サイバー攻撃者は、さまざまな手法を用いて企業を狙ってきます。その際に多いのが、電子メールを感染経路とする攻撃です。今回は、メールに関するリスクを整理して解説するとともに、従業員の意識を向上させるための有効な方法について紹介します。
今回のお悩み
従業員に対し、電子メールを利用する際の事故防止や、セキュリティのリスク対策はどうすればよいのだろう?
私が解説します!
まずはメールセキュリティの重要性や主なリスクについて認識することが大切です。そのうえで適切な対策や従業員教育を行いましょう。
目次
( 1 ) メールセキュリティ強化の重要性
利便性とリスクは隣り合わせ
今やどんな業種においても、電子メールは多くの従業員が日常的に使っています。しかし外部の人とスムーズにコミュニケーションがとれる一方、重要なやりとりが社外へ流出したり、攻撃者が内部へ侵入する「入り口」になったりする危険性も存在します。
IPA(独立行政法人
情報処理推進機構)が発表している「情報セキュリティ10大脅威2023」では、1位に「ランサムウェアによる被害」、3位に「標的型攻撃による機密情報の窃取」がランクインしています。これらはメールが攻撃の手口となり、添付ファイルやURLのリンクなどからマルウェアを感染させます。
このように、メールは便利なツールである一方で、大きなリスクを孕んでいることを意識している方は少ないのではないでしょうか。
中小企業は狙われやすい!?
近年目立ってきているのが、中小企業を狙った攻撃です。中小企業は大手企業に比べるとセキュリティ対策が手薄である可能性が高く、攻撃者は侵入しやすいと考えます。そうした脆弱性を「踏み台」にして、ネットワーク上でつながっている最終目標の企業に攻撃を仕掛けます。「ウチは大丈夫」と思い込まず、会社の規模にかかわらずセキュリティ対策はしっかりと行わなければなりません。
( 2 ) メールを感染経路にした主なリスク
メールによるセキュリティリスクは年々増加しています。主なリスクの特徴をそれぞれ紹介します。
●スパムメール
ウイルスへの感染などを目的として、大量に送りつけられてくる「迷惑メール」です。すぐに「おかしい」とは気づけても、大量の不要なメールの中に本来必要な仕事のメールが埋もれてしまうと作業効率が落ちてしまいます。
●フィッシングメール
カード会社やECサイト(※1)に成りすまして危機感を煽るようなメールを送りつけてくる「詐欺メール」です。近年は誘導先の偽サイトなども巧妙に作られていますが、不審な点を見わけるポイントはいくつかあります。送信元のアドレスに違和感はないか、記載されたURLとリンク先が違っていないか、特に不自然な日本語が使われている場合は、フィッシングメールの可能性が高くなります。
●標的型攻撃メール
不特定多数のユーザーを狙った攻撃ではなく、特定の企業や組織を狙った攻撃です。時間をかけて計画的に実行され、何度も執拗に攻撃されるため、対策が難しいとされています。近年世間を震撼させている「Emotet(エモテット)」(※2)など、マルウェアも多様化しています。
●誤送信
もう一つリスクとして付け加えるなら、人によるメールの誤送信、ヒューマンエラーも挙げられます。いわゆる「うっかりミス」は、集中力や注意力が低下した際にリスクが高まるため、完全にはなくならないのが現状です。
※1 ECサイト:eコマース(電子商取引)を行うウェブサイトの総称。フィッシングメールでよく見られるのは大手ショッピングサイトなどの成りすまし。※2 Emotet(エモテット):高い感染力と拡散力を持つマルウェアの一種。拡散と収束を繰り返している。
( 3 ) メールセキュリティリスクへの対策
●メール設定・管理の徹底
すぐにできるのは、社内のメール設定の見直しです。例えばメールフィルタリング(※3)を設定することでスパムメールを自動判別し、受信しないようにするなど、管理を徹底しましょう。
●対策ソフトやツールの導入
ウイルス対策のソフトをはじめ、さまざまなリスクにオールインワンで備えるUTM(※4)などのツール活用も有効です。セキュリティを最新の状態に保つことで、巧妙化するマルウェアの駆除が可能になります。
●従業員への教育
上記対策を有効化するためには、従業員一人ひとりへの意識向上を図る取り組みが最も重要です。メール送信時に、宛先や送信内容を確認するなどの実践的なトレーニング方法については、次の項で詳しく紹介します。
※3 メールフィルタリング:条件を設定することで特定の電子メールを拒否することなどが可能な機能。※4 UTM:Unified Threat Managementの略。日本語では「統合脅威管理」。
( 4 ) 標的型攻撃メールに対する訓練方法
実践的な教育を取り入れる
啓発だけでなく、従業員に対して具体的なトレーニングを実施することもおすすめします。特にサイバー攻撃の中でも厄介なのが、標的を定めて巧妙に攻撃が仕掛けられる「標的型攻撃メール」です。これに備えるには、従業員が偽のメールを見極められる目を養う取り組みが重要になってきます。
定期的なトレーニングを実施
サクサでは、標的型攻撃メール訓練サービス「メートレ」を提供しています。標的型攻撃を模した訓練メールを定期配信(年2回)するサービスで、標的型攻撃メールの見分け方を理解と意識向上を図るものです。具体的には以下のような流れでトレーニングを行います。
① 標的型攻撃メール訓練
トレンドに合わせた標的型攻撃メール訓練を対象者(従業員)に送信します。メール内容は毎回変更するため、ユーザーは手間をかけることなく訓練が行えます。
② 訓練結果レポート
毎回、訓練完了後にメール開封率などの結果をレポートにして担当者に送信します。訓練対象者ごとのメール開封率などが記載されています。
③ 教育コンテンツ
訓練結果レポートと同時に教育コンテンツも送信します。最新のトレンド情報についてわかりやすいコンテンツを提供します。オプションではないため、追加費用はかかりません。
こうした「訓練」と「教育」によって、標的型攻撃メールの見極め方の理解と知識が向上し、電子メールを利用する際のリスクを低減させることができます。
( 5 ) まとめ
今回は、電子メールを利用する際のリスクについてあらためて考えてきました。メールを使う従業員に対し、安全な使い方をするための適切な教育、意識の向上が必要であることがご理解いただけたのではないかと思います。
サクサでは、標的型攻撃メール訓練サービス「メートレ」をはじめ、課題解決に役立つツールのご提案を通して、中堅・中小企業のみなさまをサポートさせていただきます。ぜひ気軽にお問い合わせください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。