高いセキュリティのメール配信を行うには？様々なリスク対策を徹底紹介

　メール配信は顧客・見込み客に直接訴求できるため、他の施策よりも費用対効果が優れている一方、顧客の個人情報を扱うため様々なセキュリティリスクを抱えてもいます。今回はメール配信のリスクとは何か、どうすればそれらを防いでセキュリティの高いメルマガ配信を行えるかを紹介します。

セキュリティの高いメール配信とは

　メール配信におけるセキュリティ対策は、主に外部リスク対策と社内運用リスク対策の2つに分けられます。

外部リスク対策とは

　『外部リスク対策』とは「詐欺メールやスパムメールとみなされないこと」、「自社メールマガジンの読者をそうした危険から守ること」を指します。

　冒頭に述べた通りメルマガはいまだに高い利益率を誇ります。それだけ需要があるツールなので、フィッシング詐欺メールやなりすましメールが今も多く存在するのです。シマンテック社が2017年に実施した調査によれば、2016年はマルウェア（悪意のあるソフトウェア）を含んだメールの割合が過去5年間で最も高かったことがわかりました。

　読者に対する直接的な被害をもたらすことと、なりすまされた企業もブランド価値・評判が下がってしまうこと。この2点がフィッシング詐欺やスパムメールのリスクです。

社内運用リスク対策とは

　『社内運用リスク対策』とは「メルマガの誤送信や個人情報の情報漏洩に繋がらない運用を行うこと」を指します。情報漏洩のニュースは毎年必ず見受けられますし、企業の規模を問わず発生するものです。オペレーション上の人的ミスで起こるものが8割以上というデータもあります。情報漏えいのリスクは言わずもがな企業価値・信頼が下がることが挙げられます。

外部リスクに対するセキュリティ対策

　外部リスクに対してマーケティング担当者がすべきことは何でしょうか。最も大事なことは読者や自分たちを守る環境を作ることです。具体的な手段をいくつか紹介します。

送信元アドレスの認証を行う

　「メール認証」を行うことで皆さんのメールの「なりすまし」（第三者が企業のドメインを勝手に利用してメールを送る行為）を防ぐことができます。「メール認証」とは、メール配信する際に、これは自分たちが送ったものであると証明する認証プロトコル技術です。

　現在は主に業界では現在、3つの一般的な電子メール認証標準が使用されており、一部は併用されています。

SPF

　『Sender Policy Framework（SPF）』は、IPベースの認証ソリューションです。ドメインの所有者が、そのドメインに基づいてメール送信を許可するメールサーバ/ IPをDNSに指定できます。このDNS情報を受信側のメールサーバが確認することで、送信元のドメインが指定したメールサーバから行われたかが判断できます。

DKIM

　『DomainKeys Identified Mail（DKIM）』は、暗号化された署名ベースの認証形式です。メールヘッダに格納された秘密鍵に対応した公開鍵を、送信元ドメインのDNSへ登録しておきます。これにより受信側が、送信元のDNSから公開鍵を取得し、送信者と本文が正しいものかを検証できます。

DMARC

　『DMARC』と呼ばれるドメインベースのメッセージ認証技術も存在します。サイバー犯罪者が頻繁にターゲットとする米国の金融サービスや保健医療などの気密性が高い業界で採用されています。

送信元アドレスの認証を行う

　Gmailなどの『インターネットサービスプロバイダ（ISP）』は、送信元ドメインが正規のものか否かを独自のスコアリングによって計測しています。特に上述の「ドメイン認証を行なっているか」と「送信元IPアドレスがスパムメール配信に使われていないか」が大きく関わります。このスコアリングは『レピュテーション』といわれており、メルマガの到達率を左右します。

　ISP各社は、受信者に高度なセキュリティ環境を提供するためにこのようなスコアリングを行なっています。つまり彼らに高く評価されるよう努めることがセキュリティ面において正しい運用に繋がると考えてよいでしょう。

暗号化されたメールを配信する

　Gmailが2016年に『STARTTLS』をサポートしたことで、メール暗号化の認知度が高まりました。『STARTTLS』とは送信メールサーバから受信メールサーバまでのデータ通信を暗号化する技術です。これにより外部からのハッキングなどを防ぐことが期待できます。メルマガがパーソナライズされていく昨今、暗号化配信は必須の対応と言えるでしょう。

なりすましされた場合の対策を予め検討しておく

　予防はあらゆる物事において重要です。メルマガも例外ではありません。万が一、自社を偽った詐欺メールによって皆さんの顧客が被害を受けた場合を想定し、どのようにアナウンスをするか、注意喚起を行うかなどを予め検討しておくこともひとつの対策と言えます。最悪の状況を予測しておくことで、顧客情報、ひいては企業の評判を守ることに繋がります。

社内運用リスクに対するセキュリティ対策

　続いて社内運用リスクへの対策です。顧客データの情報漏洩、メールの誤送信される可能性をいかにして低く抑えるかが重要なポイントになります。

操作環境を制限する

　近年はメール配信システムの市場において当社が提供するようなクラウド型のシステムが主流になりつつあります。自社でメンテナンスを行う必要がなく、初期費用も安価のため多くのメリットがある一方、何処でも誰でもアクセスできるという点はメリットでもありデメリットにもなりえます。部外者のアクセスを防ぐことはもちろん、社員が社外から勝手にログインするといった状況も避けるべきでしょう。

　こうしたリスクに対する一般的なセキュリティ対策としては、メルマガ配信のシステムにログインできるIPアドレスを制限することです。これにより外部からのログインが禁止され操作ができなくなるため、第三者のログインや勝手な操作を防ぐことができます。

業務の役割ごとに操作権限を設ける

　メール配信の規模が大きくなると、配信業務に関わる社員の数も増えていきます。そういった場合に、社員それぞれが役割のみを行えるような状態であることが欠かせません。メールのコンテンツ作成のみを担当する社員が送信ボタンを押せたり、顧客リストを閲覧できるといった状態は避けるべきです。アクセスできる顧客リストも必要最低限に止めるべきでしょう。

　このように、誰がどのリストに対してどこまでの業務を行うかを細かく制御することがセキュリティ向上につながります。

ダブルチェック体制を整える

　メルマガには送信元、宛先、件名、本文と様々な確認要素が存在します。ウェブと異なり送ってしまったものを修正することはできません。 要素も多く修正が効かないため、誤った内容を送ってしまう可能性は高いのが現状です。こうした誤送信の可能性を減らすためにはメール配信の前に必ず承認者によるチェックを必須とする『承認機能』によるダブルチェック体制が最適です。

　当社の『WiLL Mail』の『承認機能』を例としてご紹介します。管理者が『承認機能』のon/offと承認者を設定できます。

　『承認機能』を有効にすると、メールのスケジュール設定後に承認者へ承認依頼がメールで送られ、承認または差し戻しをする事ができます。これによりメール担当者から上長への承認を経てメール配信を行うといった安全なフローを構築できます。

再発防止のために操作履歴を取得しておく

　前述のとおり、企業の情報漏洩の80パーセントは社内で起こります。万全の体制を整えても万が一の事態が起こり得るかもしれません。その際は顧客への適切な対応、アナウンスが当然最優先事項です。そして再発防止のために「なぜそれが起こったのか」を見極めることも重要です。

　メール配信に携わったオペレーターのアクセスログを日頃から取得しておきましょう。何が原因だったのかを把握し、改善策を講じることでリスクを減らせます。

まとめ

　いかがでしたでしょうか。メール配信のセキュリティ対策には主に「外部リスク」と「社内運用リスク」のふたつが存在します。配信規模の大小を問わず、読者を危険から守ることや顧客データの情報漏洩への対策は必須と言えるでしょう。当社の『WiLL Mail』もこれらのリスクを想定した機能を搭載しています。何かご相談されたいことがあれば是非お問い合わせくださいね。

　最後までお読みいただきありがとうございました。