メールも認証バッジの時代へ。ビジネスメール詐欺の対策

D社 様 業種 :製造
課題 :メールセキュリティ

導入の背景・目的・課題

産業プラントやロボットなどの総合エンジニアリングメーカーであるD社。幅広い事業を展開し、従業員も数万人に上ります。近年、社内メールを装ったビジネスメール詐欺が増えたことで、IT部門のN氏はその対応に追われていました。ある事業部の部長のメールアドレスが乗っ取られてしまい、偽の請求書処理がまわされてしまっていたのです。支払いをする前に事なきを得ましたが、いつ他の事業部で詐欺被害がでても、おかしくはない状態でした。

導入までの経緯

D社のメーラーはOffice365やOutlookを利用しており、怪しいメールはブロックされるようになっていましたが、なりすましメールを受信してしまうこともあれば、取引先が送付したメールが何らかの原因で受信されないなど、完全とは言い難い状態でした。そこで、対策を検討することになったN氏は、メールセキュリティについて情報収集をはじめ、「S/MIME（エスマイム）」というメール用の電子証明書があることを知りました。

S/MIMEの仕組みについてサイトがあったグローバルサインに問い合わせをしてみると、営業担当者から連絡があり、ビジネスメール詐欺について話しました。すると「攻撃者から守るためのメールセキュリティには、大きく3つの対策があります。」と説明されました。

「S/MIMEは、『判別』するために必要になるものです。企業に属する個人、部門のメールアドレスに利用でき、私たち認証局で審査を行い証明書が発行されます。メールの送信者が本人である場合、認証バッジが付くため本人が送信していることが実証されます。社内間であれば、なりますし対策ができますし、取引先に連絡する際にもセキュリティを意識したメール送信が可能です。」とメールセキュリティ対策の一つであることを知りました。

表示例

Outlookで電子署名付きのメールを受信した場合

iPhoneからGmailで電子署名付きのメールを受信した場合

既にスパムメール防止設定やウイルス対策ソフトはすでに導入済みだったことから、N氏はS/MIMEの無料テスト用証明書を試してみることにしました。

設定方法

導入して良かった点

テスト用証明書を試した結果、対策の1つとして有効だと判断したD社。S/MIMEでも「マネージドPKI Lite byGMO」という大規模向けのパッケージを導入しました。導入の決め手についてN氏は、「弊社は社員数も多いため、メールの署名・暗号化ができるだけではなく、導入にはコストや管理の部分も重要でした。「マネージドPKI Lite byGMO」だと有効期限も3年まであり、1,000ライセンスだと1ライセンスあたり月額200円未満と費用も許容範囲内でした。また、弊社IT部門で証明書の発行や失効が専用の管理パネルから運用できるということもメリットでした。経営層や役職者から証明書のインストールを進め、その後、同様の詐欺被害はでていません。ただ認証バッジがあっても見過ごす社員はいるので、別途研修も行っています。」とお話くださいました。

D社では、今後、契約書や請求書などに文書署名用証明書をいれるなどして、自社のなりすまし防止にも取り組んでいかれるそうです。