世界中に40億人以上のアクティブなメールユーザーがいるため、メールはマーケターが顧客とリードとやり取りするための最良の媒体の1つです。

しかし、この膨大なユーザーベースにより、メールプラットフォームは悪意のある目的で機密データへのアクセスを求めるハッカーや悪意のある行為者の主な標的になります。

この記事では、データ侵害、ビジネスメール侵害、フィッシング攻撃、その他のメールセキュリティの脅威を防ぐために組み込むべきメールセキュリティのベストプラクティスを紹介します。

推奨されるメールセキュリティのベストプラクティスは以下を含みます:

1. 強力なパスワードを作成する

メールシステムを安全に保ちたい場合、強力なパスワードは最初に考慮すべきことです。すべてのメールには、以下を含む少なくとも8文字のパスワードが必要です:

• 大文字

• 小文字

• 記号

• 数字

これらのコンポーネントをすべて組み合わせると、ハッカーが推測しにくい強力なパスワードが構成されます。複数のビジネスメールアカウントがあり、すべてのパスワードを覚えるのに苦労している場合は、LastPassや1Passwordなどのパスワードマネージャーソフトウェアの使用を検討してください。

パスワードに個人情報を含めることは避けてください。たとえば、名前がMichaelの場合は「Michael123」を使用しないで、代わりに「m1Ch4eI」を使用できます。重要なのは、複雑なパスワードは単純なパスワードよりはるかに優れており、最も重要なメールセキュリティプラクティスの1つです。

強力なパスワードを作成するための簡単で簡単なガイドについては、Googleのこのビデオをご覧ください。

2. メールアカウントの二段階認証を有効にする

二段階認証または多要素認証は、観察すべき最も重要なエンタープライズメールセキュリティプロトコルの1つです。メールアカウントへのアクセスを許可する前に、少なくとも2つの識別方法が必要なシステムです。

最初は通常、ユーザー名とパスワードであり、2番目は携帯電話または別のメールアドレスに送信されたワンタイムパスワードです。このワンタイムパスワードがなければ、メールアカウントにアクセスすることはできません。

識別の2番目のモードは、指紋スキャンや顔スキャンなどの生体認証である場合もあります。Authy やDuo Mobileなど、二段階認証を簡単に実装できる専用アプリがあります。または、メールセキュリティを向上させるためにハードウェアオーセンティケータを使用できます。

このシステムにより、ハッカーがどのようにしてパスワードを入手したとしても、メールアカウントにアクセスして個人通信を取得することができなくなります。Microsoftによると、多要素認証だけでメール通信に対する99.9%の攻撃を防ぐことができます。

3. メールセキュリティを確保するために定期的にパスワードを変更する

パスワードを頻繁に変更することは、メールセキュリティのベストプラクティスの1つです。サイバーセキュリティの専門家は、企業ネットワークの侵害の可能性を低減するために3か月ごとにパスワードを変更することを推奨しています。

また、同じパスワードの再利用を避けることも重要です。パスワード変更時は、以前のパスワードと同じパスワードは避けるべきです。ハッカーによって侵害された可能性があるからです。

4. フィッシング攻撃に対する訓練

フィッシングメールは、よく知られたソースから来ているかのように見えるメールですが、実際には詐欺師によって送信されます。その考えは、ユーザーに機密情報を放棄させ、それを使用して企業メールネットワークへのアクセスを得るというものです。

また、ユーザーが推奨されたアクション(例えば、架空の請求書を支払う)を実行するようにだまし、これはビジネスメール侵害として知られており、年間数十億ドルの損失を引き起こすことが知られています。

幸いなことに、フィッシングキャンペーンを認識するように自分自身と従業員をトレーニングできます。次のように進めます:

• 最初にすべきことは、送信者のメールアドレスを確認することです。正当な送信者の正確なメールであることを確認し、「J0hnB1rch@gmail.com」が「JohnBirch@gmail.com」になりすましているような、同様の文字と記号を監視するために。

• また、メールが一部の財務情報を確認する必要があること、無料アイテムのクーポンを提供していること、または政府払い戻しの対象であるなどと言っている場合は、詐欺の可能性があります。

フィッシングメールには、主に2つのタイプがあります: スピアフィッシングとホエーリング。

スピアフィッシングは個人をターゲットにするタイプで、ターゲットに関心のある情報が含まれます。一方、ホエーリングは会社の上級幹部を対象にしており、送金を開始することを目的としています。

この時代には、フィッシング試行やその他の種類のソーシャルエンジニアリングの戦術に対する訓練は、あなたとあなたの従業員にとって必須であるべきです。

5. メール暗号化を有効にする

企業ネットワークを通過するすべてのメールは暗号化する必要があります。これは、平文を転送中に暗号文に変換し、受信者の受信トレイで平文に戻すことを意味します。

メールが暗号化されている場合、それを傍受する者は、その内容を読んで解読することができません。暗号化されていないメールは、誰もが自由に読める仮想ハガキとなんら変わりません。これはメールセキュリティに悪く、確かにメールセキュリティのベストプラクティスに反しています。

幸いなことに、ほとんどの主要なメールプラットフォームとサービスプロバイダーは暗号化機能を備えています。ただし、それで十分ではない可能性があります。

また、企業ネットワークとメール添付ファイルを送信前に暗号化することが重要です。現在、グローバル組織の50%のみがメール暗号化を採用しており、メール関連のサイバー犯罪に対抗するためには増加する必要がある低い数字です。

メール配信可能性を向上させ、メールが受信者の受信トレイではなくジャンクに入らないようにするには、最新の投稿を確認してください。

6. 公開Wi-Fiネットワークを避ける

公開Wi-Fiネットワークは暗号化されていないことで有名であり、ハッカーはデバイスをマルウェアに露出させたり、ハッキング攻撃のためにWebトラフィックを使用したりできます。

マルウェアはデバイス上の特定の脆弱性を利用して侵入し、機密データへのアクセスを取得します。たとえば、マルウェアオペレーターはパスワードを盗み、オンラインでしていることをすべて盗聴できます。

公開Wi-Fiは祝福のように見えるかもしれませんが、メールセキュリティのリスクが高く、その他の無数のセキュリティ脅威が伴います。そのため、できるだけ回避し、信頼できるWi-Fiネットワークのみを使用することをお勧めします。

仕事用または個人用デバイスで公開ネットワークに接続する以外に選択肢がない場合は、最低でもインターネット接続を暗号化する仮想プライベートネットワーク(VPN)サービスにサブスクリプションする必要があります。

7. アンチウイルスソフトウェアをインストールする

アンチウイルスプログラムは、個人用デバイスを一般的なサイバー攻撃と脅威から保護するのに役立つため、企業ネットワークに接続されているすべてのデバイスにインストールし、ソフトウェアが最新の状態に保つようにしてください。

インストール後は、自動スキャンを有効にして、アンチウイルスソフトウェアがデバイスを定期的にスキャンしてマルウェアを検出し、検出した問題に対抗できるようにしてください。

アンチウイルスソフトウェアをインストールすると、メールセキュリティを損なう可能性のある広範なサイバー攻撃の被害者になる可能性が大幅に低くなります。また、複数のアカウントとパスワードの安全性も損なわれます。

8. メール添付ファイルに注意する

メール添付ファイルは、ハッカーが中小企業をターゲットにし、マルウェアを拡散するための最も一般的な方法の1つです。

ハッカーは添付ファイルに悪意のある実行可能コードを含める可能性があり、ダウンロードするとそのコードがデバイスに導入されるため、信頼できる添付ファイルのみを開いてください。

添付ファイルを受け取った場合、マルウェア対策ソフトウェアでスキャンされていることを確認します。このソフトウェアは悪意のある添付ファイルを簡単にブロックできます。

メール添付ファイルに、MSI(Windows Installer)やJAR(Javaアプリケーションプログラム)などの実行可能ソフトウェアプログラムに関連する拡張子がある場合は、特に注意が必要です。

また、添付ファイルが信頼できるソースからのものであることを確認してください。メールアドレスが疑わしく見える場合は、そのアドレスから画像、ワードドキュメント、その他のファイルなどの添付ファイルを開かないでください。

9. メールリンクに注意する

ハッカーはメールに悪意のあるリンクを含めて、デバイスにマルウェアを導入できます。

たとえば、ハッカーはwww.Google.comなどのよく知られたドメイン名を表示できますが、クリックすると、はるかに悪意のあるドメインにリダイレクトされます。

ハッカーはまた、同様の文字と記号を使用して、評判の良いブランドになりすますことができます。例えば、Micr0s0ft.comでMicrosoft.comになりすまします(OではなくゼロOsを使用)。

メール添付ファイルと同じように、メール内のすべてのリンクに注意してください。マウスポインタをリンクの上に置いて、実際のリンクが表示されているリンクと異なるかどうかを確認して、事前にリンクを確認してください。

リンクが不明なソースからの場合は、それを完全に回避することが最良の選択肢であり、企業ネットワークへの不正アクセスを防ぐ唯一の選択肢かもしれません。

10. コンテンツフィルタリングツールを使用する

多くのメールプロバイダーは、受信メッセージをフィルタリングできるツールへのアクセスを提供しています。受信メッセージの規則を定義すると、フィルタリングシステムは規則を使用して、それらが正当なメールかスパムメールかを判断します。

たとえば、メッセージが特定の送信者アドレスから来た場合は、自動的に正当とマークされて、プライマリインボックスフォルダに送信されます。

あるいは、「free」、「discount」、「limited edition」などのスパムの多い単語が含まれている場合、システムはメッセージを検査中に隔離するか、自動的に削除される可能性があります。

コンテンツフィルタリングは、定義した規則を使用して企業メールネットワークをチェック状態に保つのに役立ちます。これはあなたのキットで持つべき最も有用なメールセキュリティツールの1つです。

11. 企業メールの個人的な使用およびその逆を避ける

企業メールアカウントを個人的な活動に使用することを避けることを強くお勧めします。

たとえば、ソーシャルメディアやゲームアカウントにサインアップするために使用しないでください。そうすることで、サイバー攻撃のリスクと機密情報の漏えいを増加させます。

さらに、その組織を去ったときにメールアクセスを失った場合、個人アカウントのアクセスも失う可能性があります。

同様に、企業活動に個人アカウントを使用しないでください。個人のメールプロバイダーは、企業のメールプロバイダーが持っている高度な機能を持っていない可能性があり、データ侵害のリスクを広げることができます。

12. 疑わしいメッセージに返信しない

メールが疑わしいことに気づき、スパマーから来た可能性が高いが、それでも返信して送信者をあざけるか嘲笑することにする人もいます。これは非常にお勧めできません。

疑わしいメールアドレスに返信すると、メールプラットフォームの目には有効に見えるため、そのスパマーからの将来のメッセージは、属する迷惑フォルダではなく、あなた(または別の受信者)のプライマリ受信トレイに入る可能性があります。

疑わしいメッセージには返信しないでください。これにより、あなた自身または組織内外の他の人が、スパマーまたは詐欺師によって永続される計画の被害者になる可能性が減ります。

13. メール認証プロトコルを実装する

メール認証プロトコルは、メールサービスプロバイダー(ESP)とインターネットサービスプロバイダー(ISP)に対してあなたのアイデンティティを証明します。

それらを実装することにより、ハッカーやスパマーがあなたになりすましにくくなり、配信可能性の高い速度を取得できます。これはメールマーケティングの取り組みに役立つはずです。

主な認証プロトコルには以下が含まれます:

A) Sender Policy Framework(SPF)

これは、ドメイン名からメールを送信することが許可されているIPアドレスまたはホスト名を指定するドメインネームシステム(DNS)レコードを提供することを含みます。

受信メールサーバーはこれらのレコードにアクセスしてチェックできます。ドメイン名から来ていると主張するメールが、実際にホワイトリストのIPアドレスまたはホスト名から来ているかどうか。

そうした場合、メールサーバーはメッセージをインボックスに配置できるようにします。そうでない場合は、スパムフォルダに送信されるか、削除されます。

B) DomainKeys Identified Mail(DKIM)

このプロトコルは、Yahooが開発した「DomainKeys」とCiscoが開発した「Identified Internet Mail」という2つのマージされたプロトコルの結果です。

これには、メールヘッダーに暗号化キー(またはデジタル署名)を追加することが含まれます。キーもDNSレコードで指定する必要があります。

DKIMは、メッセージに固有のウォーターマークまたは指紋のようなものです。受信メールサーバーがこの暗号化キーを見ると、メッセージがあなたからのものであることが確認されます。そうでない場合は、メッセージがスパムフォルダに送信されるか削除されます。

C) Domain-based Message Authentication, Reporting, and Conformance(DMARC)

ドメインベースのメッセージ認証方法は、送信者が使用しているプロトコルを指定するDNSレコードを公開することを含みます。

受信メールサーバーのメール認証ポリシーを定義し、ポリシーに違反するメッセージの処理方法を指示します。

ポリシー違反に対応するアクション:

• p=none(アクションなし)

• p=quarantine(メールを受け入れるが、スパムフォルダに送信する)、または

• p=reject(任意のメールフォルダへの配信をブロック)

DMARCの包括的な紹介については、NextTech Consultantsによるこのビデオをご覧ください。

D) Brand Indicators for Message Identification(BIMI)

これは最新のメール認証プロトコルであり、メール受信者が受信トレイで見ることができるユニークなロゴを表示することを含みます。

このユニークなロゴは、メールがあなたからのものであり、詐欺師ではないことを確認します。詐欺師があなたになりすまそうと成功したとしても、詐欺師のメッセージにはメールクライアントに提供したユニークなロゴは表示されないため、追加のメールセキュリティを提供します。

上記の4つのプロトコルは、利用可能な最高のメールセキュリティソリューションの一部を表しており、悪意のある行為者があなたの組織になりすましてメール詐欺を永続するのを防ぐのに長い道のりを行きます。

Global Cyber AllianceからこのYouTubeビデオを見ると、それらの仕組みについてより良い理解を得ることができます。

14. サードパーティアプリケーションを監視する

多くの人々は、サードパーティアプリケーションをメールサービスプロバイダーと統合しています。これは理解できます。しかし、これらのサードパーティアプリケーションは、開発者の過ちや怠慢によるセキュリティリスクを導入する可能性があります。

たとえば、Log4Jは開発者がオンラインサービスを監視するために使用する一般的なツールですが、このツールは侵害され、世界中の数千のアプリにセキュリティフローを導入しました。

サードパーティアプリケーションを定期的に監視して、セキュリティの問題が発生していないことを確認してください。確認可能なソースからダウンロードされていることを確認し、ニュースレポートとレビューをチェックして、アプリに既知のセキュリティリスクがあるかどうかを確認してください。

自分で脅威を発見した場合は、開発者に連絡してバグを修正するようにしてください(そうすることで報酬を提供する場合もあります)。

15. Mailer To Goを使用する

選択するメールサービスプロバイダー(ESP)は、メールセキュリティを保つ上で主要な役割を果たします。もしかしたら最大の役割です。

たとえば、ESPがスパムフィルタリングに優れていない場合、その領域でのすべての個人的な努力は無駄かもしれません。

Mailer To Goは、堅牢なメールセキュリティを提供するプラットフォームの良い例です。当社のすべてのWebサイトとマイクロサービスは、Secure Sockets Layer(SSL)および Transport Layer Security(TLS)暗号化を使用しています。

Mailer To Goを通じて送信されるすべてのデータは転送中に暗号化され、当社の物理インフラストラクチャは世界最大で最も信頼できるクラウドストレージプロバイダーであるAmazon Web Services(AWS)でホストされています。

Mailer To Goの有益なブログを探索して、メール配信可能性を向上させ、トランザクションメールとバルクメールの違いを発見し、サブスクリプションボミングを防ぎ、その他多くの情報を確認してください。

16. 定期的にファイルバックアップを実行する

上記で述べたメールセキュリティのベストプラクティスをすべて組み込んだとしても、システムは100%フェイルセーフではありません。ネットワークセキュリティが侵害される可能性は常に存在します。たとえ非常に小さい場合でもそうです。

このため、従うべき最も重要なメールセキュリティプロトコルの1つは、機密ファイルのすべての定期的なバックアップです。

メール経由で送信されるそのようなファイルは、ダウンロードして安全なデジタル場所(クラウドストレージまたはオンサイトサーバー)に保存する必要があります。これにより、メールが侵害されてメールマーケティングファイルへのアクセスが失われた場合、バックアップ場所から簡単に取得できます。

そうでない場合、機密情報を永久に失う可能性があり、ビジネスに危険が生じる可能性があります。

結論

メールセキュリティのベストプラクティスを遵守しないと、世界中で年間数十億ドルの損失を引き起こすメール詐欺の扉が開きます。

これらの計画には、ビジネスメール侵害、スピアフィッシングメール、個人識別情報を盗むためのマルウェア、ユーザーのアイデンティティ盗難、その他多くのものの終わりのないバリエーションがあります。

幸いなことに、これらの脅威から落ちる可能性を大幅に減らすために取ることができる多くの手段があります。

Mailer To Goなどの安全なサービスを採用しながら、この投稿で説明されているメールセキュリティのヒントをすべて実行することで、メールメッセージを通じて侵害される可能性は大幅に低くなります。

---

よくある質問

メールセキュリティのベストプラクティスとは何ですか?

メールセキュリティのベストプラクティスは、メールアカウントとその中の情報をサイバー脅威から保護するために設計されたガイドラインと手順です。これらの慣行には、強力でユニークなパスワードの使用、二段階認証の有効化、メール添付ファイルとリンクに注意を払う、メールソフトウェアを定期的に更新してパッチを適用することが含まれます。

メールセキュリティのベストプラクティスが重要なのはなぜですか?

メールセキュリティのベストプラクティスが重要なのは、メールはサイバー犯罪者の一般的な標的だからです。これらの慣行に従うことで、フィッシング、マルウェア、データ侵害などの脅威からメールアカウントを保護できます。これは特に、メール内で機密情報を処理する場合に重要です。

メールセキュリティを改善するにはどうすればよいですか?

いくつかのキープラクティスに従うことで、メールセキュリティを向上させることができます:

• 各メールアカウントで強力でユニークなパスワードを使用してください。

• 二段階認証を有効にします。これはパスワードに加えて2番目の確認方法が必要です。

• メール添付ファイルとリンクに注意してください。これらはマルウェアを拡散するために使用されることがあります。

• 定期的にメールソフトウェアを更新してパッチを適用して、既知の脆弱性から保護してください。

• Mailer To Goなどのセキュアなメールサービスプロバイダーを使用してください。このプロバイダーは組み込みのセキュリティ機能を提供しています。

メールセキュリティにおける二段階認証とは何ですか?

メールセキュリティでの二段階認証(2FA)は、2つの個別の識別形式が必要な識別方法です。これは通常、パスワードなどの認識しているもの(携帯電話に送信されたコードなどの所有しているもの)が含まれます。

2FAはメールアカウントにセキュリティの追加レイヤーを追加し、不正なユーザーがアクセスしにくくします。

疑わしいメールを受信した場合はどうすればよいですか?

疑わしいメールを受け取った場合は、リンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。メールをメールサービスプロバイダーに報告し、削除してください。メールが取引先企業から来ているように見える場合は、その会社に直接連絡してください(メールではなく、公式ウェブサイトの連絡先情報を使用)。メールの真正性を確認してください。