MailData

ビジネスにおけるメールセキュリティコンプライアンスモデルの構築【詳細ガイド】

ビジネスにおけるメールセキュリティコンプライアンスモデルの構築【詳細ガイド】

2022年9月21日
著者: Ahona Rudra
翻訳: 高峯 涼夏

この記事はPowerDMARCのブログ記事 Building an Email Security Compliance Model for your Business [Detailed Guide]の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。


どんなに実績豊富で備えが万全な企業でも、メールの漏洩によって不意を突かれることがあります。
そのため、効果的なメールセキュリティコンプライアンスモデルを構築することが不可欠です。

メールセキュリティコンプライアンスとは?

メールセキュリティコンプライアンスとは、電子コミュニケーションの機密性を確保するためのポリシーと、コントロールを監視、維持、実施するプロセスを指します。
これは定期的なメール監査や継続的な監視活動を通じて行うことができます。

すべての組織は、メールセキュリティコンプライアンスに関連するポリシー、手順、活動の概要を示すセキュリティコンプライアンスモデル(SCM)を文書化しておく必要があります。
これにより、組織内でコミュニケーション違反が発生しないようにし、セキュリティ対策が不十分な企業を警戒するビジネスパートナーを確保することができます。

企業向けメールセキュリティコンプライアンス規制の理解

メールセキュリティコンプライアンス法は、メールに保存された情報のセキュリティとプライバシーを確保するための法的枠組みとして機能します。
これらの法律は、さまざまな国の政府によって施行されており、あらゆる形や規模の企業にとって懸念が高まっています。

以下では、メール通信を扱う企業に課される要件を簡単に説明するとともに、企業のための適切なメールセキュリティコンプライアンスを構築する際に準拠すべき様々な法的枠組みの一般的な概要を説明します。

HIPAA/SOC 2/FedRAMP/PCI DSS

医療保険の相互運用性と説明責任に関する法律(HIPAA)、連邦情報システムのセキュリティ基準第2版(SOC 2)、FedRAMP、PCI DSSはすべて、電子的に保護された医療情報(ePHI)のプライバシーとセキュリティを守るよう組織に要求する規制です。
ePHIは、対象事業体または業務提携先との間で電子的に送信されるあらゆる情報です。

これらの法律は、HIPAAとSOC2が定める責任を遂行するために必要なその他の保護措置と同様に、対象事業者が処理するデータの性質に適した方針、手順、および技術的コントロールを実施することを義務付けています。

これらの規制は、他の事業体に代わってPHIを電子形式で送受信するすべての事業体に適用されるほか、対象事業者からPHIを受け取るすべてのビジネス・アソシエイトおよびその他の事業者にも適用されます。

この規則はどのビジネスに適用される?

この規則は、PHI(保護されるべき医療情報)を電子的に収集、保管、または伝送するあらゆるビジネスに適用されます。
また、対象となる電子健康記録(eHealth Record)またはその他の対象となる医療サービスの電子的な提供に関与するあらゆるビジネスにも適用されます。
これらの規制は、患者のプライバシーと第三者による不正アクセスからの患者データの両方を保護するために設計されています。

GDPR

一般データ保護規則(GDPR)は、欧州連合が実施する規則です。
EU市民の個人情報を保護するためのもので、「ここ一世代で最も重要なプライバシー法」とも呼ばれています。

GDPRは、事業者に対して、顧客データの利用方法について透明性を確保するとともに、そのデータの扱い方について明確な方針を示すことを義務付けています。
また、企業が顧客についてどのような情報を収集・保存しているかを開示し、個人がその情報にアクセスするための簡単な方法を提供することも求めています。
さらに、GDPRは、収集した目的以外に事業者が個人データを使用することを禁じています。

この規則はどのビジネスに適用される?

EU域内でデータを収集するすべての企業に適用され、企業は個人情報を収集する対象者から明確な同意を得る必要があります。
GDPRには、違反した場合の罰金も定められているため、個人情報の収集を開始する前に、きちんとした手順を踏む必要があります。

CAN-SPAM

CAN-SPAMは、2003年に連邦議会で可決された法律で、商業用のメールには、送信者の住所や電話番号など、送信元に関する一定の情報を含めることが義務付けられています。
また、商業メールには返信用アドレスの記載を義務付けており、このアドレスは送信者のドメイン内のアドレスでなければなりません。

CAN-SPAM法はその後更新され、商用メールに関するより厳しい要件が盛り込まれました。
新ルールでは、メール送信者は明確かつ正確に名乗り、正規の返信用住所を提供し、各メールの末尾に購読中止のリンクを記載することが義務付けられています。

この規則はどのビジネスに適用される?

CAN-SPAM法は、一定の要件を満たす限り、企業から消費者に送られるもの、またはその逆も含め、すべての商業メッセージに適用されます。

この規制は、スパムメールから企業を守ることを目的としています。
スパムメールとは、リンクをクリックさせたり添付ファイルを開かせたりする目的で誰かがメッセージを送信することを指します。
また、この法律は、何かを売り込もうと企業から送られてくるスパムメールから消費者を保護するものでもあります。

メールセキュリティのコンプライアンスモデルを構築する方法

メールセキュリティコンプライアンスモデルは、組織のサーバとメールアプリケーションが、適用される法律、業界全体の基準、指令に準拠していることを確認するために設計されています。
このモデルは、組織が、潜在的なセキュリティインシデントの検出、防止、調査、是正を通じて、顧客データの収集と保護を行うためのポリシーと手順を確立するために役立ちます。

以下では、メールセキュリティに役立つモデルの構築方法と、コンプライアンスを超えるためのヒントや先進的な技術について説明します。

1.安全なメールゲートウェイの活用

メールセキュリティゲートウェイは、企業のメールコミュニケーションを保護するための重要な防衛線です。
意図した受信者だけがメールを受け取れるようにし、スパムやフィッシングの試みもブロックすることができます。
ゲートウェイを利用することで、組織とその顧客との間の情報の流れを管理することができます。

また、暗号化などの機能を活用することもできます。
暗号化は、メールで送信された機密情報を、あるコンピュータから転送される前に暗号化し、別のコンピュータに向かう途中で復号化することで保護することができる機能です。
これにより、異なるコンピュータやユーザ間で送信されたメールや添付ファイルの内容をサイバー犯罪者が読み取ることを防止することができます。

また、メールゲートウェイは、スパムフィルタリングやアーカイブなどの機能も備えており、これらはすべて、社内の組織化やコンプライアンスを維持するために不可欠な機能です。

2.配信後の保護機能

メールセキュリティのコンプライアンスモデルを構築するには、いくつかの方法があります。
最も一般的な方法は、このモデルを使って潜在的なリスクを特定し、そのリスクに対して配信後の保護(Post-Delivery Protection - PDP)を適用する方法です。

配信後の保護とは、メールが意図した受信者に配信されたことを確認するプロセスです。
これには、受信者がメールクライアントソフトウェアにログインしてメッセージを確認できること、また、メールがスパムフィルタに振り分けられていないことを確認することなどが含まれます。

配信後の保護は、メールを保存する安全なネットワークやサーバを用意し、目的の受信者に配信する前にメールを暗号化することで実現できます。
なお、これらのファイルへのアクセスは、権限のある人だけが行えるようにし、その人だけが復号化できるようにすることが重要です。

3.隔離技術の導入

メールセキュリティのコンプライアンスモデルは、ユーザのすべてのエンドポイントとそのWebトラフィックを分離することによって構築されます。
分離技術は、ユーザのすべてのWebトラフィックをクラウドベースのセキュアブラウザに分離することで機能します。
つまり、アイソレーション・テクノロジーで送信されたメールは、サーバ側で暗号化され、クライアント側では「隔離」されたステーションで復号化されます。

そのため、外部のコンピュータがメールにアクセスすることはできず、悪意のあるプログラムやリンクをダウンロードすることもできません。
こうすれば、たとえ誰かがマルウェアを含むメールのリンクをクリックしたとしても、マルウェアがコンピュータやネットワークに感染することはありません(悪意のあるリンクが読み取り専用で開かれるため)。
分離技術により、企業はホストベースの暗号化(HBE)を使用した安全なメールソリューションを導入することで、PCI DSSやHIPAAなどの規制を容易に遵守することができます。

4.効果的なスパムフィルタの構築

メールのフィルタリングでは、受信システムに配信される前に、メールメッセージをルールのリストに照らしてチェックします。
ルールは、ユーザが設定することも、特定の条件に基づいて自動的に設定することもできます。

フィルタリングは通常、特定の送信元から送られたメッセージが悪意のあるものでないこと、または予期せぬ内容を含んでいないことを確認するために使用されます。
効果的なスパムフィルタを作成する最良の方法は、スパム発信者が、受信者の受信箱に届く前にメッセージを検出することを困難にする技術をどのように使っているかを分析することです。
この分析が、スパムを識別し、受信箱に届くのを防ぐフィルタの開発に役立つはずです。

幸いなことに、DMARCのように、企業がメッセージごとに特定のルールを定義し、そのルールに合致するものだけがフィルタによって処理されるようにすることで、このプロセスの大部分を自動化するソリューションがいくつか利用可能になっています。

5.メール認証プロトコルの導入

DMARC規格は、ユーザが期待するメッセージを確実に受け取り、機密情報が意図しない人の手に渡ることを防ぐための重要なステップです。
DMARCは、メール認証プロトコルの一つで、ドメイン所有者が特定の条件を満たさないメッセージを拒否できるようにするものです。
これは、スパムやフィッシングを防ぐ方法として利用できますが、顧客を欺くようなメールが送られるのを防ぐのにも有効です。

ビジネスにおけるメールセキュリティのコンプライアンスモデルを構築する場合、ビジネス名やドメインを偽って誠実な顧客を詐取しようとする外部からの悪意あるメールによってブランドが傷つけられるのを防ぐために、DMARCが必要となります。
DMARCに対応したメールメッセージを持つビジネスの顧客は、そのビジネスから正当な通信を受け取っていることに安心することができます。

6.メールセキュリティと包括的な戦略との整合性

メールセキュリティのコンプライアンスプログラムの包括的な戦略は、組織が関連するすべての政府規制を遵守することを保証することです。
これには、送信者ID、オプトイン、オプトアウト、リクエスト処理時間などに関連する規制が含まれます。
これを達成するためには、これらの分野にそれぞれ個別に対応する計画を立て、それらを相互に支援するような形で統合する必要があります。

また、地域ごとに異なるポリシーに基づき、メール戦略を差別化することも検討すべきです。
例えば、米国では迷惑メールに関するさまざまな規制があり、インドや中国など迷惑メール規制が緩やかな国とは異なる対策が必要となります。
企業のドメインやシステムを保護するために、PowerDMARCの企業向けメールセキュリティチェックリストをご覧ください。

メールセキュリティのコンプライアンスモデルを構築するその他のステップ

メールセキュリティコンプライアンスの責任者は?

IT管理者

IT管理者は、組織全体のメールセキュリティコンプライアンスの責任者です。
IT管理者は、会社のセキュリティ・ポリシーが守られていること、そしてすべての従業員がそのポリシーについてトレーニングを受けていることを確認する人たちです。

システム管理者

システム管理者は、メールサーバのインストールと設定、およびメールシステムを正常に実行するために必要となるその他のITインフラストラクチャに責任を負います。
システム管理者は、どのような種類のデータが保存されているか、誰がそれにアクセスできるか、そしてどのように使用されるかを理解する必要があります。

コンプライアンス担当者

会社がメールセキュリティのコンプライアンスに関するすべての法律を遵守していることを確認する責任があります。

従業員

従業員は、会社のメールセキュリティ方針と手順、および上司やマネージャからの追加の指示や指導に従う責任があります。

サードパーティサービスプロバイダ

メールのセキュリティをサードパーティに委託することで、時間とコストの両方を節約することができます。
例えば、サードパーティのDMARCマネージドサービスプロバイダは、数分以内にプロトコルを実装し、DMARCレポートの管理と監視、エラーのトラブルシューティング、専門家の指導を行い、簡単にコンプライアンスを獲得できるようにサポートします。

メールセキュリティコンプライアンスの実現に向けたPowerDMARCの取り組みとは?

PowerDMARCは、世界中の企業にメールセキュリティソリューションを提供し、フィッシングやスプーフィングに対してより安全なビジネスメーリングシステムを実現します。

私たちは、ドメイン所有者がDMARCに準拠したメールインフラに移行する際に、配信性を損なうことなく、強制的に(p=reject)ポリシーを適用できるよう支援します。
PowerDMARCのソリューションは、無料トライアル期間(カード情報不要)が設けられており、長期的な決断を下す前に試運転することができます。
今すぐDMARCトライアルをご利用ください。