## この記事でわかること - 共有メアド(`info@` `support@` 等)を運用するときの 3 つのリスク - パスワード共有を回避する仕組み(共有メールボックス・グループ・委任) - Google Workspace と Microsoft 365 のおすすめ運用パターン ## なぜ「共有メアド」が問題になるのか サイト運営者では `info@example.co.jp` や `support@example.co.jp` のような **共通の問い合わせアドレス** が広く使われています。複数の担当者で受信メールに対応するため、便利な反面、運用方法によって深刻なセキュリティリスクが発生します。 よくある運用パターンの問題点: - **パスワード共有運用**: 1 つの IMAP アカウントを 5 人で共有 → パスワードが社外に漏洩しても気付けない、退職者が居ても誰も気付かない - **転送設定運用**: 個人アドレスにフォワード → 転送設定の解除忘れ、退職者にメールが流れ続ける - **グループ運用未活用**: グループ機能があるのに知らずに古い運用が続く 特に最初の「パスワード共有」は、**Gmail / Microsoft 365 の規約違反**(原則 1 アカウント 1 ユーザー)であるとともに、退職者がアカウントにアクセスし続けるリスクの温床です。 ![共有メアドの運用パターン比較](/blog/shared-mailbox-security/operation-patterns.svg) ## 推奨パターン: 共有メールボックス + グループ 現代的な運用は、**共有メールボックス機能**または**メーリングリスト機能**を使うのが基本です。 ### Google Workspace の場合 1. **Google グループ**で `info@example.co.jp` を作成し、メンバー(社員の個人メアド)を登録 2. メンバーは自分のアカウントから「**Send mail as**(別の名前で送信)」を有効化し、`info@` として返信できるよう設定 3. メールは Google グループ経由で全メンバーに配信、各メンバーは自分の Gmail で受信・対応 これにより各社員は **個人アカウントだけログイン**すればよく、パスワード共有なし、退職者は管理者がグループから外すだけで対応終了。 ### Microsoft 365 の場合 1. **共有メールボックス(Shared Mailbox)** を作成 → 専用ライセンス不要(50 GB まで無料) 2. アクセス権を持つ社員を割り当て(`info@` のメールボックスにフルアクセス権限) 3. メンバーは自分の Outlook から共有メールボックスを開き、`info@` として送受信 退職時はアクセス権を剥奪するだけで完結し、パスワードを変えて全員に再共有する手間がない。 ![安全な共有メアド運用](/blog/shared-mailbox-security/secure-pattern.svg) ## 認証(SPF/DKIM/DMARC)の落とし穴 共有メアドから送信する場合も、SPF / DKIM / DMARC が正しく設定されている必要があります。 ### Google Workspace から `info@` で送信する場合 「Send mail as」で別アドレス送信する設定でも、**送信元サーバーは Google Workspace**です。SPF レコードに `_spf.google.com` が含まれていれば SPF pass、DKIM も Workspace で有効化していれば pass します。 ### Microsoft 365 共有メールボックスから送信する場合 送信元サーバーは Microsoft 365 のため、SPF レコードに `spf.protection.outlook.com` が含まれていれば pass。DKIM はテナントレベルで有効化が必要(管理センター > メールフロー > DKIM)。 設定状況の確認は[ドメイン診断](/diagnose)で 3 分でチェック可能です。送信認証の基本は[Microsoft 365 のメール認証設定](/blog/microsoft-365-email-auth)も参照。 ## 共有メアドへの BEC(ビジネスメール詐欺)対策 共有メアドは攻撃者から狙われやすい入り口です。理由は、 - 不特定多数の取引先が送信先として使う(攻撃メールに紛れ込みやすい) - 担当者が複数で、確認の責任が曖昧 - 「請求書添付」のような業務メールが多く、不審メールの判別が難しい ### 防御策 - **DMARC を `p=quarantine` 以上に強化**し、なりすましメールが届かない設定にする - 共有メアド宛の **添付ファイル開封ルール** を社内で明文化(URL は別途口頭確認、銀行口座変更は別チャネル確認) - 受信メールの **件名にラベル付与**(社内利用 / 社外問い合わせの分類)で見落としを減らす 実例は[BEC 詐欺の事例と手口](/blog/bec-attack-cases)で詳しく扱っています。 ## 退職時のチェックリスト 共有メアド運用で最もミスが多いのが退職対応です。 - [ ] グループ / 共有メールボックスからメンバーを削除 - [ ] 個人メアドへの転送設定が残っていないか確認 - [ ] 担当外の社員に引き継ぎ完了を周知 - [ ] 退職者個人の他の社内システムからもアクセス権削除 - [ ] 共有メアドのパスワード共有運用がないか改めて点検 退職者が残した転送設定やフィルタ設定は **半年〜1 年単位で残存**するケースもあるため、定期的な棚卸しが効果的。 ## まとめ - パスワード共有運用は規約違反かつセキュリティリスク - Google グループ / 共有メールボックスへの移行が現代的な解 - DMARC 強化と退職時チェックリストでなりすまし対策 ## ドメイン全体を診断 無料の[ドメイン診断](/diagnose)で、共有メアドからの送信認証(SPF / DKIM / DMARC)状況を 3 分でチェックできます。安全な共有メアド運用の第一歩としてご活用ください。