セキュリティ2021.03.05
ツイート目次
クラウドメールサービスは、いつでもどこでもアクセスできるとても利便性の高いサービスですが、その裏を返すと場所や時間を問わず攻撃の対象となる可能性があるということです。
また、セキュリティのレベルはクラウドサービス提供事業者により異なってきますので、自社の求める水準を満たしているか、または不足している部分を別途補完する必要があるのかなどは、事前に確認するようにするといいでしょう。
ここではまず、クラウドメールサービスにおけるセキュリティのリスクにどのようなものがあるのかを確認していきます。
クラウドメールサービスのセキュリティリスク
クラウドメールサービスを過度に信頼するのではなく、想定されるリスクの対策を行うことが重要です。
ではどのようなリスクが考えられるのか、ひとつひとつ見ていきましょう。
情報漏洩
クラウドメールサービスの事業者へのサイバー攻撃やその他の原因で、預けているデータが外部に流出するリスクがあります。万が一の場合を想定して、事前にサービス事業者にどのようなデータを預けるのかを慎重に判断する必要があります。
マルウェア・フィッシング
これはクラウドメールサービスに限ったことではありませんが、メール受信の際には、さまざまな情報漏洩の危険が潜んでいます。ある程度の危険は一般的なウイルス対策で防ぐことができますが、最近ではより巧妙になり、添付されているファイルからウイルスが広がるマルウェアや、偽サイトへ誘導して個人情報を入力させることで情報を抜き取るフィッシングメールの被害が増えています。
こういった有害なメールを防ぐため、より踏み込んだセキュリティ対策が必要とされています。
誤送信
間違った相手に重要な情報が記載された添付ファイルを送信してしまうなど、誤送信により情報が漏洩してしまうリスクもあります。
また取引先などを装ってメールをしてきた、全く関係のない相手に情報を送ってしまう「なりすまし」などの手口により情報漏洩してしまうパターンもあります。
誤送信を防ぐには、運用ルールを設け、アドレス帳を整理するなど、誤送信しやすい状況をなくしていくことが重要です。また不審なメールは必ず別途確認してから返信する、送信する前に第三者の承認をしてもらうなどの対策も有効です。
障害によるデータ消失
従来のメールシステム(オンプレミス)も同様のことが言えますが、データを保管しているシステム自体に障害やトラブルが発生した場合、預けていたデータが復旧できなくなる可能性があります。データをクラウドサービスのみで保管するのではなく、別のシステム上で定期的にバックアップを取るようにすると安心です。
第三者によるアカウントの悪用
IDとパスワードを入力してログインすることでサービスの利用ができる性質上、もしクラウドサービスを利用しているユーザのログイン情報が流出してしまうと、第三者の不正アクセスにより、クラウド上に保管している情報が漏洩する可能性があります。
またメールの送受信もできるようになるため、不正アクセスされたアカウントより、攻撃メールを送信される可能性もあります。
さらに他のサービスでも流出したIDとパスワードを使用していた場合、二次災害のように別のサイトまで不正アクセスをされる可能性が高まります。ユーザIDやパスワードはできるだけサービスごとに異なるものを使用し、使いまわしはしないようにすることをおすすめします。
データ消去による証拠隠滅
メールでやり取りされた事柄は、トラブルなどの有事が発生した時に有力な証拠になったり、状況確認など解決の糸口になったりすることがあります。社員が重要なメールを削除してしまっていた場合でも、サーバにアーカイブされていれば問題ありませんが、クラウドメールサービス自体にアーカイブ機能がないパターンや、アーカイブの容量に制限がある場合もあります。
有事を想定してデータを残す必要がある場合は、アーカイブできるサービスを選ぶようにしましょう。
まとめ
このようにメールに潜む危険性は年々巧妙さを増してきています。
さらにクラウドサービスならではのリスクもあるので、クラウドメールサービスだけに頼ることなく、社内でのルールの設定や、不足しているセキュリティ対策の追加を検討していただくことをおすすめします。
