ポスト

情報セキュリティとサイバーセキュリティは、それぞれ別の分野ですが、重複する部分が多すぎるため、それぞれの概念を理解する上で混乱が生じます。この記事では、情報セキュリティとサイバーセキュリティの概要を深く掘り下げ、民間企業や公的機関のために、知識と保護のレベルに関する十分な情報を得た上での決断ができるよう解説します。

情報セキュリティとは?

情報セキュリティ(InfoSec)とは、情報資産を不正なアクセス、使用、変更、開示、破壊から保護するプロセスのことである。情報の機密性、完全性、可用性を保護するためのあらゆる側面を包含している。

情報セキュリティの目的は、組織の知的財産、顧客データ、企業秘密、専有情報、およびその他の資産(価値ある資源)を、悪意のある第三者によるアクセス、使用、または開示から保護することである。

電子メールやソーシャルメディアのアカウントなどを通じて、人々が常にオンラインで情報を共有している今日のハイテク主導の世界では、企業は強力な情報セキュリティプログラムを導入して、データを保護し、ハッキングを防ぐ必要があります。その結果、顧客やブランドの信頼性を失うリスクを軽減することができます。

情報セキュリティは、暗号鍵、アクセス制御、電子メール認証などのセキュリティ対策を行うことで実現できます。 電子メール認証.

例えば、ある企業が自社製品を販売するオンラインストアを運営している場合、顧客とその注文を識別するデータを保護する必要があります。この企業の情報セキュリティ対策には、送信する情報の暗号化、パスワードの使用やファイル共有に関するポリシーの策定と実施、ネットワークリソースへの全アクセスの監視などが含まれます。

サイバーセキュリティとは?

サイバーセキュリティとは、ネットワーク、システム、データを不正なアクセス、改ざん、破壊から保護するプロセスのことです。ネットワーク、システム、データへの不正アクセスを防止するための関連技術・分野の総称である。

サイバーセキュリティは、大きく分けて「リスク分析」「検知と対応」「保護」の3つのカテゴリーに分類されます。

  • リスク分析では、組織のネットワークやシステムに対する潜在的なリスクを特定し、サイバーセキュリティの予算をかけるべき場所に優先順位をつけることができます。
  • 検出では、ネットワーク上の活動を監視し、不正な活動や侵害の発生を示す可能性のある活動を検出します。
  • プロテクションとは、ファイアウォールやIDS(侵入検知システム)など、さまざまな方法で情報システムをハッカーの攻撃から守ることです。

デジタル化が進む世界で組織が成功するためには、データとネットワークのセキュリティを維持するために、サイバー脅威を防止、特定、対応するためのサイバーセキュリティの実践を十分に強固にする必要があります。

サイバーセキュリティは、他の方法で企業スパイを防止することもできます。例えば、社内の誰かがネットワーク上の他の従業員のアカウントにアクセスしようとした場合、適切な当局による認証と承認が行われるまで、ファイアウォールでブロックされます。

情報セキュリティとサイバーセキュリティ。その違いとは

情報セキュリティとサイバーセキュリティは、互いに補完し合う情報技術分野である。

この2つの分野は、技術の進化に伴い、その実践において重なることも多いが、それぞれの目的や用途に応じて個別に検討されるべきものである。

以下に、情報セキュリティとサイバーセキュリティの比較を示します。

プロテクションパラメーター

サイバーセキュリティはサイバー空間を脅威から守るものであり、情報セキュリティはデータ全般を脅威から守るものである。

サイバーセキュリティは、ネットワーク、デバイス、システムをサイバー攻撃から保護することに重点を置いています。また、個人情報の盗難、詐欺、その他のオンライン犯罪から個人を保護することも目的としています。サイバーセキュリティは、通信やデータの暗号化を通じてユーザーのプライバシーを保護することに関係している。つまり、サイバーセキュリティは企業の知的財産を保護したり、従業員のプライバシーを保護したりするものではありません。

情報セキュリティは、組織のデータを従業員や部外者による不正なアクセスから保護することに主眼を置いています。情報セキュリティは、機密情報が第三者の手に渡り、不適切に使用されたり、所有者に危害が加えられることのないよう、安全に保管されることを保証するものである。情報セキュリティは、物理的な管理(書類の施錠など)、論理的な管理(機密データの暗号化など)、管理的な管理(パスワードの定期的な変更など)の3つに分類されます。

この2つのアプローチについて考えるには、リスクという観点で互いの関係を考えるのがよいでしょう。サイバーセキュリティは、サイバースペース内で発生する被害を防ぐためのリスクマネジメントとコントロールに焦点を当てます。一方、情報セキュリティは、個々のシステム(または組織)に対する脅威を管理するためのリスクマネジメントとコントロールに焦点を当てます。

セキュリティの範囲

サイバーセキュリティとは、サイバースペースにおける情報を保護するプロセスである。コンピュータシステムやネットワークに存在するデータや情報を、ハッカーやウイルス、その他の悪意のあるソフトウェアによる侵害から保護することを扱っています。

一方、情報セキュリティは、不正なアクセス、使用、開示、改ざん、破壊から情報を保護するためのあらゆる技術を含む、より広い包括的な用語である。オフィスビルのハードディスクに保存されているか、海外の外部サーバーに保存されているかにかかわらず、データや情報を保護する。

ここで重要なのは、サイバーセキュリティはサイバー領域でのみ防御メカニズムを提供し、情報セキュリティはデータがどこに存在し、どのように使用されているか(家庭や企業など)に関係なく保護することを視野に入れているということです。

スレットシールド

サイバーセキュリティは、サイバー攻撃やサイバーテロなど、コンピューターやネットワークを手段とした攻撃から、コンピューターネットワークや技術を保護することに関係している。一方、情報セキュリティは、データがどのような形式で保存されているかにかかわらず、その保護に重点を置いている。

例えば、ハッカーに盗まれた電子メールのメッセージを保護しようとするならば、サイバーセキュリティを扱うことになります。家族の健康記録が悪人の手に渡らないよう守ろうとするならば、情報セキュリティに取り組むことになります。

だから...

サイバーセキュリティは、コンピュータやモバイル機器、あるいはインターネットに接続しているときに発生する、サイバー空間における脅威を扱います。情報セキュリティは、財務記録のような物理的データであれ、電子メールアカウントのような他のタイプの情報であれ、あらゆる種類のデータの保護に関連するあらゆる形態の脅威を扱います。

コンバットアプローチ

サイバーセキュリティとは、情報システムをサイバー攻撃から保護する技術のことです。情報セキュリティとは、企業が自社のデータやシステムをハッカーによる不正アクセス、機密情報の漏洩、破壊から守るための技術を指す。

➜サイバーセキュリティの戦い。

サイバー犯罪-オンラインで起こるあらゆる違法行為を表す広義の言葉です。サイバー犯罪には、ハッキング、フィッシング、なりすましなどがある。

サイバー詐欺 - インターネットや電子メールを通じて行われるデジタル詐欺。例:クレジットカード詐欺(誰かがクレジットカード情報を盗み、それを使ってオンラインで買い物をすること)。

➜ 情報セキュリティのコンバット。

不正アクセス - 個人や団体が許可なく情報にアクセスすること。不正アクセスの例としては、サーバーやネットワーク上のデータを盗み見る人がいる。

開示修正 - 攻撃者が意図的に元の所有者に対抗できるような方法でデータを修正する場合。

妨害行為 - システムの正常な運用を妨害して、正当なユーザーへのサービスを拒否し、機能停止や注文の履行遅延を引き起こす行為。

したがって、情報セキュリティとサイバーセキュリティの違いは、城を守るのに剣を使うか、銃を使うかの違いに似ています。しかし、状況によっては、どちらか一方がより効果的であるといえます。

防衛出動

サイバーセキュリティは、サイバー脅威に対する最初の防衛線です。ハッカーによるコンピュータへの侵入や個人情報の盗難を防ぐために、「善人」と呼ばれる人たちのことを指します。

情報セキュリティとは、サイバーセキュリティが破られ、悪意のあるコードがファイアウォールを越えてシステムに侵入した場合に発生するものです。情報セキュリティは、侵害を予防し、侵害から迅速に回復することで、システムを中断することなく使用し続けることができるようにします。

サイバーセキュリティは外部からの脅威を扱うため、しばしば「アウトサイドイン」の保護と呼ばれるのに対し、情報セキュリティは内部と外部の両方のリスクに注目する「インサイドアウト」のアプローチとなる。

情報セキュリティとサイバーセキュリティ。オーバーラップ

情報セキュリティとサイバーセキュリティは、別個のものではあるが、関連する分野である。どちらも機密情報の機密性、完全性、可用性を不正なアクセスや使用から守ることに重点を置いているからです。

この領域では、いくつかの重要な懸念事項が重なり合っています。

  • 両分野とも、あらゆる原因(ヒューマンエラーを含む)から発生する可能性のあるデータセキュリティの脅威を対象としています。
  • 両分野とも、ネットワークやデバイスを流れるデータを保護することを目的としています。
  • 両分野とも、ハッカーやその他の悪者からの攻撃を受けないよう、デバイスを安全に保護することを目的としています。

要約すると、情報セキュリティはデータを保護するために必要な技術的要素を提供し、サイバーセキュリティは、攻撃者からデータを保護したい組織がそれらの技術的要素をどのように使用すべきかという枠組みを提供するということである。

情報セキュリティの一環としてのメールセキュリティ

企業では、ほとんどの情報が電子メールでやり取りされるため、適切な情報セキュリティの枠組みには、電子メールのセキュリティも含まれます。 

なりすましやフィッシングの脅威からメールを保護するために、A DMARC解析ツールツールは必須です。今すぐメール認証プロトコルを導入し、メールコミュニケーションの安全性を確保しましょう。

どんなに経験豊富で準備万端の企業でも、電子メールの漏洩によって不意を突かれることがあります。そのため、効果的な電子メールセキュリティのコンプライアンスモデルを構築することが不可欠です。

メールセキュリティコンプライアンスとは?

電子メールセキュリティコンプライアンスとは、電子通信の機密性を確保するためのポリシーとコントロールを監視、維持、実施するプロセスです。これは、定期的な電子メール監査や継続的な監視の努力によって行うことができます。

すべての組織は、電子メールセキュリティのコンプライアンスに関連するポリシー、手順、活動の概要を示すセキュリティコンプライアンスモデル(SCM)を文書化する必要があります。これにより、組織内でコミュニケーション違反が発生しないようにし、セキュリティ対策が不十分な企業を警戒するビジネスパートナーを確保することができます。

企業向け電子メールセキュリティコンプライアンス規制の理解

電子メールセキュリティ準拠法は、電子メールに保存された情報のセキュリティとプライバシーを確保するための法的枠組みとして機能します。これらの法律は、様々な国の政府によって施行されており、あらゆる形や規模の企業にとって懸念が高まっています。

以下では、電子メール通信を扱う企業に課される要件を簡単に説明するとともに、企業の電子メールセキュリティコンプライアンスを適切に構築するために遵守すべき様々な法的枠組みについて概観します。

a.HIPAA/SOC 2/FedRAMP/PCI DSSについて

医療保険の相互運用性と説明責任に関する法律(HIPAA)、連邦情報システムのセキュリティ基準第2版(SOC 2)、FedRAMP、PCI DSSはすべて、組織が電子的に保護された医療情報(ePHI)のプライバシーとセキュリティを守ることを要求する規制です。 ePHIは、対象事業者や業務提携者の間で電子的に送信されるあらゆる情報です。

この法律は、対象事業者に対して、処理するデータの性質に適した方針、手順、および技術的管理、ならびにHIPAAおよびSOC 2に基づく責任を遂行するために必要なその他の保護措置を実施することを求めています。これらの規制は、他の事業体に代わってPHIを電子形式で送受信するすべての事業体に適用されますが、対象事業体からPHIを受け取るすべての業務提携先や他の事業体にも適用されます。

この規制はどのようなビジネスに適用されるのか?

この規則は、PHI(保護されるべき医療情報)を電子的に収集、保管、または伝送するあらゆる事業に適用されます。また、対象となる電子健康記録(eHealth Record)またはその他の対象となる医療サービスの電子的な提供に関与するあらゆる事業者にも適用されます。これらの規制は、患者のプライバシーと第三者による不正アクセスからの患者データのセキュリティの両方を保護するために設計されています。

b.GDPR

一般データ保護規則(GDPR)は、欧州連合(EU)が実施する規則である。EU市民の個人情報を保護するためのもので、「ここ一世代で最も重要な個人情報保護法」とも呼ばれています。

GDPRは、企業に対して、顧客データの使用方法について透明性を確保し、そのデータの取り扱いに関する明確なポリシーを提供することを求めています。また、企業が顧客についてどのような情報を収集し、保管しているかを開示し、個人がその情報に容易にアクセスできる方法を提供することも求めています。さらに、GDPRは、企業が個人データを収集した目的以外のために使用することを禁じています。

この規制はどのようなビジネスに適用されるのか?

GDPRは、EU域内でデータを収集するすべての企業に適用され、企業は個人情報を収集する対象者から明示的な同意を得る必要があります。GDPRには、違反した場合の罰金も定められているため、個人情報の収集を開始する前に、しっかりとした手順を踏む必要があります。

c.CAN-SPAM

CAN-SPAMは、2003年に米国議会で可決された連邦法で、商業用のビジネスメールには、送信者の物理的な住所や電話番号など、送信元に関する特定の情報を含めることが義務付けられています。また、この法律では、商用メールに返信用アドレスを記載することを義務付けており、このアドレスは送信者のドメイン内のアドレスである必要があります。

その後、CAN-SPAM法は更新され、商用電子メールに関するより厳しい要件が盛り込まれました。新しい規則では、電子メールの送信者は、明確かつ正確に自分自身を識別し、合法的な返信用住所を提供し、各メールの下部に購読中止のリンクを含めることが義務付けられています。

この規制はどのようなビジネスに適用されるのか?

CAN-SPAM法は、一定の要件を満たす限り、企業から消費者に送られるもの、またはその逆も含め、すべての商業メッセージに適用されます。この規制は、スパムメールから企業を守ることを目的としています。スパムメールとは、誰かがリンクをクリックさせたり、添付ファイルを開かせたりする目的でメッセージを送信することを指します。また、企業が何かを売り込もうとするスパムメールから消費者を守るための法律でもあります。

メールセキュリティのコンプライアンスモデルを構築する方法

電子メールセキュリティコンプライアンスモデルは、組織のサーバーと電子メールアプリケーションが、適用される法律、業界全体の標準、および指令に準拠していることを確認するために設計されています。このモデルは、組織が潜在的なセキュリティインシデントの検出、防止、調査、是正を通じて、顧客データの収集と保護を提供するポリシーと手順を確立するのに役立ちます。

以下では、メールセキュリティに役立つモデルの構築方法と、コンプライアンスを超えるためのヒントや先進的な技術についてご紹介します。

1.セキュアメールゲートウェイの使用

メールセキュリティゲートウェイは、企業のメールコミュニケーションを保護するための重要な防衛線です。意図した受信者だけがメールを受け取れるようにし、スパムやフィッシングの試みもブロックすることができます。

ゲートウェイを利用することで、組織とその顧客との間の情報の流れを管理することができます。また、暗号化などの機能を活用することもできます。暗号化は、電子メールで送信された機密情報を、あるコンピューターから離れる前に暗号化し、別のコンピューターに向かう途中で復号化することで保護するのに役立つ機能です。これにより、サイバー犯罪者が異なるコンピューターやユーザー間で送信された電子メールや添付ファイルの内容を読み取ることを防ぐことができます。

また、安全なメールゲートウェイは、スパムフィルタリングやアーカイブなどの機能を備えており、これらはすべて、社内の組織的でコンプライアンスに則った雰囲気を維持するために不可欠なものです。

2.配信後の保護機能を行使する

電子メールセキュリティのコンプライアンスモデルを構築するには、いくつかの方法があります。最も一般的な方法は、このモデルを使用して潜在的なリスクを特定し、そのリスクに対してPost-Delivery Protection(PDP)を適用する方法です。

配信後保護とは、電子メールが意図した受信者に配信されたことを確認するプロセスです。これには、受信者がメールクライアントソフトにログインしてメッセージを確認できるようにすることや、メールがスパムフィルタに振り分けられていないことを確認することなどが含まれる。

配信後の保護は、安全なネットワークやサーバーにメールを保存し、目的の受信者に配信する前にメールを暗号化することで実現できます。ただし、これらのファイルへのアクセスは、権限のある人だけが行えるようにし、その人だけが復号化できるようにすることが重要です。

3.アイソレータ技術の導入

メールセキュリティのコンプライアンスモデルは、ユーザーのすべてのエンドポイントとそのWebトラフィックを分離することによって構築されます。アイソレーション・テクノロジーは、ユーザーのすべてのWebトラフィックをクラウドベースのセキュアブラウザに隔離することで機能します。つまり、アイソレーション・テクノロジーで送信されたメールは、サーバー側で暗号化され、クライアント側では「隔離された」ステーションで復号化されるのです。

そのため、外部のコンピューターがメールにアクセスすることはできず、悪意のあるプログラムやリンクをダウンロードすることもできません。こうすれば、たとえ誰かがマルウェアを含むメール内のリンクをクリックしたとしても、マルウェアが自分のコンピューターやネットワークに感染することはありません(悪意のあるリンクは読み取り専用で開かれるため)。

分離技術により、企業はホストベースの暗号化(HBE)を使用した安全な電子メールソリューションを導入することで、PCI DSSやHIPAAなどの規制に簡単に準拠することができます。

4.効果的なスパムフィルタの作成

電子メールのフィルタリングでは、受信システムに配信される前に、電子メールメッセージをルールのリストに照らしてチェックします。ルールは、ユーザーが設定することも、一定の基準に基づいて自動的に設定することも可能です。フィルタリングは通常、特定の送信元から送られたメッセージが悪意のあるものでないこと、または予期せぬ内容を含んでいないことを確認するために使用されます。

効果的なスパムフィルターを作る最良の方法は、スパマーが受信者の受信箱に届く前にメッセージを発見することを難しくするようなテクニックをどのように使っているかを分析することです。この分析は、スパムを識別し、受信箱に到達するのを防ぐフィルターを開発するのに役立つはずです。

幸いなことに、DMARCのように、企業がメッセージごとに特定のルールを定義し、そのルールに合致するメッセージのみをフィルターで処理することで、このプロセスの大部分を自動化できるソリューションがあります。

5.電子メール認証プロトコルの実装

DMARC規格は、ユーザーがあなたのビジネスから期待するメッセージを受け取り、機密情報が意図しない人の手に渡ることがないようにするための重要なステップです。

これは電子メール認証プロトコルで、ドメイン所有者が特定の条件を満たさないメッセージを拒否することができます。スパムやフィッシングの対策として利用できますが、お客様を欺くようなメールの送信を防ぐのにも有効です。

電子メールセキュリティのコンプライアンスモデルを構築する場合、企業名やドメインを偽装して忠実な顧客を詐取しようとする外部からの悪質な電子メールによるブランドの毀損を防ぐために、DMARCが必要です。.

DMARCに対応している企業の顧客は、その企業から正当な通信を受け取っていることを保証することができます。

6.メールセキュリティと包括的な戦略との連携

電子メールセキュリティのコンプライアンスプログラムの包括的な戦略は、組織が関連するすべての政府規制を遵守することを保証することです。これには、送信者ID、オプトイン、オプトアウト、リクエスト処理時間などに関連する規制が含まれます。

そのためには、それぞれを個別に対応させた上で、相互支援するような形で統合した計画を策定する必要があります。

また、地域ごとに異なるポリシーに基づき、メール戦略を差別化することも検討すべきです。例えば、米国ではスパムメールに関する様々な規制があり、インドや中国などスパムメールに関する規制が緩やかな国とは異なる手段を講じる必要があります。

私たちの 企業メールセキュリティのチェックリストで、企業のドメインとシステムを保護しましょう。

電子メールセキュリティのコンプライアンスモデルを構築する。追加ステップ

  • 収集したい情報の種類、収集頻度、収集に要する時間などを含むデータ収集計画を策定する。
  • 職場の電子メールの適切な使用に関する方針、手順、トレーニングモジュールを制定し、電子メールを安全かつ確実に使用する方法について従業員を教育する。
  • 現在のメールセキュリティ対策が業界のベストプラクティスに沿っているかどうかを評価し、必要であればアップグレードを検討してください。
  • どのような人事データを非公開にするか、また、従業員、パートナー、ベンダー(Webサイトやソーシャルメディアチャンネルのコンテンツ作成に関わる第三者を含む)にどのように伝えるかを決定します。
  • 機密情報にアクセスできる全従業員のリストを作成し、電子メールコミュニケーションツールの使用を監視する計画を策定する。

メールセキュリティのコンプライアンスに責任を持つのは誰か?

IT管理者 - IT管理者は、組織全体のメールセキュリティコンプライアンスの責任者です。ITマネージャーは、会社のセキュリティポリシーが守られていること、そしてすべての従業員がそのポリシーについてトレーニングを受けていることを確認する人たちです。

シスアド - シスアドは、メールサーバーのインストールと設定、およびメールシステムを成功させるために必要なその他のITインフラストラクチャに責任を負います。どのようなデータが保存され、誰がそれにアクセスし、どのように使用されるかを理解する必要があります。

コンプライアンス・オフィサー - 会社が電子メール・セキュリティのコンプライアンスに関するすべての法律を遵守していることを確認する責任を負います。

従業員 - 従業員は、会社のメールセキュリティポリシーと手順、およびマネージャーや上司からの追加の指示や指導に従う責任を負います。

サードパーティサービスプロバイダー - メールのセキュリティをサードパーティに委託することで、時間とコストの両方を節約することができます。例えば、サードパーティの DMARCマネージドサービスプロバイダーは、数分以内にプロトコルを実装し、DMARCレポートの管理と監視を行い、エラーのトラブルシューティングを行い、コンプライアンスを容易に獲得するための専門的なガイダンスを提供することができます。

お客様のメールセキュリティ・コンプライアンスの実現に貢献するために、私たちはどのような貢献ができるでしょうか?

PowerDMARCは、世界中の企業にメールセキュリティソリューションを提供し、フィッシングやなりすましに対するビジネスメールシステムの安全性を高めています。.

DMARCに準拠したメールインフラを構築することで、ドメイン所有者が配信能力を失うことなく、強制的に(p=reject)ポリシーに移行できるよう支援します。当社のソリューションは、無料トライアル期間(カード情報不要)が設けられており、長期的な決断を下す前にテストドライブを行うことができます。 DMARCトライアル今すぐ

2021年は、電子メールのセキュリティと認証に関して、非常に多くの出来事があった年でした。企業に数十億ドルの損害を与えた大規模なランサムウェアの攻撃から、COVID-19ワクチン接種を装った偽装メールによるフィッシングの誘いまで、セキュリティの専門家は多くの問題に直面しました。

今日は、2021年に起きた主なメールセキュリティ攻撃を振り返り、今後どうなるかを話し、2022年の脅威に取り組むための便利なヒントを紹介します。

2021年の主なメールセキュリティ攻撃

1.ダイレクトドメイン・スプーフィング

なりすまし攻撃は、2022年に向けて増加の一途をたどっており、攻撃者はDHL、Microsoft、Amazonなどの業界の有名ブランドになりすましています。

2.フィッシング攻撃

FBIのInternet Crime Complaint Centerは、2021年にフィッシング攻撃に対する苦情を最も多く受けました。

3.ランサムウェア

フィッシングを最も一般的な攻撃手段とし、今年はいくつかのシステムがマルウェアやランサムウェアの被害に遭いました。

4.マンインザミドル攻撃

SMTPメールのセキュリティの抜け穴は、中間者(Man-in-the-middle)攻撃者がメール通信を傍受・盗聴するために容易に利用することができます。

これらの攻撃に対するサイバーレジリエンスをどのように構築するか?

SPF、DKIM、DMARCの導入について

DMARCを利用することで、フィッシングやなりすましの攻撃を最小限に抑えることができます。また、ランサムウェアに対する最初の防御策としても機能します。DMARCのその他の利点としては、メールの配信能力の向上、スパムの苦情の減少、ドメインの評価の向上などが挙げられます。

BIMI

お客様のESPがサポートしている場合 BIMIをサポートしている場合は、今すぐ導入することをお勧めします。BIMIは、お客様がメッセージを開封する前に、受信箱の中でお客様を視覚的に識別するのに役立ちます。

MTA-STS

MTA-STSは、MITM攻撃に対する効果的なソリューションであり、送信中の電子メールを保護し、SMTPのセキュリティ問題を克服するのに役立ちます。

2022年に期待することは?

  • 昨今、様々な組織化されたインターネット犯罪集団が戦術をアップグレードして再登場していることから、2022年にはメールを使った攻撃の強度と頻度がさらに増加しても、誰も驚かないでしょう。
  • サイバー犯罪者が遠隔地の職場環境を悪用することにより、ブランドの偽装やランサムウェアによる攻撃が今後も急増すると考えられます。さらに悪いことに、これらの攻撃に関連するコストも翌年には増加すると予測されています。

最終的な感想

セキュリティ専門家は、サイバー攻撃の憂慮すべき増加を受けて、今後数年間、組織は電子メールのセキュリティにもっと真剣に取り組むべきだと提言しています。現在、セキュリティ専門家が否定している一般的な神話は、DMARCが必要なのは多国籍企業やエンタープライズレベルの企業だけだというものです。昨年、インターネット攻撃を受けた組織の約50%が新興企業や中小企業であったことを考えると、これはもちろん真実ではありません。 

セキュリティ標準を導入する際に考慮すべきもう一つの重要な点は、プロトコルのポリシーを緩めてしまうと、ドメインの保護がほとんどないかゼロになってしまうということです。

ソーシャル・エンジニアリング攻撃が進化し続け、ますます複雑で検知できないものになっていく中、企業もそれに合わせて進化していかなければなりません。電子メール認証プロトコルは、銀の弾丸のようなものではありませんが、電子メールを使った攻撃の餌食になる可能性を確実に減らし、組織における電子メールセキュリティの全体的な態勢を強化します。また、攻撃や脆弱性をより深く理解することができ、インシデント対応にかかる時間を短縮することができます。

電子メールのなりすましは、組織のセキュリティにとって大きな問題となっています。なりすましとは、ハッカーが信頼できる送信元/ドメインから送信されたように見せかけて電子メールを送信することです。電子メールスプーフィングは、新しい概念ではありません。実際の送信元以外の誰かやどこかから送信されたように見せかけるために、電子メールアドレスのヘッダーを偽造すること」と定義され、何十年もの間、ブランドを悩ませてきました。メールを送信する際、Fromアドレスには、実際にどのサーバーから送信されたかは表示されず、アドレス作成時に入力されたドメインが表示されるため、メール受信者に疑われることはありません。

2020年末の時点で、フィッシングの発生件数は、世界的な大流行の恐れがあった時期の年間平均と比較して、220%という驚異的な伸びを示していることがわかりました。すべてのなりすまし攻撃が大規模に行われているわけではないので、実際の数字はもっと高くなる可能性があります。2021年、問題は年を追うごとに悪化しているようです。だからこそ、ブランドは安全なプロトコルを利用して電子メールを認証し、脅威となる人物の悪意から逃れようとしているのです。

メールスプーフィング。どのようなもので、どのように機能するのか?

電子メールの偽装は、ユーザーが知っている、あるいは信頼できる人物や組織からのメッセージであると思わせるために、フィッシング攻撃で使用されます。サイバー犯罪者は、なりすまし攻撃を利用して、受信者にメッセージが実際にはない人物から来たものだと思わせます。これにより、攻撃者は自分を追跡することなく、あなたに危害を加えることができます。IRSからのEメールで、還付金を別の銀行口座に送ったと書かれていたら、それはなりすまし攻撃の可能性があります。フィッシング攻撃は、メールスプーフィングによっても行われることがあります。これは、ユーザー名、パスワード、クレジットカードの詳細情報(PIN番号)などの機密情報を、多くの場合、悪意のある目的のために不正に入手しようとするものです。この言葉は、信頼できるふりをして被害者を「釣る」ことに由来します。

SMTPでは、送信メッセージがクライアントアプリケーションによって送信者アドレスを割り当てられた場合、送信メールサーバーは、その送信者アドレスが正当なものか偽装されたものかを判断する方法がありません。したがって、電子メールアドレスを表現するために使用される電子メールシステムが、送信サーバが送信者アドレスが正当なものであるかどうかを確認する方法を提供していないため、電子メールのなりすましが可能なのです。このような理由から、業界の大手企業では、SPF、DKIM、DMARCなどのプロトコルを採用して、正当なメールアドレスを認証し、なりすまし攻撃を最小限に抑えています。

なりすましメール攻撃の仕組みについて

各メールクライアントは、特定のアプリケーション・プログラム・インターフェース(API)を使用して電子メールを送信します。一部のアプリケーションでは、電子メールアドレスを含むドロップダウンメニューから送信メッセージの送信者アドレスを設定することができます。しかし、この機能は、あらゆる言語で書かれたスクリプトを使って呼び出すこともできます。開いているメールメッセージの送信者アドレスには、送信元のユーザーのメールアプリケーションやサービスのアドレスが表示されています。攻撃者は、アプリケーションやサービスを再設定することで、任意の人の代わりに電子メールを送信することができます。

今では、本物のメールドメインから何千もの偽のメッセージを送信することが可能になったと言っておきましょう。さらに、このスクリプトを使うのにプログラミングの専門家である必要はありません。脅威行為者は、好みに応じてコードを編集し、別の送信者のメールドメインを使ってメッセージの送信を開始することができます。これこそが、メールスプーフィング攻撃が行われる仕組みなのです。

ランサムウェアのベクトルとしてのメールスプーフィング

電子メールのなりすましは、マルウェアやランサムウェアの拡散に道を開きます。ランサムウェアとは、機密データやシステムへのアクセスを永続的に遮断し、データを再び復号化する代わりに金額(身代金)を要求する悪質なソフトウェアのことです。ランサムウェアの攻撃により、企業や個人は毎年莫大な損失を被り、大規模なデータ漏洩にもつながっています。

また、DMARCとメール認証は、なりすましやなりすましの悪意からお客様のドメインを守ることで、ランサムウェアに対する最初の防御策として機能します。

中堅・中小・大企業が抱える脅威

ブランド・アイデンティティは、ビジネスの成功に不可欠です。お客様は、認知度の高いブランドに惹かれ、一貫性のあるブランドに信頼を寄せます。しかし、サイバー犯罪者は、この信頼を利用するためにあらゆる手段を講じ、フィッシングメール、マルウェア、電子メールのなりすまし行為などで、お客様の安全を脅かします。平均的な組織では、電子メール詐欺によって年間2,000万ドルから7,000万ドルの損失が発生しています。なりすましメールには、商標権などの知的財産権の侵害も含まれており、以下の2つの方法で企業の評判や信頼性に相当なダメージを与えていることに注意する必要があります。

  • パートナーや大切なお客様がなりすましメールを開封してしまい、機密データが漏洩してしまう可能性があります。サイバー犯罪者は、あなたを装ったなりすましメールを使って、ランサムウェアをシステムに侵入させ、金銭的な損失をもたらします。そのため、次からは正規のメールであっても開くのを躊躇するようになり、あなたのブランドに対する信頼を失ってしまうかもしれません。
  • 受信側のメールサーバーは、サーバーのレピュテーションの低下により、正当なメールをスパムと判断して迷惑メールフォルダに振り分けてしまい、メールの配信率に大きな影響を与えてしまいます。

いずれにしても、顧客に接するブランドは、あらゆる問題の当事者となることは疑いの余地がありません。IT専門家の努力にもかかわらず、サイバー攻撃の72%は悪意のある電子メールから始まり、データ漏洩の70%は企業のドメインを偽装するソーシャルエンジニアリング戦術を含んでいます-DMARCのような電子メール認証の実践は重要な優先事項です。

DMARC: メールスプーフィングに対するワンストップソリューション

DMARC(Domain-Based Message Authentication, Reporting and Conformance)は、電子メール認証プロトコルで、正しく実装されていれば、電子メールの偽装、BEC、なりすまし攻撃を劇的に減少させることができます。DMARCは、SPFとDKIMという2つの標準的な認証方法と連携して、送信メッセージを認証し、認証チェックに失敗したメールに対してどのように対応すべきかを受信サーバーに指定する方法を提供します。

DMARCとは何かについてはこちらをご覧ください。

なりすましの悪意から自分のドメインを守りたいのであれば、まずはDMARCを正しく実装することが大切です。しかしその前に、あなたのドメインにSPFとDKIMを設定する必要があります。PowerDMARCの無料SPFおよびDKIMレコードジェネレーターは、ワンクリックであなたのDNSに公開されるこれらのレコードを生成するのに役立ちます。これらのプロトコルを正常に設定した後、次のステップでDMARCを実装します。

  • PowerDMARCの無料DMARCレコードジェネレーターを使って、エラーのないDMARCレコードを生成する。
  • ドメインのDNSにレコードを公開する
  • 徐々にp=rejectのDMARCエンフォースメントポリシーに移行する。
  • DMARCアナライザーツールでメールエコシステムを監視し、詳細な認証集約およびフォレンジック(RUA/RUF)レポートを受け取ることができます。

DMARCエンフォースメントを実現するために克服すべき制限事項

エラーのないDMARCレコードを公開し、施行のポリシーに移行したにもかかわらず、メール配信で問題が発生していますか?この問題は、あなたが考えているよりもはるかに複雑である可能性があります。ご存知ないかもしれませんが、SPF認証プロトコルにはDNSルックアップが10回までという制限があります。しかし、クラウドベースのメールサービスプロバイダーや様々なサードパーティベンダーを利用している場合、この制限を簡単に超えることができます。そうするとすぐにSPFが壊れてしまい、正当なメールであっても認証に失敗してしまい、メールが迷惑フォルダに入ってしまったり、全く届かなくなってしまうのです。

DNSルックアップが多すぎるためにSPFレコードが無効になると、ドメインは再びメールスプーフィング攻撃やBECに対して脆弱になります。そのため、SPF10ルックアップの制限を守ることは、メール配信を確実にするために必須です。このため、SPFレコードを1つのincludeステートメントに縮小し、冗長なIPアドレスやネストしたIPアドレスを排除する、自動SPFフラットナーであるPowerSPFをお勧めしています。また、お客様のサービスプロバイダーがそれぞれのIPアドレスに加えた変更を定期的にチェックし、お客様のSPFレコードが常に最新の状態になるようにします。

PowerDMARCは、SPF、DKIM、DMARC、MTA-STS、TLS-RPT、BIMIなどの様々なメール認証プロトコルを組み立て、お客様のドメインの評価と配信能力を高めます。今すぐ登録して、無料のDMARCアナライザを手に入れましょう。

DMARCの実装方法を知ることは、企業の成長、評判、セキュリティにとって非常に重要です。