Exchange Online（Microsoft 365 のメール機能)にセキュリティリスクが？ その理由と解決方法を紹介

いま、ビジネスでやり取りされるメールがセキュリティ上のリスク要因としてとらえられています。メールを入口にしたサイバー攻撃やマルウェア感染が頻発している上、従業員のメール誤送信やPPAP問題なども無視できなくなっており、メールのセキュリティ対策は喫緊の課題です。

メールによるサイバー攻撃では、フィッシングメールにより企業情報や個人情報を盗まれる被害が多発。また、悪意のあるファイルが添付されたメールを、従業員がそうとは知らずに開くことで、組織内にマルウェアの感染を広げてしまうことも急増しています。
さらに、従業員が宛先を間違えて別の企業情報を流出させたり、あるいは意識しないまま機密情報を外部に送信したりする誤送信によって、組織の信頼性を損なうリスクは大きくなっています。

これらのリスクに対処するため、組織はセキュリティ環境の強化に加え、メール利用のガイドライン整備や情報漏えいのリスク評価、従業員へのセキュリティ教育の実施といったあらゆる対策を施さなければならない状況にあるのです。

Exchange Online は Microsoft 365 で提供するクラウドベースのメールサーバーとして、多くの組織に導入されています。

メールサーバーとは、メールを送信・受信するための機能を持つサーバーのこと。メールアドレスやメール本文、添付ファイルなど必要な情報を管理して、メールの送信・受信を行います。代表的なクラウドメールサーバーのひとつである Exchange Online は、メールクライアントである Outlook と標準で連携されていますが、他のメールクライアントとも接続することができます。
メールクライアントとは、メールを送受信するためのソフトウェア、インターフェースを指します。メールクライアントがメールサーバー上のメールボックスに対して、メールの送信や受信、削除などのリクエストを行い、メール送受信が実行される仕組みです。

Exchange Online はメールの送受信やカレンダーの共有などの標準機能だけでなく、コンプライアンスやセキュリティ対策に欠かせない高度な機能も備えています。また、Exchange Online はクラウドサービスであるため、従来は必要だったサーバーの設定や管理などの負担を軽減できる利点があります。
そして、スマホやタブレット、Webブラウザなどからいつでもどこでもアクセスして、メール確認やスケジュール管理ができるため、従業員の業務効率化に寄与します。

Exchange Online についてさらに詳しい記事をご用意しております。ぜひご覧ください。
▼Exchange Online の特徴を解説！ M 365、Office 365 との違いは？

前述のメールのセキュリティ対策が急務でご紹介したように、メールにはサイバー攻撃やマルウェア感染といったセキュリティリスクが伴います。これらの脅威に対処するため、Exchange Online は標準で Exchange Online Protection（EOP)というセキュリティ機能を備えています。
そこで、Exchange Online の標準機能におけるセキュリティ対策について紹介します。

Exchange Online は、既知のマルウェアを排除する機能を備えています。この機能により、既知のウイルスがメールを通じて侵入する可能性を限りなくゼロに近づけることができます。また、送信メールや添付ファイルを監視し、ウイルスやスパイウェアが検知された場合はメッセージを削除します。

さらに、Exchange Online は独自のスパムメール排除機能も備え、その排除機能のレベルは組織のセキュリティポリシーに合わせて調整可能です。

マルウェア対策について、詳しい記事をご用意しております。ぜひご覧ください。
マルウェア対策の重要ポイントは？ 感染時の対処法や症状、感染経路も解説

Exchange Online ではセキュリティグループを設定することで、セキュリティ管理を効率的に行えます。

グループごとにアクセス権限を設定すると、セキュリティ管理者は特定のグループへの対応を一括で行えます。これにより、例えばウイルス感染が疑われるメールがあった場合、感染の可能性があるグループに特化して、素早い対応を取ることができます。

Exchange Online では、DMARCの機能を標準搭載しています。
DMARC（Domain-based Message Authentication, Reporting & Conformance）とは、メールのドメイン認証技術のひとつで、メール認証プロトコルSPF（Sender Policy Framework） とDKIM（DomainKeys Identified Mail）の設定を組み合わせて、実在する組織になりすました不正な送信元ドメインからのメール受信を防ぐものです。

このDMARCを利用することで、不正なドメインからのメール偽装を排除し、セキュリティを強化します。
さらにDMARCにより、企業ドメインの認証状況をモニタリングし、不正送信のログを取得できます。そのため、不正ドメインによる攻撃やフィッシング詐欺などを検知し、セキュリティリスクを大きく軽減することにつながるでしょう。

ここまでご紹介してきたように、Exchange Online は強力なセキュリティ機能を備えた信頼性の高いクラウドメールサービスですが、すべての脅威に対応する完全なセキュリティ性は担保されていません。
そこで、Exchange Online に残るセキュリティリスクの例について解説します。

ゼロデイ攻撃とは、まだセキュリティパッチが提供されていないサービスのぜい弱性をついて攻撃することです。Exchange Online に限らず、最新のセキュリティ更新プログラムを適用していても、攻撃者が未知のぜい弱性を発見してしまえば、侵入を許してしまうことになります。

Exchange Online の標準機能では、一部のセキュリティ機能が不足しているため、あらゆる標的型攻撃に対応できません。

標的型攻撃は特定の組織や個人を狙う攻撃で、フィッシングメールやスパイウェア、ランサムウェアなどの一般的な脅威よりも複雑で高度なセキュリティ技術や手法を必要とするため、Exchange Online の標準機能では対応が難しいのです。

フィッシング攻撃は、攻撃者が偽のメールやWebサイトを信頼できると思わせるように作り上げ、メール受信者やWebサイト利用者を誘導することで、個人情報やアカウント情報を集めるものです。Exchange Online はこのフィッシング攻撃に対する多層的なセキュリティ機能を提供していますが、完全に防御することはできません。

Exchange Online にはメールの送信ルールや条件を設定することで、一部の誤送信を防止できる機能があります。「上司承認」や「送信拒否」などの簡単な誤送信防止機能です。

ただし、一度送信したメールを取り消すことができる機能はありません。そのため、完全にメールの誤送信を防ぐことは不可能です。
ユーザー自身が送信前にメール内容を十分に確認し、誤送信を防止する意識を持つ必要があります。

Exchange Online の標準機能で課題となっている「PPAP」とは、外部にファイルをメールで送る場合、暗号化したzipファイルを送信後、パスワードを別メールで送付する手法です。
このPPAPはZIPファイルが暗号化されているため、セキュリティ対策ソフトでは中身を解析できず、受信ファイルがウイルス感染していても、そのまま受信者に届けられてしまう可能性があります。Emotet（エモテット）といったマルウェア感染の被害がPPAPによって起こるリスクが存在するのです。
また、PPAPではパスワードを別送しても、ファイルと同じ経路で同じ宛先に送るため、盗み見のリスクを防ぐことが困難となっています。

Emotetについて詳しい記事をご用意しております。ぜひご覧ください。
「Emotet（エモテット）」とは？ 特徴と対策をわかりやすく解説

Exchange Online のセキュリティリスクを解消するには、Microsoft 365 のプラン変更によるセキュリティ強化の他に、別途セキュリティサービスを連携させる方法があります。

例えば、メールのフィルタリングや誤送信対策を強化したい場合は、サードパーティのサービスを利用してもいいでしょう。サードパーティ製品ではセキュリティを強化したい内容をピンポイントに安価で対策できるため、メリットがあります。
そこで、Exchange Online のセキュリティリスクを解消するためのサービスについて、ご紹介します。

Techvan Cloud App Security（CAS）は、Microsoft 365 をはじめとしたクラウドサービスのメールやアプリのセキュリティを強化するサービスで、メール攻撃やマルウェアやフィッシング攻撃、不正プログラムなどから情報資産を保護します。

CASではパターンマッチングやAI（人工知能）技術を活用して、マルウェアを検知、防御。さらに不正プログラム対策や不正URLアクセスブロック機能により、未知の脅威を仮想OS上で解析して検知・防御します。また、検知されたフィッシングやランサムウェア、不正URLなどの脅威情報をレポーティングしています。
そして、万が一ウイルス感染が発覚した場合には、直ちに駆除支援を遠隔で行うため、安心です。

下記でサービス内容を詳しくご紹介しています。ぜひご覧ください。
Techvan Cloud App Security 導入支援サービス

HENNGE One は、多数のクラウドサービスを一元管理できるクラウドID管理サービスです。ユーザー管理やセキュリティ管理、アクセス管理が容易になります。

HENNGE One はメールに迫る脅威に対し、多層防御によって安全で効率的なメールの送受信をサポート。スパムメール対策、ウイルスメール対策、フィッシングメール対策、不正アクセス対策、情報漏えい対策、メールの暗号化といった機能を提供しています。

テクバンでは HENNGE One の導入支援を行っております。詳しくは下記をご覧ください。
HENNGE One 導入支援サービス

Sophos Email Security は標的型攻撃や未知のマルウェア、フィッシング詐欺、スパム、情報漏えいなどのリスクから、組織を保護するためのメールゲートウェイセキュリティソリューションです。
メールシステムを保護するため、機械学習、AIなどのテクノロジーを駆使して、脅威のあるメールを検出。メールのリンク、添付ファイル、本文などをスキャンして、高度な脅威をブロックすることが可能です。

テクバンでは Sophos Email Security の導入支援を行っております。詳しくは下記をご覧ください。
Sophos Email Security 導入支援サービス

Cisco Cloud Email Security は、企業がクラウド上でメールセキュリティを高めるためのサービスです。

Cisco Cloud Email Security は、シスコ社が提供する世界中の脅威情報を使用し、スパム、マルウェア、フィッシング詐欺などの様々な攻撃から組織のメールを保護。メールの送信者認証、メールの暗号化、不正アクセスに対する防御、リアルタイムの脅威検知、クラウド型のアーカイブ機能など、多数のセキュリティ機能を提供しています。

テクバンでは Cisco Cloud Email Security の導入支援を行っております。詳しくは下記をご覧ください。
Cisco Cloud Email Security（CES）導入支援サービス

Active! gate SS はメール経由の情報漏えいを未然に防止するための7つの誤送信防止機能をクラウドシステムで提供しています。

Active! gate SS は、メールソフトやサーバーなどの環境に依存しないため、Microsoft 365  をはじめとしたクラウドサービスのメールセキュリティを高めます。添付ファイルの暗号化、BCCへの強制変換、時間差配信、送信メールの一時保留、添付ファイルのWebダウンロード、送信拒否、上司承認など機能も多く、情報漏えいリスクを最小限に抑えることができるでしょう。

テクバンでは Active! gate SS の導入支援を行っております。詳しくは下記をご覧ください。
Active! gate SS 導入支援サービス

clouXion Mail Safe は、Microsoft 365 のメールの誤送信対策に特化したクラウドサービスです。

柔軟な条件設定とマルチな利用形態に対応し、TLS（Transport Layer Security）によるメール暗号化や添付ファイルのWebダウンロード機能を提供。このため、PPAP問題を解消するための代替手段として適しています。

clouXion Mail Safe では、全社的に誤送信の防止や添付ファイルのルールを簡易に適用可能で、誤送信による情報漏えいやPPAPを廃止することができます。

テクバンでは Mail Safe をはじめ、clouXion シリーズの導入支援を行っております。詳しくは下記をご覧ください。
clouXion導入支援サービス

※本記事の内容は2023年4月時点のものです。Microsoft 製品の仕様や利用環境は変更する場合があります。