社員の受信箱に危ないメールが届く前に — Gmailの受信側を管理者側で固める | GH Media
URLがコピーされました

社員の受信箱に危ないメールが届く前に — Gmailの受信側を管理者側で固める

URLがコピーされました
社員の受信箱に危ないメールが届く前に — Gmailの受信側を管理者側で固める

「うちの経理に、社長を名乗るメールで『至急この口座に振り込んでほしい』と指示が来たんです。幸い本人に確認して事なきを得ましたが、文面がそれらしくて、危うく信じるところだったと。ああいうメールを、そもそも社員に届かないようにできないんでしょうか」——先日、社員三十名ほどの会社のIT担当の方から、こんな相談を受けました。中小企業で実際に金銭被害や情報漏洩につながるインシデントは、たいてい社員の受信箱に届く一通の偽メールから始まります。

メールの安全対策というと、SPF・DKIM・DMARCで自社をなりすまされないようにする話がよく語られます。これは「自社のドメインが偽装され、取引先に偽メールが届く」のを防ぐ、いわば送信側の守りです。しかし、それとは別に、社員自身が危ないメールを受け取らないようにする受信側の守りがあります。そして受信側の設定は、Google Workspaceの管理画面で初期状態のまま止まっていることが少なくありません。本記事では、社員の受信箱を管理者側で固める方法を、発注する側の目線で整理します。

「自社がなりすまされない」と「社員が受け取らない」は別の守り

まず、混同されがちな二つの守りを分けて押さえます。ここがあいまいだと、片方だけ対策して安心してしまいます。

一つは送信側の守りです。SPF・DKIM・DMARCを設定して、自社のドメインをかたる偽メールが取引先や顧客に届かないようにする。これは主に「社外を守る」ための対策です。もう一つが受信側の守りで、外から自社の社員に届く迷惑メールやフィッシング、危険な添付ファイルを、社員の目に触れる前に止める。これは「自社の中を守る」ための対策です。

冒頭の「社長を装った振込指示」は、後者の受信側の問題です。いくら自社ドメインの送信認証を固めても、攻撃者がまったく別のドメインや無料メールから「社長のふり」をして送ってくるメールは、受信側の設定でしか止められません。送信側と受信側は、守る向きが逆の別々の対策です。両方そろって初めて、メールまわりの穴がふさがります。

Google Workspaceには受信側の守りが標準で備わっている

朗報は、この受信側の守りが、Google Workspaceにはすでに標準で備わっていることです。高価な追加ツールを入れる前に、まず管理コンソールで有効にすべき機能があります。

代表的なのが、高度なフィッシングとマルウェアへの対策です。これは、届いたメールのリンクや外部画像を確認したり、短縮URLで隠されたリンクを見抜いたり、送信元のドメインや従業員の名前をかたる「なりすまし」を検知したりする一連の設定です。有効にすると、疑わしいメールを警告付きで扱ったり、迷惑メールへ隔離したりできます。冒頭のような「社長・役員の名をかたるメール」に対しても、従業員名のなりすましを検知する設定が効きます。

もう一つが、危険な添付ファイルへの対策です。Gmailには、届いた添付ファイルを隔離された仮想環境(セキュリティサンドボックス)で実際に開いてみて、悪意ある動きをしないか確かめる仕組みがあります。加えて、実行形式など危険度の高いファイル形式は、そもそも受信をブロックする設定もできます。さらに、危険なサイトへのアクセスを水際で止めるセーフブラウジングの保護強化を、組織全体や特定の部署に対して有効にできます。

受信側の守り何を止めるか
高度なフィッシング・なりすまし対策偽リンク・短縮URL・役員や取引先を装うメール
添付ファイルのサンドボックス検査開くと感染する不正なファイル
危険なファイル形式のブロック実行形式など受信させたくない種類
セーフブラウジング保護強化危険なサイトへの誘導

これらの多くは、管理コンソールでオンにするだけで全社に効きます。問題は、初期状態ではすべてが最大限に効いているわけではなく、有効化や強度の調整が管理者に委ねられている点です。つまり、設定されていなければ守りは働いていないのです。

「全社一律で最強」にすると、正当なメールも巻き込む

では、すべての守りを最強にすればよいかというと、そう単純でもありません。受信側の対策を強くしすぎると、今度は正当な業務メールまで巻き込む副作用が出ます。

たとえば、取引先が送ってくる見積書のファイル形式や、普段やり取りしている外部サービスからの自動通知が、強すぎる設定で迷惑メール扱いされたり、隔離されたりする。すると「大事なメールが届かない」という、冒頭とは逆の困りごとが生まれます。特に、部署によって外部とのやり取りの多さは違います。営業や購買のように社外と頻繁にやり取りする部署と、社外接点の少ない部署とで、必要な強度は本来異なります。

だからこそ、受信側の守りは「全社一律で最強」ではなく、まず全社にしっかりした土台をかけ、そのうえで部署ごとに強度を調整するのが現実的です。この部署ごとの出し分けは、組織部門(OU)を使った設計と組み合わせると無理なく実現できます(組織部門で部署ごとに設定を分ける記事で詳しく扱っています)。守りを固めることと、業務を止めないことのバランスをどう取るかが、設計の勘所です。

事例: 「振込先の書き換え」を水際で止めた会社

具体例を挙げます。社員四十名ほどの会社(社名は伏せます)から、「取引先を装ったメールで、請求書の振込先が書き換えられていた。今回は担当者が違和感に気づいたが、次も気づける自信がない」という相談を受けました。調べると、高度なフィッシング対策や添付ファイルのサンドボックス検査が、管理コンソールで有効になっていませんでした。守りの機能はあるのに、スイッチが入っていなかったのです。

そこでまず、高度なフィッシング・なりすまし対策と添付ファイルの検査を全社で有効にし、危険なファイル形式の受信をブロックしました。そのうえで、社外とのやり取りが多い営業・購買の部署だけは、正当なメールを巻き込まないよう強度を調整しました。あわせて、それでもすり抜けた偽メールに社員が気づけるよう、「振込先の変更は必ず電話で確認する」という運用ルールも添えました。効いたのは新しいツールではなく、すでに備わっていた守りのスイッチを、部署の実態に合わせて入れ直したことでした。技術の守りと人の確認を二重にかけたことで、以来ヒヤリとする場面はなくなっています。

まず管理コンソールで「受信側のスイッチ」を確認する

社員の受信箱を守る対策は、新しい製品の検討から始める必要はありません。まず手をつけるべきは、いま使っているGoogle Workspaceの管理コンソールで、高度なフィッシング対策・添付ファイルの検査・危険なファイルのブロックが、実際にオンになっているかを確認することです。多くの中小企業で、機能はあるのにスイッチが入っていません。

そのうえで、全社の土台を固め、社外接点の多い部署だけ強度を調整し、最後に「振込先の変更は電話で確認する」といった人の運用を重ねる。この技術と運用の二重の守りが、一通の偽メールから始まる被害を水際で止めます。自社のセキュリティ設定の全体像を点検するタイミングで、受信側の守りもあわせて見直すのがおすすめです。

取引先や役員を装うメールが届いて不安、添付ファイルやフィッシングの対策が入っているか分からない、強くしすぎて業務メールが届かなくなるのが心配——そうしたお悩みがあれば、グリームハブのIT・Google Workspace無料相談からお気軽にご相談ください。現状の受信側設定の点検から、全社の土台づくり、部署ごとの強度調整、社員向けの運用ルールまで、業務を止めない守りかたをご一緒します。

Sources

URLがコピーされました

グリームハブ株式会社は、変化の激しい時代において、アイデアを形にし、人がもっと自由に、もっと創造的に生きられる世界を目指しています。

記事を書いた人

鈴木 翔

鈴木 翔

技術の可能性に魅了され、学生時代からプログラミングとデジタルアートの分野に深い関心を持つ

関連記事