Global Reachグローバル展開する企業を支援

MENU

コラム|Column

【判っているようで解らない、メールの話(全4回)】

第1回:Microsoft 365だけでメールは安全なのか?

バックナンバー

2021/02/03

Microsoft 365やGoogle Work Placeのようなクラウド型のグループウェアの利用が広がっています。
少し古いデータですが、大手ITサイトのキーマンズネットの2018年の調査によると、Microsoft 365の利用率が圧倒的に高く、当社でもMicrosoft 365の導入ソリューションを提供しており、多数のお客様のオンプレミスからの移行をお手伝いしております。

(参考)キーマンズネット:「Office 365」と「G Suite」の利用状況(2019)

Microsoft 365自体は、企業に必要な多彩な機能がオールインワンになった非常に便利なサービスであると言えますが、オンプレミス環境と比較した場合に、ネットワークやセキュリティ面において課題があることは否めません。特にセキュリティ面に関しては、昨今のセキュリティ脅威の進化状況から言うと、機能が不足していると考えており、導入した後に課題に直面したというケースもよく聞きます。そこで、今回はMicrosoft 365を利用する上での課題について、解説します。

1.障害のリスク

マイクロソフト社では、HP上でMicrosoft365の四半期ごとの稼働率を公開しています。

(参考)マイクロソフト:全世界での最近の稼働時間

2020年のMicrosoft 365の最新の稼働率は「99.97%」と高い数値を示しています。しかし、上記の数字はあくまでMicrosoft 365のサービス全般のものであり、必ずしもメール機能やお使いのリージョンでこの稼働率が保証されているというわけではありません。障害情報については、twitterアカウント(@MSFT365Status) に随時ポストされていますが、復旧や障害途中報告のポストなども含めると、2020年はかなりのポスト数に上ります。

さらに、海外のサービスであるがゆえに仕方がない面もありますが、最新の障害情報は英語でのみで公開されており、お使いのリージョンのサポートに連絡しても、正確な情報が得られないという事はよくあるようです。この点については、お客様からよくいただく相談内容の一つです。つまり、万が一障害が起きた際には「ただ復旧を待つしかない」という状況になってしまうという事です。これは、IT管理者の方にとっては、かなりのストレスになるでしょう。

もちろん、可用性が100%で全く障害が起きないサービスというものは世の中には存在しませんが、特に昨今のリモートワーク環境下においてはオフィスにいる場合と違い、業務をメールなどに頼る比率が高くなり、「メールが使えない=全く仕事ができない」という事態に直結しやすくなります。

数字上で可用性が高いサービスを選ぶのも大事ですが、障害はサービスには付き物なので、起きる可能性まで考慮して、サポート面やあらかじめ取る事のできる対策を準備しておくことが肝要です。

2. 脅威メールに対するフィルタ機能が不十分

Microsoft365では独自で各種メールの脅威への対策テクノロジを開発し、提供しています。

(参考)マイクロソフト:スパム対策保護
(参考)マイクロソフト:スプーフィング対策保護

SPF, DKIMなどの送信ドメイン認証にも対応し、数年前と比較して機能は大幅に強化されており、Microsoft 365をご利用の方は、メールのセキュリティ機能は十分だと感じているお客様も多いのではないかと思います。

しかしご存じの通り、セキュリティ脅威はおどろくべきスピードで進化しており、特にメールに関してはスピアフィッシング攻撃、スプーフィング攻撃、BEC(ビジネスメール詐欺)など一段と脅威が高度化・巧妙化しています。大手のセキュリティベンダーであってもこれらの脅威を完全に防ぐことは難しいと言われており、そのような状況で、セキュリティを専門としていない企業のエンジンだけにメール脅威への対策を頼るのは、対策が十分ではありませんし、非常に危険であると言えます。

2020年は「Emotet」の脅威が再燃し、IPAがサイト上で注意喚起やその手口を詳しく説明するなど、被害が拡大しています。

(参考)独立行政法人情報処理推進機構セキュリティセンター

特に最近では、比較的対策が手薄な海外拠点が狙われ、海外拠点を経由して日本本社のネットワークに侵入されるというインシデントも起きており、より一層高い信頼性を誇る商用ベンダーのエンジンを複数使い、多段でセキュリティ脅威を防ぐことが重要です。

(参考)日経新聞:「社内は安全」死角を突く 対策はゼロトラスト

Microsoft 365は上記のようにセキュリティ面での不安はありつつも、お客様にはメリットの多いサービスですので、当社では、既存でお使いのMicrosoft 365にセキュリティ機能をアドオンできるサービスをお勧めしています。

IIJでは統合型メールセキュリティサービス「IIJセキュアMXサービス」をご提供しており、Microsoft 365に追加する形で利用することができ、簡単な設定変更で、様々なセキュリティ機能を利用することができます。例えば、上であげた2つの課題も解決することができます。

Microsoft 365の障害時にもメール送受信が可能

IIJセキュアMXサービスの「スぺアメールオプション」を契約いただければ、障害やメンテナンスなどでMicrosoft 365が利用できない場合に、ご利用中のメールアドレスを変更することなく、メール送受信の継続が可能です。Webメール機能を利用するため、メールクライアントの設定を変更する必要もありません。

6社のエンジンで脅威を排除

異なるベンダー合計6社のエンジンを採用し、複合的に脅威メールを判定、多層的な防御を実現しています。セキュリティ脅威のトレンドや状況の変化に応じてエンジンは見直し、入れ替えを行いますので、常に最新のセキュリティ脅威に対応できます。さらに、添付ファイルフィルタ、キーワードフィルタ、送信ドメイン認証フィルタなど、10種類以上のフィルタを基本機能として提供。お客様のニーズに合わせて柔軟にカスタマイズすることで、より確実に脅威を排除することができます。

(参考)第2回:迷惑メール判定(アンチスパム)の裏側

本サービスは、管理者画面やユーザの操作画面が英語でも表示可能なため、すでに海外でも多数の提供実績があります。日本本社から海外拠点のセキュリティ対策を行う一歩として、まずはメール脅威の対策から始めてみてはいかがでしょうか?
IIJセキュアMXサービスの詳細は、以下の動画をご覧ください。

執筆者:久保田 範夫

株式会社インターネットイニシアティブ
ネットワーククラウド本部 アプリケーションサービス部 担当部長

1997年IIJ入社。IIJの米国法人IIJ Americaに出向し、ネットワーク、セキュリティサービスの企画、構築、運用を担当。帰国後は大規模エンタープライズ向けにネットワークインテグレーションを経て、メールサービス部門にてサービスの企画、設計、運用に従事。

10年以上のメールセキュリティサービスの企画、開発、運用、戦略立案の経験を活かし、メールセキュリティのエバンジェリストとして国内だけでなく、ASEAN、米国、欧州にて幅広く活動。