どんなに経験豊富で準備万端の企業でも、電子メールの漏洩によって不意を突かれることがあります。そのため、効果的な電子メールセキュリティのコンプライアンスモデルを構築することが不可欠です。
メールセキュリティコンプライアンスとは?
電子メールセキュリティコンプライアンスとは、電子通信の機密性を確保するためのポリシーとコントロールを監視、維持、実施するプロセスです。これは、定期的な電子メール監査や継続的な監視の努力によって行うことができます。
すべての組織は、電子メールセキュリティのコンプライアンスに関連するポリシー、手順、活動の概要を示すセキュリティコンプライアンスモデル(SCM)を文書化する必要があります。これにより、組織内でコミュニケーション違反が発生しないようにし、セキュリティ対策が不十分な企業を警戒するビジネスパートナーを確保することができます。
企業向け電子メールセキュリティコンプライアンス規制の理解
電子メールセキュリティ準拠法は、電子メールに保存された情報のセキュリティとプライバシーを確保するための法的枠組みとして機能します。これらの法律は、様々な国の政府によって施行されており、あらゆる形や規模の企業にとって懸念が高まっています。
以下では、電子メール通信を扱う企業に課される要件を簡単に説明するとともに、企業の電子メールセキュリティコンプライアンスを適切に構築するために遵守すべき様々な法的枠組みについて概観します。
a.HIPAA/SOC 2/FedRAMP/PCI DSSについて
医療保険の相互運用性と説明責任に関する法律(HIPAA)、連邦情報システムのセキュリティ基準第2版(SOC 2)、FedRAMP、PCI DSSはすべて、組織が電子的に保護された医療情報(ePHI)のプライバシーとセキュリティを守ることを要求する規制です。 ePHIは、対象事業者や業務提携者の間で電子的に送信されるあらゆる情報です。
この法律は、対象事業者に対して、処理するデータの性質に適した方針、手順、および技術的管理、ならびにHIPAAおよびSOC 2に基づく責任を遂行するために必要なその他の保護措置を実施することを求めています。これらの規制は、他の事業体に代わってPHIを電子形式で送受信するすべての事業体に適用されますが、対象事業体からPHIを受け取るすべての業務提携先や他の事業体にも適用されます。
この規制はどのようなビジネスに適用されるのか?
本規定は、PHI(保護されるべき医療情報)を電子的に収集、保管、または送信するすべての事業者に適用される。また、対象となる電子カルテ(eHealth Record)またはその他の対象となるヘルスケアサービスの電子的な提供に関与する事業者にも適用されます。これらの規制は、小規模診療所に最適なEHRを使用する事業者を含め、第三者による不正アクセスから患者のプライバシーと患者データのセキュリティの両方を保護するように設計されています。
b.GDPR
一般データ保護規則(GDPR)は、欧州連合(EU)が実施する規則である。EU市民の個人情報を保護するためのもので、「ここ一世代で最も重要な個人情報保護法」とも呼ばれています。
GDPRは、企業に対して、顧客データの使用方法について透明性を確保し、そのデータの取り扱いに関する明確なポリシーを提供することを求めています。また、企業が顧客についてどのような情報を収集し、保管しているかを開示し、個人がその情報に容易にアクセスできる方法を提供することも求めています。さらに、GDPRは、企業が個人データを収集した目的以外のために使用することを禁じています。
この規制はどのようなビジネスに適用されるのか?
GDPRは、EU域内でデータを収集するすべての企業に適用され、企業は個人情報を収集する対象者から明示的な同意を得る必要があります。GDPRには、違反した場合の罰金も定められているため、個人情報の収集を開始する前に、しっかりとした手順を踏む必要があります。
c.CAN-SPAM
CAN-SPAMは、2003年に米国議会で可決された連邦法で、商業用のビジネスメールには、送信者の物理的な住所や電話番号など、送信元に関する特定の情報を含めることが義務付けられています。また、この法律では、商用メールに返信用アドレスを記載することを義務付けており、このアドレスは送信者のドメイン内のアドレスである必要があります。
CAN-SPAM法は後に更新され、商業メールに対するより厳しい要件が盛り込まれました。新しい規則では、Eメールの送信者は、自分自身を明確かつ正確に識別し、合法的な返信用アドレスを提供し、各メールの下部に配信停止リンクを含めることが義務付けられています。
法令遵守とサイバー法の詳細については、機密情報を保護し、サイバーセキュリティにおける進化する法的枠組みを遵守するのに役立つLawrinaのようなリソースを検索することを検討してください。
この規制はどのようなビジネスに適用されるのか?
CAN-SPAM法は、一定の要件を満たす限り、企業から消費者に送られるもの、またはその逆も含め、すべての商業メッセージに適用されます。この規制は、スパムメールから企業を守ることを目的としています。スパムメールとは、誰かがリンクをクリックさせたり、添付ファイルを開かせたりする目的でメッセージを送信することを指します。また、企業が何かを売り込もうとするスパムメールから消費者を守るための法律でもあります。
メールセキュリティのコンプライアンスモデルを構築する方法
電子メールセキュリティコンプライアンスモデルは、組織のサーバーと電子メールアプリケーションが、適用される法律、業界全体の標準、および指令に準拠していることを確認するために設計されています。このモデルは、組織が潜在的なセキュリティインシデントの検出、防止、調査、是正を通じて、顧客データの収集と保護を提供するポリシーと手順を確立するのに役立ちます。
以下では、メールセキュリティに役立つモデルの構築方法と、コンプライアンスを超えるためのヒントや先進的な技術についてご紹介します。
1.セキュアメールゲートウェイの使用
メールセキュリティゲートウェイは、企業のメールコミュニケーションを保護するための重要な防衛線です。意図した受信者だけがメールを受け取れるようにし、スパムやフィッシングの試みもブロックすることができます。
ゲートウェイを利用することで、組織とその顧客との間の情報の流れを管理することができます。また、暗号化などの機能を活用することもできます。暗号化は、電子メールで送信された機密情報を、あるコンピューターから離れる前に暗号化し、別のコンピューターに向かう途中で復号化することで保護するのに役立つ機能です。これにより、サイバー犯罪者が異なるコンピューターやユーザー間で送信された電子メールや添付ファイルの内容を読み取ることを防ぐことができます。
また、安全なメールゲートウェイは、スパムフィルタリングやアーカイブなどの機能を備えており、これらはすべて、社内の組織的でコンプライアンスに則った雰囲気を維持するために不可欠なものです。
2.配信後の保護機能を行使する
電子メールセキュリティのコンプライアンスモデルを構築するには、いくつかの方法があります。最も一般的な方法は、このモデルを使用して潜在的なリスクを特定し、そのリスクに対してPost-Delivery Protection(PDP)を適用する方法です。
配信後保護とは、電子メールが意図した受信者に配信されたことを確認するプロセスです。これには、受信者がメールクライアントソフトにログインしてメッセージを確認できるようにすることや、メールがスパムフィルタに振り分けられていないことを確認することなどが含まれる。
配信後の保護は、安全なネットワークやサーバーにメールを保存し、目的の受信者に配信する前にメールを暗号化することで実現できます。ただし、これらのファイルへのアクセスは、権限のある人だけが行えるようにし、その人だけが復号化できるようにすることが重要です。
3.アイソレータ技術の導入
メールセキュリティのコンプライアンスモデルは、ユーザーのすべてのエンドポイントとそのWebトラフィックを分離することによって構築されます。アイソレーション・テクノロジーは、ユーザーのすべてのWebトラフィックをクラウドベースのセキュアブラウザに隔離することで機能します。つまり、アイソレーション・テクノロジーで送信されたメールは、サーバー側で暗号化され、クライアント側では「隔離された」ステーションで復号化されるのです。
そのため、外部のコンピューターがメールにアクセスすることはできず、悪意のあるプログラムやリンクをダウンロードすることもできません。こうすれば、たとえ誰かがマルウェアを含むメール内のリンクをクリックしたとしても、マルウェアが自分のコンピューターやネットワークに感染することはありません(悪意のあるリンクは読み取り専用で開かれるため)。
分離技術により、企業はホストベースの暗号化(HBE)を使用した安全な電子メールソリューションを導入することで、PCI DSSやHIPAAなどの規制に簡単に準拠することができます。
4.効果的なスパムフィルタの作成
電子メールのフィルタリングでは、受信システムに配信される前に、電子メールメッセージをルールのリストに照らしてチェックします。ルールは、ユーザーが設定することも、一定の基準に基づいて自動的に設定することも可能です。フィルタリングは通常、特定の送信元から送られたメッセージが悪意のあるものでないこと、または予期せぬ内容を含んでいないことを確認するために使用されます。
効果的なスパムフィルターを作る最良の方法は、スパマーが受信者の受信箱に届く前にメッセージを発見することを難しくするようなテクニックをどのように使っているかを分析することです。この分析は、スパムを識別し、受信箱に到達するのを防ぐフィルターを開発するのに役立つはずです。
幸いなことに、(DMARCのような)いくつかのソリューションが利用可能で、企業がメッセージごとに特定のルールを定義できるようにすることで、このプロセスの大部分を自動化し、そのルールに一致するものだけがフィルターによって処理されるようにしている。
5.電子メール認証プロトコルの実装
の DMARC規格は、ユーザーがあなたのビジネスから期待するメッセージを受け取り、機密情報が意図しない人の手に渡ることがないようにするための重要なステップです。
これは電子メール認証プロトコルで、ドメイン所有者が特定の条件を満たさないメッセージを拒否することができます。スパムやフィッシングの対策として利用できますが、お客様を欺くようなメールの送信を防ぐのにも有効です。
電子メールセキュリティのコンプライアンスモデルを構築する場合、企業名やドメインを偽装して忠実な顧客を詐取しようとする外部からの悪質な電子メールによるブランドの毀損を防ぐために、DMARCが必要です。.
DMARCに対応している企業の顧客は、その企業から正当な通信を受け取っていることを保証することができます。
関連記事NCSCのメールチェックの変更と英国公共部門のメールセキュリティへの影響
6.メールセキュリティと包括的な戦略との連携
電子メールセキュリティのコンプライアンスプログラムの包括的な戦略は、組織が関連するすべての政府規制を遵守することを保証することです。これには、送信者ID、オプトイン、オプトアウト、リクエスト処理時間などに関連する規制が含まれます。
そのためには、それぞれを個別に対応させた上で、相互支援するような形で統合した計画を策定する必要があります。
また、地域ごとに異なるポリシーに基づき、メール戦略を差別化することも検討すべきです。例えば、米国ではスパムメールに関する様々な規制があり、インドや中国などスパムメールに関する規制が緩やかな国とは異なる手段を講じる必要があります。
私たちの 企業メールセキュリティのチェックリストで、企業のドメインとシステムを保護しましょう。
電子メールセキュリティのコンプライアンスモデルを構築する。追加ステップ
- 収集したい情報の種類、収集頻度、収集に要する時間などを含むデータ収集計画を策定する。
- コンプライアンス・トレーニング・ソフトウェアを使って、職場で電子メールを適切に使用するための方針、手順、トレーニング・モジュールを制定し、電子メールを安全かつ確実に使用する方法について従業員を教育する。
- 現在のメールセキュリティ対策が業界のベストプラクティスに沿っているかどうかを評価し、必要であればアップグレードを検討してください。
- どのような人事データを非公開にするか、また、従業員、パートナー、ベンダー(Webサイトやソーシャルメディアチャンネルのコンテンツ作成に関わる第三者を含む)にどのように伝えるかを決定します。
- 機密情報にアクセスできる全従業員のリストを作成し、電子メールコミュニケーションツールの使用を監視する計画を策定する。
メールセキュリティのコンプライアンスに責任を持つのは誰か?
IT管理者 - IT管理者は、組織全体のメールセキュリティコンプライアンスの責任者です。ITマネージャーは、会社のセキュリティポリシーが守られていること、そしてすべての従業員がそのポリシーについてトレーニングを受けていることを確認する人たちです。
シスアド - シスアドは、メールサーバーのインストールと設定、およびメールシステムを成功させるために必要なその他のITインフラストラクチャに責任を負います。どのようなデータが保存され、誰がそれにアクセスし、どのように使用されるかを理解する必要があります。
コンプライアンス・オフィサー - 会社が電子メール・セキュリティのコンプライアンスに関するすべての法律を遵守していることを確認する責任を負います。
従業員 - 従業員は、会社のメールセキュリティポリシーと手順、およびマネージャーや上司からの追加の指示や指導に従う責任を負います。
サードパーティサービスプロバイダー - メールのセキュリティをサードパーティに委託することで、時間とコストの両方を節約することができます。例えば、サードパーティの DMARCマネージドサービスプロバイダーは、数分でプロトコルを実装し、DMARCレポートを管理・監視し、エラーのトラブルシューティングを行い、簡単にコンプライアンスを取得するための専門的なガイダンスを提供することができます。
お客様のメールセキュリティ・コンプライアンスの実現に貢献するために、私たちはどのような貢献ができるでしょうか?
PowerDMARCは、世界中の企業にメールセキュリティソリューションを提供し、フィッシングやなりすましに対するビジネスメールシステムの安全性を高めています。.
DMARCに準拠したメールインフラへの移行を、ドメイン所有者が配信可能性を損なうことなく、強制的な(p=reject)ポリシーで支援します。当社のソリューションには無料トライアル期間(カード情報不要)が付いており、長期的な決定を下す前にテストドライブすることができます。 DMARCトライアル今すぐ
- フィッシング攻撃強化における口実詐欺の台頭- 2025年1月15日
- 2025年からDMARCがペイメントカード業界に義務付けられる- 2025年1月12日
- NCSCのメールチェックの変更と英国公的機関のメールセキュリティへの影響- 2025年1月11日