企業にとって重要な資産である「情報」のまわりには、様々な脅威が存在している。そしてそうした脅威は日を置くごとに増大しており、多くの情報システム担当者の頭を悩ませているのが現実だ。とりわけ中堅・中小企業の場合、一人もしくは他の業務と兼任する情報システム担当者しか存在しないケースも珍しくない。そんな「一人情シス」にとって、膨大な日々の業務をこなしつつ、セキュリティ対策も手がけるというのは至難の技だと言える。そこで本連載では、セキュリティに関するホットなテーマを毎月取り上げつつ、一人情シスが効率的かつ効果的にセキュリティ対策を行えるよう現実的な視点でサポートしていきたい。

第8回は、「メールセキュリティ」についてだ。

いまやEメールはビジネスにおけるコミュニケーション手段の中心となっている。しかし、メールは社外との情報のやり取りを前提としているだけに、攻撃者にとっても外部からマルウェア等を送りつけることができるツールとして狙われやすいのも事実だ。

少し前までは、Webブラウザへの攻撃が主流であったが、ここにきてサイバー攻撃の最大のターゲットはメールとなっていると見られている。しかも、その攻撃対象は業種業態や企業規模を問わない傾向が強くなっているので、例え小規模の企業であっても十分な対策が求められている。

従来型のメールセキュリティ対策では不十分に

メールを介した攻撃のなかでも、添付したマルウェアや、本文内に偽装URLのリンクを開かせるよう、巧妙な手口で取引先や顧客になりすましてメールを送り付ける標的型攻撃メール。この攻撃手法は、ここ数年相次いで発生している大規模な情報漏えい事件の引き金にもなっている。

例えば2016年6月に発生した、JTB子会社の標的型攻撃メールによる被害は、最大約793万人分もの個人情報流出の可能性があるとされ大いに世間を騒がせた。さらに、2017年に世界中で猛威を振るったランサムウェアも、侵入経路としてメールが用いられるケースが非常に多い。一方、こうした最新のメール経由の攻撃に対しては、従来ながらのメールセキュリティ対策では十分な効果を期待できない。というのも、これらのメールは、巧妙に作成されており、セキュリティ上の最大の弱点「人」という脆弱性を利用しようとする。つまり、マルウェア攻撃を仕掛けるうえで最も狙いやすいのは従業員だ。企業にとってもう一歩踏み込んだメールセキュリティ対策は、効果的なセキュリティ意識向上テストやトレーニングを実施し、安全対策を講じることが緊急の課題だと言えるのである。次回はこのメールセキュリティの具体的な対策について紹介する。

監修:ソフォス

ソフォスは1995年の創立以来30年以上ITセキュリティ製品を取り扱うベンダーとして、150ヶ国10万社以上の法人企業と 1億人以上のユーザーに利用されている。さらに同社は、脅威データの収集、相関分析、解析を行い、ユーザーに最善な保護を提供し続ける「SophosLabs」を有し、24時間 / 365日新種の脅威に対処し監視・解析を行っている。
ソフォスのHPはこちら

セキュリティ業界の最新情報やソフォスの製品情報をお届けする
SOPHOS INSIGHTはこちら

モバイルデバイスのセキュリティ管理
Sophos Mobileはこちら

[PR]提供:ソフォス