2021年1月中旬、通信電話大手「ソフトバンク」の5Gなどに関する機密情報を不正に持ち出したとして、警視庁が同社の元社員を逮捕。不正な情報持ち出しの手段は、メールの添付ファイルとして自らに送信するという方法でした。

株式会社ケイティケイソリューションズは、これまで15年以上に渡りメールのセキュリティに向き合ってきた「メールの専門家集団」。同社の代表取締役 河合氏も「電子メールを装備しないとビジネスにならないのに、メールに起因する事故は発生し続けている」と言います。

本記事では、企業のメール環境を守るクラウドサービス、メール漏えい防止フィルター「@Securemail Plus Filter」と標的型攻撃メール保護サービス「@Securemail Plus TAP」について、代表取締役 河合氏、営業部 桐山氏、 廣瀨氏、阿蘇氏にお話を伺いました。

メールは誰でも使っているからこそ必ず守るべき

サイバーセキュリティ.com
ケイティケイソリューションズがメールのセキュリティに着目しているのは何故でしょうか？

株式会社ケイティケイソリューションズ 代表取締役 河合氏

河合氏
メールに注力したのはここ数年です。ビジネスツールとして誰でも使っているメールですが、大前提として、このメールの環境が整備されていないとビジネスになりません。コロナ禍にいることとは無関係に、メールはコミュニケーションの必須ツールです。安全であることが担保されている必要があるにも関わらず、メールに起因する事故は日々起きています。

メールセキュリティのノウハウがない中小企業やIT専門家がいない企業であっても、安全にメールを送受信できる環境を整えることが重要だと考えています。

桐山氏
具体的には、メールの宛先間違い・添付ファイルの取り違え・迷惑メールやなりすましメール・メール内の不正なURLリンクなどが、メールに起因する情報漏えい事故の原因です。

このようなメールを発端としたセキュリティ事故は、15年近く携わっていますが、ますます巧妙化され増加している傾向です。ITリテラシーの有無に関係なく、誰でも安心してメールを送受信ができるサービスを提供したいと考えています。

自社のポリシーに合わせて処理を細かく設定できる @Securemail Plus Filter

サイバーセキュリティ.com
「@Securemail Plus Filter」では、クラウド上でメールを一時保留して、送信前に再確認できるのですね。

画像引用：@Securemail Plus Filterの特徴

桐山氏
はい。万が一、宛先が誤っていた場合は送信メールを取り消し、すなわち送信の取りやめができます。

誤送信に気が付くタイミングは、送信ボタンを押した直後が最も多いです。そのため、@Securemail Plus Filterでは送信ボタンを押した後に、ポップアップ画面により送付先を確認できることで、誤送信に気付く事が可能です。

また、送信を保留して、上長など第三者の確認を経た上で送信するという2重のチェックも可能です。

サイバーセキュリティ.com
ユーザー（送信者）ごとに、メール送信を保留するかを決定できるのでしょうか？そそっかしいので保留して再確認したいという人と、生産性重視で保留したくない人がいそうです。

桐山氏
はい。送信保留は柔軟に設定できるようになっており、例えば5分後に送信するとか、自分で確認した後に再度送信ボタンを押したら送信するとか、ユーザーごとでも設定できるようになっています。

サイバーセキュリティ.com
生産性との兼ね合いで、送信保留後の確認をどれだけ厳しくやるのかで悩むそうです。

株式会社ケイティケイソリューションズ 営業部 桐山氏

桐山氏
基本的に、保留したメールに対する処理は、各企業のセキュリティポリシーに従って管理者が決めることになります。だからこそ、「@Securemail Plus Filter」では、メールの保留時間を1分から72時間まで柔軟に設定できるようになっています。5分程度に設定している企業様が多い気がします。

また、メール保留後の送信方法も、送信者自身で確認して、手動でもう一度送信ボタンを押して送信するのか、保留時間経過後に自動で送信するかを選べる他、保留時間が経過したらメールを破棄するという処理も選択できます。

送信保留したメールにさらに保留をかけることもでき、実際にこの機能を利用して2段階に保留をかけているお客様もいます。

どの設定にするかは企業のセキュリティポリシーによるため、「@Securemail Plus Filter」ではこのように細かい選択肢を用意しています。各企業で、生産性とセキュリティ強度の兼ね合いで、落とし所を探って設定を決めていただいています。

サイバーセキュリティ.com
パスワード付きファイルとは別にパスワードを送る、いわゆるPPAPについてはどのようにお考えでしょうか。

桐山氏
「@Securemail Plus Filter」は、ファイルをZIP暗号化し、パスワードを別送するZIP暗号化機能も備えております。

ただ、安全に添付ファイルを送信するためには、添付ファイルをメール本文から切り離してダウンロードURLを相手先へ送信する、「Webダウンロード化」の機能を活用していただきたいですね。

サイバーセキュリティ.com
Webダウンロード化した場合、メールの受信者から見てどのようにURLに変換されるのですか？

桐山氏
受信したメールの文頭か末尾のどちらかに、「ダウンロードURL形式でお送りしました」という文言と、ダウンロードURLが掲載されます。URLをクリックすると「@Securemail Plus Filter」のダウンロード画面に遷移し、安全にファイルを受け取れます。

サイバーセキュリティ.com
ダウンロードURLから受信者がファイルをダウンロードしたら、Web管理画面から確認できるとのことですが、送信した本人も確認できるのですか？

桐山氏
はい。送信した本人も相手がダウンロードしたかを管理画面から確認することができます。ダウンロードしたかのみではなく、何回ダウンロードしたかも分かります。誤ってファイルを送信したことに気付いた場合、相手がダウンロードする前にファイルを消すこともできます。

サイバーセキュリティ.com
Webダウンロード化により安全性が高まるだけでなく、相手の受信状況が分かるので業務効率もアップしますね。

桐山氏
管理画面では、どのパスワードで送ったかなど、いつ・誰に・どういった処理でメールを送信したのかという処理内容がすべて確認できます。送信者本人だけではなく、同じ内容をIT管理者も確認できるため、簡易的な送信メールの監査にも活用できますね。

情報漏洩を防げ！まず対処すべきはメールの誤送信問題

サイバーセキュリティ.com
「@Securemail Plus Filter」は、メールの誤送信や故意のメール送信による情報漏洩を未然に防ぐことを重視したサービスとのことですね。

河合氏
PPAPについては、あたかも添付ファイルが最も重要であると問題がすり替えられているように感じています。

そもそも、メールの本文内にいろいろと重要事項も書かれていることも多く、添付ファイルだけを守っても意味がありません。それよりも、宛先間違いによるメールアドレスや内容が漏えいしてしまうこと、また社内の人が故意に機密情報をメール送信してしまうことの方が大問題です。

河合氏
よって、「@Securemail Plus Filter」は、当初、強制BCC化やメール送信保留をメインとしたサービスとして開発しました。

サイバーセキュリティ.com
“TO”や”CC”（Carbon Copy）に入っている宛先を自動的にBCC（Blind Carbon Copy）化してメールアドレスを隠して漏えいを防ぐ、「強制BCC化」では、どのようにBCC化するアドレスを決めているのですか？

株式会社ケイティケイソリューションズ 営業部 廣瀬氏

廣瀬氏
強制BCC化は、宛先に入っているメールアドレスの数を指定してBCC化するアドレスを決定できます。例えば、「宛先に10件以上のメールアドレスが入っている場合にBCC化する」という具合です。

また、強制BBC化したことを、メール送信者に通知するかも設定できます。自動的に強制BCC化しながらも、処理を通知してくれるのはありがたいとおっしゃるお客様も多いです。

サイバーセキュリティ.com
私用メールアドレスへの転送をブロックする機能は、冒頭のソフトバンクの情報漏洩事例などには効果的ですね。ブロックするアドレスの設定はどのように行うのですか？

廣瀬氏
転送をブロックするアドレスは、送り先がドメインやメールアドレス単位などでも制御できるほか、添付ファイルの有無によっても制御できます。

例えば、複数の宛先に送信しようとしたら送信をブロックするという設定も可能です。また、「*」でワイルドカードが使えるので、「*@yahoo.co.jp」や「*@gmail.com」が含まれたアドレスへの送信を、一律にブロックするということもできます。

桐山氏
特に、退職する直前の社員などは内部犯行を起こしやすい傾向にあります。「@Securemail Plus Filter」で、「添付ファイル付きのメールを自分宛に転送したらブロック」という設定をしておけば、そのような情報持ち出しを防げます。

自社に必要な機能だけを最低限のコストで追加可 @Securemail Plus TAP

「楽天です」「宅配便が届きました」…そんな、一見では不正なメールだと判別できない「なりすましメール」から守るサービスが「@Securemail Plus TAP」です。

画像引用：@Securemail Plus TAPの特徴

サイバーセキュリティ.com
多くのセキュリティ対策サービスの場合、ウイルスメール除去・迷惑メール隔離から標的型攻撃メール保護まで、全部含んでいますといったサービスが多いと感じますが、御社サービスでは個別に契約できるのですね。

桐山氏
はい。例えば、ウイルスメール除去サービスは他社で利用しているので、そのまま継続利用を希望するお客様もいらっしゃいます。

「@Securemail Plus TAP」は、全部入りというサービスではなく、すでに持っている機能にアラカルトで追加できるサービスです。自社に必要なサービスだけを、最低限のコストで追加していただけるため、無駄な投資や重複投資を防げます。

サイバーセキュリティ.com
「@Securemail Plus TAP」には標的型攻撃メール保護だけでなく、迷惑メール隔離機能も含んでいるのですね。

桐山氏
はい。まず、迷惑メール隔離でスパムメールをクラウド上で検疫、隔離します。その後、クラウドサンドボックスにより疑わしい「なりすましメール」などを動的に解析してクラウド上で隔離します。また、迷惑メール隔離の設定により、ZIP拡張子(.zip)の添付ファイルをクラウド上で取り除くことも可能です。

画像引用：@Securemail Plus TAPの機能

サイバーセキュリティ.com
外部のメールサービスやセキュリティ製品を利用している場合、それらサービスにもすでに標的型攻撃メールへ対応する機能が付いていることがあります。

桐山氏
例えば、UTMの場合、不正メールを処理すればするほど動作が重くなる傾向があり、UTMの機能を停止させている企業もあります。このような場合、ゲートウェイ型のサービスである「@Securemail Plus TAP」を追加して、軽快な動作を維持したまま迷惑メールと標的型攻撃メールの対処を行うことも可能です。

後は、Microsoft 365を導入している企業様でも、なりすましメール対策を強化する目的で「@Securemail Plus TAP」を追加導入するケースもあります。

いずれのお客様も、トライアルで「@Securemail Plus TAP」の効果を実感した上で、導入いただいています。

電話したら必ず担当者が対応してくれる！サポートに強み

本サービスでは利用開始するときに、導入企業で次の作業を行います。

サイバーセキュリティ.com
「@Securemail Plus」の設定はどの企業でもスムーズにできそうですが、設定すら変更するのが難しいような企業に対し、サポートはありますか？

桐山氏
はい。「@Securemail Plus Filter」・「@Securemail Plus TAP」共に、ケイティケイソリューションズのサーバーを経由するように設定を書き換えていただくだけで利用開始できるサービスです。

設定に関する情報は、サービス利用開始時にお伝えしますが、合わせて設定マニュアルも提供しています。さらに、トライアルを開始するときも、お客様ごとに営業担当者を選任し、きめ細やかに案内やサポート・説明をします。

サイバーセキュリティ.com
サポートには相当力を入れているようですね。

株式会社ケイティケイソリューションズ 営業部 阿蘇氏

桐山氏
ケイティケイソリューションズのサービスの特長は、「何かあれば必ずサポートに電話がつながる」という点です。

「@Securemail Plus」の契約企業は、17時30まで（土日祝日・指定休業日を除く）のサポートセンターの営業時間内であれば、いつでも電話でサポートが受けられます。

電話サポートで良くあるのが、「要件により番号を押して…」と、自動転送に繋がるものですが、ケイティケイソリューションズのサポートの場合、電話をかけたら必ず担当者に繋がります。「自動転送は絶対に使わない」これは会社の方針でもあり、徹底しています。

サイバーセキュリティ.com
メールでのサポートのみというサービスも多い中、電話で、しかも必ずサポート担当者と話せるというのは心強いですね。

桐山氏
はい。ケイティケイソリューションズのサービスでは、メールだけのサポートはしていません。営業時間外に電話をいただいた場合でも、翌営業日に営業担当者から折り返しご連絡しています。

また、販売代理店へのサポートも積極的に行っており、「@Securemail Plus」は、IT専任の担当者がいない企業様でも非常に取り扱いしやすいサービスとなります。

サイバーセキュリティ.com
無料トライアルで1ヶ月間程度の効果検証が可能とのことですね。トライアルの様子を教えてください。

桐山氏
例えば、営業系の会社・部署では見積書や提案書を数多く提出するなど、重要な情報を頻繁にメール送信する機会があるため、誤送信メールの事故が増える傾向があります。また、4月など新入社員が入ってくるタイミングでも、メール操作が不慣れのため、誤送信事故が増える傾向があります。

「@Securemail Plus TAP」の方でも、トライアルにより、これまで頻繁に受信していたなりすましメールが届かなくなったという事実を通して、効果を実感していただいています。

また、お客様の環境でトライアルをする以外にも、弊社から提供するデモドメインで検証していただくこともできます。これまで、トライアルで効果を実感していただいた企業様は、ほぼ100％「@Securemail Plus」を導入されていますね。

月額制で10アカウントから利用できる

サイバーセキュリティ.com
「@Securemail Plus Filter」および「@Securemail Plus TAP」はどのような企業におすすめですか？

桐山氏
大手企業様と同レベルのセキュリティを中小企業様に提供できるのが「@Securemail Plus」の強みであるため、ユーザー規模は問いません。10アカウントから契約可能で、費用も月額支払いなど、柔軟に利用数の設定が可能です。大企業でも、営業部門などメールを送信する機会の多い、特定の部門だけで導入するといった方法も可能です。

また、全社で導入する前にまずは情報システム部門だけで導入利用することも可能です。昨今では、テレワークの急増により仕事が一人で完結する場面が増えたため、メール送信事故も比例して増加する傾向が見られます。「@Securemail Plus」はクラウドサービスなので、在宅勤務とも親和性が高いサービスです。