかし、巧妙化するサイバー攻撃に対応するためには、メールセキュリティの強化・充実が欠かせないのです。
おすすめ記事:次はあなたが被害に遭うかも?フィッシングメールに注意
日本のメールセキュリティの現状
では、現在の日本におけるメールセキュリティはどのような状況にあるのでしょうか。「令和2年情報通信白書」によれば、日本の企業において、メールセキュリティは他の分野のセキュリティよりも、比較的、重視される傾向にあります(※3)。しかし、世界の水準と比較するとメールセキュリティに関する関心が高いとは言えないのが現状です。
米・メールセキュリティ企業のProofpoint社が世界のCISO(最高情報セキュリティ責任者)を対象に実施した調査によると、多くの国のCISOが「今後2年間でサイバーセキュリティ予算は増額する」と予想しているのに対して、日本のCISOの65%程度が「減額」または「昨年と同様」と回答しています。また、「今後2年間で最も優先すべきと考えている事項」について、多くの国が「コアセキュリティの拡張」を挙げるなか、日本は「セキュリティオートメーションの導入」「セキュリティ業務のアウトソース」を上位として挙げるなど、セキュリティの省力化・省人化を目指す傾向にあることが分かります(※4)。
こうしたセキュリティへの関心度の違いは、メールセキュリティの分野でも同様です。Googleの透明性レポート「配信中のメールの暗号化」によると、送信メールの暗号化は81%、受信メールの暗号化は89%となっています(2022年1月3日時点)。一方、デージーネット社が公表した「日本企業のメールセキュリティ対策調査結果」では、日本企業のEメール暗号化は72%となっており、世界平均に比べると低い水準になっていることがわかります。
メールを送信する際には、送信者側のメールソフトからメールサーバーへの通信のほかに、送信者側と受信者側のメールサーバー間でも通信が発生します。メールサーバー間の通信に関しては、自社でいくらセキュアな設定をしていたとしても、相手側で対応していない限り暗号化はされません。多くの場合、受信者側のメールサーバーが暗号化通信に対応していなくても送信が許容されているのが現実です。つまり、送信した重要な企業メールが平文のままで盗聴されるリスクもあるということです。
先に挙げた令和2年情報通信白書において、総務省は「日本企業も海外の企業と同様、サイバーセキュリティのリスクにさらされていることに留意すべきである」と指摘しており(※5)、日本においても国際的な水準に応じたセキュリティ対策が必要と言えるでしょう。
おすすめ記事:感染再拡大?!マルウェアの一種「Emotet(エモテット)」の特徴と対策方法
TLS設定の変更など、最新動向を踏まえたメールセキュリティ対策が必要
メールセキュリティの強化・充実を図り、日々生まれ続ける新たなリスクに対応していくためには、どのような対策が必要なのでしょうか。ウイルス対策ソフトのインストールやスパムフィルターの設定、誤送信対策、従業員への意識啓発・教育など、メールセキュリティ対策は多岐にわたります。また、その他のセキュリティ分野と同様に、技術やソリューションが進化していくことから「これさえしておけばよい」という万能の対策法も存在しません。
そのため、セキュリティ担当者は、新たな技術やトレンドをキャッチアップし、自社のメールセキュリティをアップデートし続ける必要があります。例えば、昨今のメールセキュリティのトレンドの1つとして、TLS1.0廃止の動きが挙げられます。
TLS(Transport Layer Security)とは、配信中のメールなどを暗号化するセキュリティプロトコルです。1999年にTLS1.0がリリースされて以来、メール配信やWebサイトなどのセキュリティに活用されてきました。
しかし、現在では、TLS1.0には脆弱性が発見されており、その脆弱性を突いた「BEAST攻撃」などで暗号解読が可能になることがわかっています。そのため、金融業界をはじめとしたさまざまな業界でTLS1.0の利用を停止する動きが広がっています。こうした変化などを受けて、IPAは2020年にTLSの設定方法の基準を示す「TLS 暗号設定ガイドライン」を全面改訂し、同ガイドラインが採用を推奨する「推奨セキュリティ型」のカテゴリから、TLS1.0を除外するなどしています(※6)。なお、2022年1月現在の推奨セキュリティ型は「TLS1.2 (必須) 及び TLS1.3(オプション)」となっています。こうした動きに合わせて自社のTLS設定を確認するなど、メールセキュリティの最新動向に応じた対策を図る必要があります。
現在、Googleの透明性レポート「配信中のメールの暗号化」など、TLSの設定や脆弱性をチェックするWebサイトは多数公開されており、手軽にメールセキュリティの状況を確認することができます。企業のセキュリティ担当者はもちろん、個人で契約しているプロバイダーやフリーメールなどを利用する際にも、こうしたツールを活用し、サーバー間の暗号化など、セキュリティ対策が十分になされているかを確認するのがよいでしょう。
参考:
関連記事