フィッシングやBEC（ビジネスメール詐欺）など、メールを標的にしたサイバー攻撃は巧妙化しています。Google WorkSpaceやMicrosoft 365で提供されるクラウド型メールサービスのセキュリティ対策は標準機能だけで十分なのか、と不安を覚えるセキュリティ担当者も少なくないのではないでしょうか。

本記事では、認証技術（SPF/DKIM/DMARC）の正しい運用や、AIによる脅威検知、従業員教育の設計など、多層的なメールセキュリティを構築するための実務ポイントを詳しくご紹介します。

【関連記事】
メール利用がもたらすセキュリティリスクとは

なぜいま、メールが狙われるのか──巧妙化する攻撃と高まるリスク

ビジネスコミュニケーションの中心を担うメールは、日々の業務において最も身近なITツールです。しかしその一方で、セキュリティの観点では“最も狙われやすく、最も油断しやすい”存在でもあります。特に近年は、クラウド型メールサービスの普及を背景に、攻撃者の標的構造も変化しつつあります。

まずは、その現状を見ていきましょう。

BECは情報セキュリティ10大脅威に8年連続ランクイン──メール攻撃の巧妙化は進む

IPA（情報処理推進機構）が公表した「情報セキュリティ10大脅威 2025」によると、企業を狙った「ビジネスメール詐欺（BEC）」は組織部門の第9位にランクインしており（8年連続8回目）、依然として深刻な脅威であることが分かります。 この攻撃は、従来のウイルス検知型の対策だけでは防ぎきれない「人の判断ミス」を巧みに突いてくる点が特徴です。例えば、実際に報告されているのが以下のようなメールです。

• 実在の取引先を装い、請求書の振込先だけが書き換えられている
• 社内の経営層になりすまして、緊急の送金指示を送ってくる
• 添付ファイルにトロイの木馬型マルウエアが仕込まれ、開封と同時に情報が抜き取られる

これらの攻撃は、メール内にマルウエアや不審なURLが存在しない場合も多く、一般的な迷惑メールフィルタやセキュリティソフトをすり抜けてしまうリスクがあります。

また、攻撃者は「明らかに怪しいメール」を送りつけてくるとは限りません。むしろ最近は、以下のように巧妙に偽装して、内部から送られたように見せかける手法が主流です。

• 社内の経理担当を装った差出人名＋正規風のドメインからのメール
• 社内のドキュメント共有リンクを模倣したフィッシングページへの誘導
• “Re:”や“FW:”を件名に加え、過去のやりとりに見せかける

これらは、メール本文の言葉づかいや添付ファイルの形式、送信時間帯までも模倣しており、受信者の判断力が鈍っているタイミングを見計らって届くこともあります。

クラウドメールの設定が不十分な企業は少なくない

現在、多くの企業がGoogle Workspace（Gmail）やMicrosoft 365（Outlook）などのクラウド型メールサービスを導入しています。これらのプラットフォームは利便性に優れ、標準的なセキュリティ機能も備えていますが、「導入しただけ」では十分な対策にはなりません。

特に問題視されているのが、送信ドメイン認証（SPF／DKIM／DMARC）の未設定や形骸化です。『情報通信白書 令和6年版』（総務省）によると、2023年12月の日本（JPドメイン）におけるSPFの導入率は約82.9％、DMARCは約10.2％に過ぎません。

また、クラウドメールのセキュリティは、最終的に管理者やユーザーの設定・運用に依存しており、設定のばらつきや運用ルールの欠如が、攻撃者にとっての“抜け道”となるケースも少なくありません。

そのため、メールサービスへの攻撃に特化した対策はますます重要になっているのです。

メールセキュリティの“多層防御”──設計・検知・教育の実践ポイント

メールセキュリティの基本戦略に話を進めましょう。

重要なのは、技術（設計）・運用（検知）・教育（人）の三つのレイヤーで防御を重ねる「多層防御」の視点です。

技術──「送信ドメイン認証」は“導入して終わり”ではない

メールセキュリティの第一歩として挙げられるのが、「SPF／DKIM／DMARC」による送信ドメイン認証の導入です。
これらは、それぞれ次のような役割を持っています。

• SPF：送信元IPアドレスの正当性を検証
• DKIM：送信内容に改ざんがないかを署名付きで検証
• DMARC：SPF／DKIMの結果に基づき、受信側の処理ポリシーを定義

しかし、これらの認証技術の効果は「設定しただけ」では限定的です。とくにDMARCは、ポリシー設定（none／quarantine／reject）だけでなく、レポート分析による継続的な運用が重要になります。

すなわち、レポートを通して把握できる実務的情報を自社で定期的に可視化・分析することで、攻撃の兆候をいち早く察知できる体制を整える必要があります。

【関連記事】
メールのセキュリティ対策において不可欠な送信ドメイン認証の仕組みとは

運用では、AIによる対策と人の教育の両面が重要

メール攻撃の巧妙化とともに内容はどんどん‟一見自然”なものへと進化しており、既存のフィルタリングではすり抜けてしまうことも少なくありません。そこで近年、以下のようなサンドボックスやAIによる振る舞い検知などを導入した対策が進んでいます。

• サンドボックス分析：添付ファイルを安全な仮想環境で実行し、マルウエア挙動があるかを確認
• 振る舞い検知：文面の違和感やドメイン不整合、送信履歴との乖離をAIが自動スコアリング
• 自動仕分け・警告：検知結果に応じて自動で注意ラベルを付与し、ユーザーの注意を促す

とはいえ、上記の対策で99.9％の攻撃を防げても、予期せぬ脆弱性によりインシデントが発生したケースは存在します。そのため、AIの判断に頼るだけでなく、ユーザー教育を継続的に行い、万が一情報の漏えいやマルウエア被害が発生した場合に、いち早く検知し対処できる仕組みを整えておくことが求められます。

従業員教育としての設計された「訓練」の重要性

教育こそ最大のセキュリティ投資──。その言葉通り、システム側の対策だけでなく、人の教育とインシデントへの備えが重要です。近年では、訓練メール（模擬フィッシング）を活用した継続的な教育施策が実施される例も見られます。

LRM株式会社が2024年11月に実施した調査（※）によると、標的型攻撃メール訓練回数が増えるほど不審メール報告率も増加する傾向が見られます。同調査によると、年間「4回以上」訓練を実施した組織の47.8％が不審メール報告率50％以上を達成していたということです。

ここで注意したいのが、「訓練を実施した」ことだけで満足しないことです。

• どの部署・役職で誤クリックが多かったか
• 訓練後に実施した説明会への出席率・理解度はどうか
• 過去の訓練ログと実際のインシデントとの関連性はあるか

こうしたデータを基に、教育内容をチューニングし続けることが、メールセキュリティ文化の定着につながります。

※出典：【セキュリティ教育担当1000人調査】“不審メール報告率50%“を達成するためには年間4回以上の標的型攻撃メール訓練が効果的（LRM株式会社）┃PRTIMES

「送信ドメイン認証（SPF／DKIM／DMARC）」の設定・運用ガイド

SPF／DKIM／DMARCを正しく設定・運用することの重要性はすでにご紹介しました。Google WorkSpaceやMicrosoft 365ではどのように「送信ドメイン認証」を設定・運用すればよいのか、具体的なガイドをご提供します。

【1】SPF（Sender Policy Framework）の設定

SPFは「このドメインからは、どのサーバーがメールを送ってもいいか」を示す仕組みです。DNSに以下のようなSPFレコードを登録することで設定します。

例（Google Workspaceの場合）

v=spf1 include:_spf.google.com ~all

例（Microsoft 365の場合）

v=spf1 include:spf.protection.outlook.com ~all

この設定により、それぞれのメールサービスが使っている正規の送信サーバーからのメールのみを「正当な送信」として受信側に認識してもらえるようになります。なお、「~all」の部分は「それ以外のサーバーから来たら“たぶん偽物”」と伝える設定で、「“偽物である”」と断定する場合は「-all」を用います。

【2】 DKIM（DomainKeys Identified Mail）の設定

DKIMは、送信メールに電子署名を付与し、改ざんされていないことを証明する技術です。

Google Workspaceでは管理コンソールからキーを生成し、DNSに登録することで有効化できます。Microsoft 365でも同様に、PowerShellやMicrosoft 365 Defender ポータルを通じて設定可能です。

【3】 DMARC（Domain-based Message Authentication, Reporting & Conformance）の設定

DMARCは、SPFとDKIMの結果を基に、メールをどう扱うか（受け入れる／迷惑メール扱いにする／拒否する）を受信側に指示する仕組みです。さらに、認証失敗のレポートを送ってもらうこともできます。

例

ドメイン名：example.com
値: v=DMARC1; p=none; rua=mailto:dmarc@example.com; aspf=s; adkim=s

p=none（受信側は自由に扱う）
p=quarantine（迷惑メール扱い）
p=reject（受信拒否）

どのサービスでもDMARCの設定自体はメールサービスではなくDNS側で行うため、基本的な手順は同じです。ただし、SPFやDKIMが正しく設定されていないとDMARCも正しく機能しないため、三つの認証技術はセットで構成することが前提となります。

レポート収集用のメールアドレス（rua=）には専用の受信用アドレスを用意し、DMARC可視化ツールを併用すると管理や分析が容易になります。

企業の‟表玄関”であるメールのセキュリティ。今一度の見直しが重要

ハイブリッドワークの浸透で、「どこからでも」「どんな端末でも」メールが開ける今、一人一人のミスが企業全体のセキュリティリスクに直結する可能性は否定できません。

「チャットがあるからメールはいらない」「社内はTeamsだから安全」といった声も耳にしますが、ステークホルダーとのやり取りは未だにメールベースで行われることが多く、企業の‟表玄関”であるメールのセキュリティ対策が不可欠な状況は今後も続くでしょう。

本記事を参考に、今一度、自社のメール環境を見直してみてはいかがでしょうか。