添付メールを開くのは当たり前の行為ではないのか

  • Pocket
  • LINEで送る

最近、様々なメディアで「心当たりのない添付メールを開かない」「誤送信に備えてパスワード付きZIPで相手に送信」といった報道がなされていますが、これは正しいセキュリティ対策ではありません。

セキュリティ対策ソフト

まず、悪意のある者は、標的者に対して心当たりがあるように装いウイルスの入ったファイルを添付します。添付するファイルは、ExcelやWordの場合が大半です。受信者は、上司や関係機関から送信された添付メールを開くのが業務上当然の行為で、送信者に電話をして「メールに書類を添付されましたか?」という確認を行うのは現実的ではあません。このようなことでは「重要書類は書留で送ってください」という時代に逆戻りしてしまいます。

添付メールを開いても問題ない仕組みを構築する、これが真のセキュリティ対策です。Excel,Wordは標準ではマクロの動作が無効化されていますので、一般社員においてはマクロを常に無効化しておくことが重要です。また、マクロを使うような業務システムも全廃するべきです。マクロを有効化にするウイルスも存在していますので、マクロが有効化されていたとしても、ウイルスが実行できないセキュリティソフトをエンドポイントセキュリティ製品として採用すべきです。(もちろんPC Matic Pro/MSPはこの分野に強い製品です)

企業間でメールを送る際にパスワード付きのZIPファイルを添付し、別途パスワードを送信することを推奨している企業がありますが、これは相手先にウイルス感染リスクを高めてしまうため、昨今においては正しい方法ではありません。ファイルとパスワードを別々に送信することで2回目のパスワードを送信する前であれば、誤送信した添付ファイルを開封される危険性がないと考えているようですが、実際には送信したメールを開いて、そのメールに返信するような形でパスワードを送信しているケースがありますので、その場合は、1回目にメールアドレスを間違っていた場合は、2回目も返信する形にしていた場合は、誤送信されてしまい、誤送信にはほとんど対処できていません。

また、公衆インターネットであるためファイルを途中でとられてしまう危険性を考慮してのことかもしれませんが、2回送信しても1回の送信でも取得されることに変わりはありません。パスワード付きZIPファイルが危険なことは、メール受信先企業のメールボックスへ受信する前に、アンチウイルスによるスキャニング機能を利用することができないことです。国際的にはZIP圧縮されているファイルの中身をアンチウイルスにて監査しパスしたもののみに受信を許可します。しかし、日本ではパスワード付きZIPファイルを添付するケースが多いため、ファイルの中身をスキャンすることができず、そのまま社内ユーザへの受信を可能にしています。これが1つの問題点です。

当社として推奨する運用方法は、以下のように多重の「隔壁」を設ける方法です。1つの隔壁だけでなく多重に設けることで防ぐことができます。

(1)ZIPファイルも含めてすべての添付ファイルはアンチウイルスエンジンにて監査をした後に、社内ユーザのメールボックスへ配達をする仕組みとする。(ファイアーウォール装置やAVアプライアンスで対応)

(2)アンチウイルスにて監査できないファイルは、情報システム部門へ転送されるようにし、専門家が監査をした後に社内ユーザへ転送を行う。

(3)添付メールが万が一にも悪意のあるものであった場合であっても、スクリプト実行や悪意のあるプログラムが実行できないようなエンドポイントセキュリティ製品を採用する。

(4)エンドポイントセキュリティ製品にて万が一起動してしまった場合でも、即座に該当パソコンを自動的に隔離できるインテリジェントスイッチと識別サーバを社内に導入する。

(5)社内にて利用認定されていないアプリケーションが外部(WAN)や別セグメント(VLAN)と通信を試みることをすべて拒絶する、アプリケーション層制御(ALG)をもつ次世代ファイアーウォール装置を導入しホワイトリスト方式で運用する。

(6)営業部門と管理部門はネットワークセグメントを分ける。

などです。現在は、新種のウイルスがすり抜けてしまうエンドポイントセキュリティ製品を採用していることで隔壁が機能しておらず、ファイアーウォール装置は、LANからWAN側へはANY通信が可能な状態になっている企業が大半であり、これでは隔壁は1つもない状態です。防衛では悪者を退治するという考えてはなく、許可されたことのみが利用可能というホワイトリストが基本です。国防の仕組みと照らし合わせて考えれば簡単なことです。

エンタープライズシステムは、ブラックリスト方式ではもう防ぐことはできません。ホワイトリスト方式で認証されたもののみを利用許可することで利便性と安全性は格段に高まります。パスワード付きのZIPファイルでなければ、スマートフォンやタブレットでも扱いやすいのですから。

  • Pocket
  • LINEで送る