チャットやオンライン会議なども増えていますが、ビジネスシーンでのコミュニケーション手段は、まだまだメールが広く使われています。メールは昔から使われているため、セキュリティリスクはそれほど高くないと思われるかもしれませんが、実は様々な危険性を孕んでいます。

今後もメールによる連絡はなくならないと思われます。安全にメールを利用するために、セキュリティリスクを理解し、正しく対策を行えるようにしましょう。

まずは、IPA（独立行政法人情報処理推進機構）が発表した、組織が注意すべき情報セキュリティ脅威のランキング（2025年版）をご覧ください。

^{情報セキュリティ10大脅威 2025 [組織]｜IPA（独立行政法人情報処理推進機構）}

この中で、メールに起因する脅威はいくつあるでしょうか？実は「ビジネスメール詐欺」だけではありません。

1位のランサム攻撃による被害、4位の内部不正による情報漏えい等、5位の機密情報等を狙った標的型攻撃、9位のビジネスメール詐欺、10位の不注意による情報漏えい等が、メールを悪用したサイバー攻撃や情報漏えい被害です。企業などの組織が注意すべき情報セキュリティ脅威トップ10のうち、5つがメールに起因するものだということです。

なぜ、メールがこんなにも狙われやすいのかというと、メールアドレスさえ取得できれば攻撃できるからだと言えます。

メールアドレスを登録して利用するサービスから流出したり、企業が使用しているドメインや従業員の氏名からメールアドレスを推測したりなど、入手する経路も多様にあり、メールアドレスの取得はそこまで難しくないのが現状です。メールアドレスさえ入手してしまえば、そのメールアドレス宛に、マルウェアを仕込んだ添付ファイル付きメールを送ったり、文面にマルウェアを仕込んだWebサイトのリンクを仕込んだりして攻撃できてしまいます。

一度感染させてしまえば、感染したデバイスから情報を抜き取ったり、感染デバイスを踏み台にして他のデバイスを感染させたりすることもできてしまうため、メールを入口とした攻撃に対しては、しっかりとしたセキュリティ対策を施す必要があるのです。

ランサムウェアはマルウェアの一種で、感染すると、社内の重要情報が使えない状態にされ、元に戻すことを条件に身代金を要求されます。

このランサムウェアの感染経路に多いのが、不審なメールです。添付ファイルをダウンロードしたり、添付URLをクリックしたりすることで感染します。また、フィッシングメール（実在する企業や組織を装い、偽のメールを送信して偽のWebサイトに誘導し、個人情報やクレジットカード情報を不正に取得しようとする詐欺メール）によって社内ネットワークへのアクセス情報が盗まれることで、不正アクセスされ、感染させられることもあります。

最近の情報漏えい事件は、サイバー攻撃によるものだけではなく、悪意を持った内部の人間による不正な情報の持ち出しによっても発生しています。

人材の流動化や、様々な契約形態に基づく人事やグローバル人材の登用、テレワークの導入・実施状況など、この数年で働く環境は大きく変化しました。

変化した環境をふまえて、改めて情報管理のガバナンスを見直すことが重要になっています。

標的型攻撃とは、特定の企業や組織を狙い、機密情報の窃取や業務妨害などを目的として行われる主にメールを利用したサイバー攻撃です。

無差別型攻撃であるスパムメールは、ウイルス付きの添付ファイルやリンクをばらまくことで、不特定多数のコンピューターに感染を広げることを目的としています。

一方の標的型攻撃は、特定の企業や組織を事前に調査し、弱点や関係者を綿密に調査したうえで、ピンポイントに攻撃を仕掛けます。そのため、スパムメールに比べてメールの内容がより具体的で巧妙であったり、標的が普段利用するWebサイトが改ざんされていたりするなど、防御が難しい傾向にあります。

ビジネスメール詐欺は、攻撃者が実際の取引先や自社の関係者になりすまし、メールを使って振込先口座の変更を指示するなどして、攻撃者が指定する銀行口座へお金を振り込ませようとする詐欺のことです。BEC（Business Email Compromise）とも呼ばれています。

これらのビジネスメール詐欺の多くは、海外の銀行口座を振込先として指定してきますが、一旦海外に送金してしまうと、回収することは非常に困難です。

情報漏えいは、サイバー攻撃や悪意ある内部不正に限らず、従業員のミスによっても発生してしまいます。例えば、重要情報を記載したり、添付されたメールを誤った宛先に送信してしまったり、BCCで送るべきメールをCCで送ってしまったり、ということが考えられます。

人間が行うことなので、ミスを完全になくすことはできませんが、運用ルールやツールなどで対策を行うことができます。

ここからは、先に紹介したメールによる情報セキュリティリスクをできる限り抑えるための具体的な対策について紹介します。

​​アンチウイルスは、​​メールの添付ファイルやリンクに潜むマルウェア​を検出し、システムに被害を及ぼす前に取り除く対策です。​

​​メールをスキャンし、​マルウェア​を隔離または削除することで、受信者のデバイスを保護します。​​基本的なセキュリティ対策として、アンチウイルスの導入は必ず行いましょう。​

スパムメールをサーバー側で自動で判別、ブロックする対策もすぐできるかつ有効な対策です。

ある程度はサーバー側で判定できますが、すり抜けて受信してしまうこともあります。その場合は、送信者やキーワードを設定して受信拒否や迷惑メールフォルダなどに振り分けていきましょう。

Google Workspace などのグループウェアサービスでは管理者側で一括してフィルター設定を行うこともできるため、普段利用しているメールサービスの設定方法などを確認してみるのもおすすめです。Gmail は無償版でもスパムフィルターが優れていることで有名です。

暗号化対策をしていないと、悪意のある第三者によってメールの内容をのぞき見される危険があります。メールの本文や添付ファイルを暗号化して、窃取されにくくすることで、個人情報や機密情報などを守ることができます。

ただし、最近ではそもそもメールにファイルを添付すること自体を控える動きが広がっています。添付ファイルにマルウェアが仕込まれていた場合、気が付かずにダウンロードすることで感染してしまいます。

そのため、送りたいファイルを安全なクラウドストレージに保管し、アクセスするためのURLとパスワードを別の手段で送るという方法が推奨されています。

フィッシング対策としてURLチェックを行うことも有効です。

フィッシングメールは、正当な送信元からのメールを装った偽メールから、URLクリックによって偽のWebサイトへ誘導します。このとき、見た目は本物そっくりに作られているので人間の目では判別が難しい場合がありますが、システムが怪しいURLリンクを自動判別することで、ブロックしたりアクセスを防止したりすることができます。

認証を行うことで、なりすましを防ぐことができ、メールの信頼性を高めます。主な認証技術には以下のようなものがあります。​これらを組み合わせて、より強力なメールセキュリティを実現します。

DKIM（DomainKeys Identified Mail）は、メールの送信元認証と内容の完全性保証を目的とした技術です。送信側のメールサーバーは、秘密鍵を用いてメールの一部にデジタル署名を付与し、受信側のメールサーバーは、送信元ドメインのDNSに公開された公開鍵を使ってこの署名を検証します。これにより、メールが正当な送信元から送られ、途中で改ざんされていないことを確認し、その信頼性を高めます。

SPF（Sender Policy Framework）は、メールのなりすましを防ぐ認証技術です。メールの送信元ドメインの管理者が、自身のドメインからメールを送信することを許可するサーバーのIPアドレスを、DNSに「SPFレコード」として公開します。メールを受信したサーバーは、実際にメールを送ってきたサーバーのIPアドレスが、この公開されたリストに含まれているかを照合します。これにより、許可されていないサーバーからの偽装メールを検知し、メールの信頼性を高めることができます。

DMARCは、SPF（Sender Policy Framework）とDKIM（DomainKeys Identified Mail）の認証結果を統合し、さらにメールの表示上の送信元（Fromアドレス）が認証されたドメインと一致するかを検証するメール認証技術です。

これにより、認証に失敗したメールに対して「拒否する」「迷惑メールフォルダに入れる」「何もしない」といった具体的な処理ポリシーを送信元が受信側に指示でき、さらにその結果をレポートとして受け取ることができます。

つまり、DMARCはSPFとDKIMを組み合わせて、より強力なメールのなりすまし対策と、メール到達性の管理を可能にする仕組みです。

​​誤送信防止ツールを利用することで、従業員がメールを送信する際に、システムが送信先や添付ファイルの確認を行い、誤った宛先へのメッセージ・ファイル送信を防ぐことができます。​

​​例として、以下のような機能が挙げられます。

​​データ損失防止（DLP：Data Loss Prevention）は、メールに含まれる重要データを監視し、ポリシーに基づいてフィルタリングを行います。​

​​例えば、ポリシーに「クレジットカード番号や個人情報などの重要データが含まれるメールの送信は不可」という取り決めがあれば、該当のメールを検知して送信をブロックしたり、管理者に通知したりできます。​

​​DLPは意図しない​情報​漏えい、規制違反​の防止に有効です。

​​メールのアーカイブを保持し、送受信に関するログを監視することで、異常な挙動や脅威を監視します。​具体的には、​​いつ、だれが、どこに、どんな内容のメールを送ったのか​​、ということがログに記録されます。​

これにより、従業員の誤送信や不審なメールのやりとりがあった際に、事実確認を行ったり証拠として活用したりすることができます。

社外へのメール送信など、あらかじめ設定した条件に当てはまるメールは上長の承認を必要とするなど、送信を制限することで、誤送信などによる情報漏えいリスクを防ぐことができます。

脅威の種類や必要な対策はご理解いただけたでしょうか。ここからは、実際に対策を行うためにどんなサービスがおすすめなのか、ご紹介していきます。

Google Workspace を利用している場合、デフォルトで強力な迷惑メールフィルターが適応されます。不正なURLが記載されている、空メールである、なりすましメールである場合など、迷惑メールとして受信トレイには入らないようになります。

自動で判別されないメールについても、自分自身で条件を設定することでブロック対象できるため、使い勝手の良いメールフィルターです。

前述したとおり、メールへのファイル添付は控える動きが広まっています。メールに暗号化したファイルを添付してパスワードを別メールで送る従来のファイル共有方法はPPAPと呼ばれ、脱PPAPが推奨されています。

そんな脱PPAPに有効なのが、HENNGE Oneです。HENNGE Oneは、Microsoft 365（Exchange Online）や Google Workspase（Gmail）と連携が可能で、多くの企業で採用しやすいツールです。メール監査・標的型攻撃対策など、幅広いメールセキュリティに対応することができます。

宛先間違いやファイルの添付間違い、ダイレクトメールの送信時に大量の宛先を指定することで起こる情報漏えいなどを防ぐ時におすすめなのがクラウド型メール誤送信防止サービスです。

Google Workspace や Microsoft 365 のほか、レンタルサーバーでメールを運用している企業でも導入が可能で、送信保留、添付ファイル暗号化、BCC強制書き換えといった機能を使うことができます。

メールセキュリティには、アンチウイルスだけでなく、EDRも有効です。EDRとは、ウイルスの侵入を100%防ぐことはできないという前提に立ち、侵入されたあとの被害を最小限に抑えるための対策です。

セキュアエンドポイントサービス（Va）はEPPとEDRの機能を持ち合わせ、アンチウィルス＋感染後の被害防止が叶うセキュリティサービスです。

標的型攻撃の訓練メールを送信して、実際に従業員がリンクをクリックしたり、添付ファイルをダウンロードしたりしないか、テストするサービスもあります。

自社の従業員の危機意識を把握し、今後のセキュリティ対策を検討することができます。