連絡ツールとしてだけでなく集客媒体としても利用されているメールですが、便利かつ低コストで利用できる一方で、情報漏洩への対策が必須の媒体でもあります。
特に、一斉送信を使ったメールマガジンの配布などは、情報漏洩が多く報告されており、お客様の個人情報を流出しないための対策は必須と言えるでしょう。
しかし、メールのセキュリティをアップさせる、とは具体的にどんなことをすればいいのだろう、と疑問に思う方も多いのではないでしょうか。
メール配信におけるセキュリティは「内部要因」と「外部要因」に分けることができ、安全なメール配信業務を行うには、どちらの対策も欠かせません。
- 内部要因:メールを配信する側の設定ミスなど
- 外部要因:外部からの不正アクセスやセキュリティポリシー既定によるフィルタリングなど
この記事では、メール配信時のセキュリティをより強固にさせる対策を解説しています。
お客様や取引先の個人情報を守り、安全なメール配信ができるセキュリティを整えましょう。
メール配信時のセキュリティが脆弱だとどんなことが起こるか
メール配信時のセキュリティアップに関する施策をご紹介する前に、メール配信業務で実際に発生したトラブルの事例をご紹介します。
ご紹介する事例は後述する対策を行うだけで、リスクを軽減することができますが、まずはセキュリティ対策をしないとどんなことが起こるのか、ケーススタディをしておきましょう。
また、ご紹介している事例は先述した「内部要因」と「外部要因」のどちらに当てはまるのかを考え、自社ではどんな対策をしているかも思い出しながらご覧ください。
① 誤送信によるメールアドレスの流出(経済産業省)
一斉送信時にBCCに設定すべきメールアドレスを、誤ってCCやTOに設定し送信してしまったことで発生した個人情報の流出です。
2019年2月に8046件のメールアドレスの流出が発覚した経済産業省は、すぐに誤送信先に連絡をとり謝罪をしたのち、該当メールの削除を依頼したそうです。
このケースは送信者側の設定ミスによる情報漏洩なので、内部要因に分類されます。
実はこのような誤送信は、業種や企業の規模を問わず毎年発生しており、場合によっては金銭的な補償をしなければならなかったケースもあります。
誤送信は、BCCやTOなどのメールアドレスの設定を手動で行わなければならない環境で多発するため、一斉送信をする企業では以下のような対策が求められています。
- メール配信ソフトなど、自動でBCCに設定されるツールの導入
- ダブルチェックの徹底
送信前に宛先や添付ファイルなどのダブルチェックを徹底することは大事ですが、結局は人の意識に頼った方法です。
そのため形骸化してしまうことや、省略されてしまうケースも多いようです。
誤送信に関するセキュリティ対策として最も有効なのが「メール配信ソフト」の利用です。
詳しくは後述していますが、メール配信ソフトを利用して行う一斉送信は、自動的にアドレスがBCCに設定されます。
ダブルチェックのように、誤送信を防ぐルールを徹底することは大切ですが、そもそも誤送信をしないような仕組み作りをすることがセキュリティアップの鍵になるでしょう。
② なりすましメール
メール関連のセキュリティでは、自社が配信するメールに対してだけ注意をしていればいいわけではありません。
先述した「外部要因」に分類されるなりすましメールなどでは、自社がメールを配信する相手だけでなく、自社の社員も守ることができるセキュリティ対策が必要になります。
なりすましメール、とは第三者が企業や個人の名前を使い個人情報を聞き出したり、架空請求をするためのURLをクリックさせるために送信するメールです。
「PPC個人情報保護委員会」の調査によると、なりすましメールの被害は令和2年度時点でも増加しているようで、2021年10月現在では大手携帯キャリアの「au」を語ったなりすましメールが報告されています。
なりすましメールは、メールのヘッダ部分を偽装することで送信することもできますが、自社が利用しているメーラーやメール配信ソフトへの不正ログインなどが原因になることもあります。
Gmailでは、上記の画像のように
近年、キャリアやGmailなどのようにメールサービスを提供している企業では、SPF・DKIM・DMARKと呼ばれるなりすましなどのドメイン詐称対策をするようになりました。
上記のようなセキュリティ対策を行い、外部要因に対しての準備も怠らないようにしましょう。
内部要因へのセキュリティ対策
誤送信をはじめとする内部要因は、メール配信ソフトの利用で対策できるものが多いです。
メール配信ソフトとは、一斉送信に便利な機能を提供しているソフトで、内部要因への対策として送信するメールを自動でBCCに設定してくれる機能があります。
そのため、メール配信の中でも一斉送信をする業務がある企業では、メール配信ソフトを利用し誤送信対策をしています。
メール配信ソフトは、自社でシステムを構築・管理する「オンプレミス型」と、企業が提供するサーバーを利用してメール送信をする「クラウド型」に分けられます。
オンプレミス型とクラウド型の違いについては以下の記事をご覧ください。
メルマガ配信方法の特徴や選び方まとめ。集客効果をアップさせる3つの方法も解説します。
運用コストが低く、手軽に始めることができるためクラウド型のメール配信ソフトを利用するのが一般的ですが、パスワードやIDが分かれば誰でもログインすることができるという注意点があります。
過去には社外でメール配信業務を行った際にIDを盗み見られ、情報漏洩が発生した事例もあるくらいなので、社外ではソフトを利用しないようにする環境づくりも必要です。
個人情報の流出はメールアドレスだけでなく、ファイルの誤送信などでも発生します。
そのため、ファイルを添付したメールを配信する場合は、暗号化したものを添付するなどのルールを徹底しましょう。
外部要因へのセキュリティ対策
外部要因へのセキュリティ対策としてまず初めに確認していただきたいのが、使用しているメーラーやメール配信ソフトのパスワード・IDの確認です。
すでにメール配信ソフトを利用してセキュリティ対策を行なっていたとしても、パスワードやIDが簡単だと外部からハッキングされてしまう可能性があるため注意しましょう。
不正ログインされにくいパスワードの特徴として、以下のようなものが挙げられます。
- 大文字と小文字、数字を組み合わせる
- 名前や誕生日などを使わない
- 地名や固有名詞を利用しない
数字のみのパスワードや「abc123」のような、単純なパスワードの場合、ブルートフォースアタック(総当たり攻撃)によってあっという間に破られてしまう可能性があります。
| 使用する文字の種類 | 使用できる文字数 | 4桁 | 6桁 | 10桁 |
| 英字(大文字小文字の区別なし) | 26 | 3秒 | 37分 | 17日 |
| 英字(大文字小文字の区別あり)+数字 | 62 | 2分 | 5日 | 50年 |
上記の表は、文字数と文字の種類、桁数を指定し、最大何分でパスワードを突破されるかをシミュレーションした表です。
驚くことに、数字のみで4桁の数字をパスワードに設定していた場合、3秒あればパスワードは突破されてしまうのです。
利用しているメーラーやメール配信ソフトが不正ログインをされると、管理している顧客情報が流出してしまう可能性があります。
最悪の事態に備え、解説したような強固なパスワードを設定しましょう。
外部要因のセキュリティ対策には、自社で利用しているメール配信媒体にSPF・DKIM・DMARKなどの認証システムを採用するという方法もあります。
GmailやOutlookではSPFはデフォルトで設定されていますが、DKIMやDMARKは個別に設定をする必要があります。
また、メール配信ソフトの中には、DKIMなどのセキュリティ対策が不十分なものもあるので注意しましょう。
一概に言うことはできませんが、無料で利用することができるソフトはセキュリティが脆弱な傾向にあります。
いくらコストを抑られるからといって、セキュリティが脆弱なソフトを利用しメール配信業務を行うのはリスクマネジメントとしてはお勧めできません。
メール配信ソフトを利用する際は、コストだけでなく、機能についても精査するように注意してください。
セキュリティが強固なメール配信ソフト
ここまでの解説の通り、Gmailなどの無料のメーラーを利用するよりも、メール配信ソフトを利用した方が内部・外部要因どちらに対しても、効果的な対策を講じることができます。
ただし注意しなければならないのは、先述の通りメール配信ソフトの中にはセキュリティ対策が不十分なサービスもあるという点です。
SPFやDKIMなどの送信元のアドレスを認証する機能がないと、なりすましの防止ができないだけでなく、メールの到達率が下がる可能性があります。
無料で利用することができるメール配信ソフトなどは、自動でBCCに設定する機能こそあるものの、セキュリティに関しては物足りないものが多く、利用には注意が必要です。
セキュリティが強固なメール配信ソフトには、以下のような特徴があるので、ソフトを選ぶ際はチェックするようにしましょう。
- SPFやDKIMなどのドメイン認証技術を採用している
- 送信メールを暗号化することができる
- 政府機関や大企業が利用している
- プライバシーマークを取得している
プライバシーマークとは「一般財団法人 日本情報経済社会推進協会」が定めた日本産業規格に基づき、個人情報について適切な保護措置をしている事業者に与えられるものです。
プライバシーマークを取得しているメール配信ソフトには以下のようなものがあります。
各メール配信ソフトの主な機能については、以下の記事でランキング形式でまとめているので、ぜひご覧ください。
《2021年》定番のメール配信システムおすすめ16選!無料から有料まで徹底比較しました
まとめ
メール配信業務はお客様や取引先の個人情報を取り扱うため、細心の注意が必要です。
メール自体は日常的に利用するツールなので、つい注意を怠ってしまうかもしれませんが、個人情報を流出してしまうと、社会的な責任を問われる事態にまで発展してしまいます。
メール配信に関するセキュリティは「内部要因」と「外部要因」に分けられ、どちらの対策も欠かせません。
どちらの要因にも対策できる施策として、多くの企業が採用しているのがメール配信ソフトの利用です。
ただし、メール配信ソフトの中には、セキュリティ対策が十分でないものもあるので、利用時にはチェックをするようにしましょう。
受信者のアドレスを自動でBCCに設定してくれる機能だけでなく、SPF・DKIM・DMARKなどの送信ドメイン認証技術を採用しているものが理想的です。
また、プライバシーマークを取得しているメール配信ソフトか、といった部分なども確認しておくと良いでしょう。
日常的に利用するツールだからこそ、セキュリティは万全にしておきたいものです。
