共有メール アカウントは、通常、同じ家族や組織内の複数の人がアクセスして使用するアカウントです。複数の人が作業負荷を管理し、メールが返信されないことがないようにできるため、便利に思えるかもしれません。しかし、共有メールを使用すると、複数の安全上のリスクが生じ、すべてのユーザーと組織が脆弱になります。
メールセキュリティの重要性
メール セキュリティは、あらゆるビジネス セキュリティの重要な部分です。毎年、何十万人もの人々がフィッシング攻撃の被害に遭い、膨大なデータ損失や計り知れない経済的損害、評判の損害が発生しています。従業員を監視し、ベスト プラクティスに従うようにすることで、デジタル防御を強化できます。DMARC 、SPF、DKIMなどのメール認証プロトコルを実装すると、メール送信者の正当性を検証し、ドメインの不正使用のリスクを軽減することで、フィッシングやスプーフィング攻撃から保護できます。
これを行う方法の 1 つは、正規のスパイ ソフトウェアを使用することです。たとえば、技術ライターの Noah Edis によるFlexispy のレビューによると、このソフトウェアを使用して会社のデバイスを監視し、ベスト プラクティスが遵守されていることを確認し、説明責任を向上させることができます。一部の地域では、雇用主が従業員に監視対策やツールについて通知することを要求する法的要件がありますが (EU の GDPR など)、これは世界規模では当てはまりません。
共有メール アドレスとは何ですか?
共有メール アドレスとは、複数のユーザーが使用する単一のメール アカウントを使用する単一のメール アドレスです。すべてのユーザーは同じログイン資格情報を使用してアカウントにログインします。共有メールは、家庭や家族、さらには企業で使用されることがあります。たとえば、複数の従業員が単一のアドレスに送信されたメールに返信する責任を負っているカスタマー サービス部門などでよく使用されます。
チームメンバー全員が同じログイン情報を使用し、同じメールにアクセスするため、またチームメンバーが部署を異動したり、会社を辞めたりすると、数十人以上の人がアカウントにアクセスできるようになる可能性があります。これにより、ビジネスは内部からの攻撃に対して無防備になり、外部からの攻撃のリスクも高まります。
メールアドレスの共有を避けるべき8つの理由
共有メール アドレスは便利で、場合によっては役立ちますが、セキュリティ上のリスクも伴います。共有メール アドレスの使用を避けるべき一般的な理由は次のとおりです。
1. 弱いパスワード
安全なパスワードは、大文字と小文字、数字、特殊文字で構成されている必要があります。連続した文字列、よく知られている単語やフレーズ、または簡単に推測できるものを含めないでください。ビジネス ハッキングによる侵害の 10 件中 8 件は、脆弱なパスワードや盗まれたパスワードの使用が原因で発生しているため、安全なパスワードを選択して使用することは、データ セキュリティの不可欠な部分です。
共有メール アカウントのパスワードは簡単なものになる傾向があります。複数のユーザーがアカウントにアクセスする必要があり、管理者が簡単なパスワードを割り当てる方が簡単です。また、多くのユーザーは複数の異なるアカウントに同じパスワードを使用しているため、メールにアクセスするためのパスワードが与えられている場合、そのパスワードを他の場所でも再利用する可能性があります。
2. 説明責任
複数の人が同じユーザー名とパスワードを使用してメール アカウントにアクセスすると、誰が何をしたかを特定することは事実上不可能になります。 意図的なデータ漏洩があり、機密メールが共有された場合、共有メール アカウントを使用しているときに誰がその情報を共有したかを特定することは非常に困難です。 ビジネスの観点から見ると、メール アカウントから誰がメッセージを送信したか、または誰が返信したかを特定することも困難になります。
説明責任の欠如は、罰を与えることではありません。セキュリティ違反やリスクがある場合、従業員と電子メール ユーザーはベスト プラクティスについてトレーニングを受ける必要があります。これを行うには、トレーニングが必要なユーザーを特定する必要があります。そうしないと、ベスト プラクティスに準拠しているユーザーを遠ざけてしまう可能性があります。説明責任のもう 1 つの要素は、どの電子メールに誰が返信する責任があるかを決定することです。チーム メンバーは、すべての電子メールをチェックして、タイムリーに返信が届いたことを確認する必要があります。
3. 意図的な攻撃
メールには、顧客からのメールであっても、非常に機密性の高いデータが含まれている場合があります。競合他社や外部の関係者に知られたくない情報です。共有メール アカウントでは、誰がアカウントにアクセスできるのかを正確に把握することが困難です。アクセスを必要とする現在の従業員だけでなく、従業員が組織を離れることもあります。データ侵害や攻撃はすべて社外から発生するわけではありません。その多くは従業員や元従業員によって引き起こされます。
社内異動や従業員の退職のたびにメールのパスワードが変更される可能性は低いでしょう。ほとんどの企業では、従業員が退職するとすぐに他のアクセス方法を制限しますが、これでは企業は現従業員や不満を持つ元従業員からの意図的な攻撃にさらされることになります。
4. データの保持
ほとんどの場合、従業員は Outlook などのメール ソフトウェアを使用して共有メールにアクセスします。ソフトウェアはコンピューターにインストールされており、個人がアカウントに完全にアクセスできます。メールの送受信、添付ファイルのダウンロード、アカウントの管理機能の実行が可能です。
ユーザーが機密メールを削除したとしても、そのメールの内容が他のユーザーのメール ソフトウェアに残っていたり、添付ファイルをダウンロードしていたりすると、そのデータはそのまま残ります。これは、機密性の高いビジネス データでは問題となる可能性があります。また、フィッシング メールや疑わしいファイルの場合、セキュリティ リスクが生じる可能性もあります。あるユーザーが詐欺だと認識してメールを削除したとしても、そのメールがすでに開かれたりダウンロードされていたりすると、会社全体にリスクが生じます。
5. 不遵守
医療業界など一部の業界では、電子メールのセキュリティ要件を含む厳格なデータ保護および通信ポリシーが定められています。その業界の組織はこれらのポリシーに従わなければならず、従わない場合は懲罰的措置が取られる可能性があります。最も深刻なケースでは、企業の営業許可が取り消されることもあります。
ほとんどのデータ コンプライアンス ポリシーでは、データの整合性を確保し、外部からの攻撃を困難にし、個人のデータを保護するために、ユーザーに個別の電子メール アカウントを持たせることが求められます。
6. 複雑さの増大
メールのログイン認証情報を共有することは、最も簡単な解決策のように思えます。アクセスを必要とするすべてのユーザーに同じユーザー名とパスワードが与えられ、すべてのユーザーがメールに返信できます。ただし、企業が優れたデータ セキュリティを確保したい場合、実際にはさまざまな点で複雑さが増します。
すべてのユーザーにログイン詳細を与える必要があります。ユーザーが部署を離れる場合、特に会社を辞める場合は、詳細を変更する必要があります。これは、すべてのチーム メンバーに新しいログイン詳細を送信することを意味します。必然的に、誰かが新しい詳細を忘れてしまいます。また、データ侵害やその他のセキュリティ問題が発生した場合、侵害の原因を突き止め、将来の攻撃に対する防御を強化するために、IT 部門は多くの調査を行う必要があります。また、電子メール アカウント自体に変更を加えるために管理者アクセスが必要なユーザーもいますが、他のユーザーには必要なく、共有アカウントにユーザー アクセス制限を作成しようとすることになります。
7. ソーシャルエンジニアリングのさらなるリスク
ソーシャル エンジニアリングは、電子メール アカウントやその他のミッション クリティカルなデータにアクセスするために最もよく使用される戦術の 1 つです。フィッシングはソーシャル エンジニアリングの 1 つの形態であり、電子メールの受信者にリンクをクリックさせ、偽のサイトでユーザー名とパスワードの詳細を入力させます。ただし、他のソーシャル エンジニアリング戦術も存在し、共有アカウントにアクセスできるユーザーが増えるほど、これらの戦術を使用するハッカーにとって潜在的な侵入ポイントが増えます。
これらのセキュリティホールを塞ぐ最も効果的な方法は、すべてのユーザーに対して別々のログイン認証情報を持つ別々のアカウントを用意することです。少なくとも、電子メールの転送はセキュリティホールを塞ぐのに役立つ可能性があります。
8. アクセス制限
すべてのチーム メンバーが同じレベルのアカウント アクセスを必要とするわけではなく、異なるチーム メンバーが特定のメールにアクセスする必要がある場合があります。共有メール アカウントでは、これは不可能です。アカウントにアクセスできるすべてのユーザーがすべてのメールを閲覧し、返信することもできます。同様に、一部のユーザーはアカウントの詳細にアクセスして修正する必要がある一方で、他のユーザーはメール アクセスのみを必要とします。
これは、一部のユーザーに電子メール ソフトウェアを提供し、他のユーザーにアカウント自体へのアクセス権を与えることで実現できますが、さらに複雑になり、ユーザーがアカウントのユーザー名とパスワードを取得すると、オンライン アクセスが可能になり、変更を加える可能性があります。
まとめ
共有メールは、ユーザー名とパスワードが 1 つだけなので便利に思えます。これらはユーザー間で共有され、誰もがアカウント内のメールにアクセスして返信できます。ただし、共有メールはセキュリティ上のリスクが高まり、データ セキュリティを真剣に考えている企業にとっては複雑さのレベルが実際に高まる可能性があります。
PowerDMARC の高度な電子メール セキュリティ ソリューションを使用して、ドメインを保護し、電子メール セキュリティを強化します。今すぐ無料でお試しください。
- フィッシング攻撃強化における口実詐欺の台頭- 2025年1月15日
- PCI DSS 4.0準拠のためのDMARC - 2025年からの義務化- 2025年1月12日
- NCSCのメールチェックの変更と英国公的機関のメールセキュリティへの影響- 2025年1月11日