ドメイン番人
メール認証Web 担当者セキュリティ

メールセキュリティ|中小企業・スタートアップ向けの最低限 3 層防御

ドメイン番人4 分で読めます
目次

この記事でわかること

  • サイト運営者でも実施すべきメールセキュリティの全体像(認証 / 送信 / 受信の 3 層)
  • 限られた予算で「どこから手をつけるか」の優先順位
  • 実害につながる代表的な攻撃 4 パターンと、それぞれの防御策

中小企業こそ狙われている、というシビアな現実

「うちは中小企業だから狙われない」、という認識は、いま大きなリスクです。ビジネスメール詐欺(BEC)取引先なりすまし は、防御が手薄な企業ほど被害が大きくなる傾向があり、警察庁・IPA の年次レポートでも被害件数は拡大基調です。詳しい手口はビジネスメール詐欺 BEC の手口と事例にまとめています。

防御策はそれぞれ単独だと効果が限定的で、「認証 / 送信 / 受信」の 3 層を組み合わせることで初めて意味を持ちます。本記事ではこの 3 層を、現実的な導入順で整理します。

メールセキュリティの 3 層

第 1 層: ドメイン認証(SPF / DKIM / DMARC)

第 1 層は「自社ドメインを名乗るなりすましメールが他人に届く」のを防ぐ層です。

ここをやっていないと、攻撃者が [email protected] を騙って、御社の取引先に偽の請求書メールを送る、という事故に直結します。被害が出るのは「自社」ではなく「取引先」なので、御社の責任問題になりやすい論点です。

設定すべきは次の 3 つです。詳細はSPF・DKIM・DMARCの違いを参照してください。

  • SPF: 「うちのメールはこのサーバーから送る」と宣言する
  • DKIM: メールに電子署名を付け、改ざんされていないことを証明する
  • DMARC: SPF / DKIM をすり抜けたなりすましメールを「迷惑メールへ」「拒否」へ強制する

中小企業で多い症状は「SPF だけ設定して DMARC は p=none のまま放置」という状態です。これは家の鍵の片方だけ閉めているようなもので、なりすまし防止としては機能しません。段階的な強化手順はDMARC強化の手順で解説しています。

第 2 層: 送信側の運用(取引先に「届く」状態を保つ)

第 2 層は「自社の正規メールが取引先にちゃんと届く」を担保する層です。

ここで失敗すると、請求書・契約書のメールが Gmail / Outlook で迷惑メール判定され、業務が止まります。Gmail は 2024 年 2 月、Microsoft Outlook は 2025 年 5 月から、一括送信者(1 日 5,000 通以上)に DMARC を含む厳格な要件を課しています。中小企業が直接該当しなくても、配信性のスコアリングは厳しくなる方向です。

送信側で押さえるべきは次の 3 点。

  1. 過去のレンタルサーバーの IP が SPF に残っていないか(古い include: の整理)
  2. メール配信サービス(SendGrid 等)を使うとき DKIM 用の CNAME を入れたか
  3. DMARC レポート(rua)を集計して、未把握の送信元を毎月チェックしているか

3 番目の DMARC レポート活用はDMARC レポートの読み方で具体的に扱っています。

第 3 層: 受信側の対策(社員を守る)

第 3 層は「攻撃メールが社員の受信箱に届いた後、人が騙されないようにする」層です。

第 1〜2 層で完璧に防げない攻撃が必ずすり抜けます。たとえば類似ドメイン(yourcompany-jp.com など)を使ったフィッシングは、技術的な認証を全部すり抜けるので、最終防衛線は「受信者の判断」になります。

攻撃パターンと対応する防御層

中小企業で予算をかけずに取れる対策は次の 4 つです。

  • Gmail / Microsoft 365 標準の迷惑メールフィルタを有効化(無料・ほぼデフォルト ON)
  • 添付ファイル開封のルール作り(知らない送信者の Office マクロは開かない、など)
  • 「いつもと違う」を疑える社員教育(緊急振込依頼、添付パスワードの別送など)
  • 重要送金は二人体制(承認フローで攻撃を一人で完結させない)

研修ベンダーや有償フィルタリングサービスの導入は、上記の無料対策で改善が頭打ちになってから検討で十分です。

何から始めるか: 優先順位

予算と工数が限られるサイト運営者では、すべてを同時に進めるより、効果の高い順に着手するのが現実的です。

優先度 施策 コスト感
最優先 SPF / DKIM の設定確認 数時間〜半日
DMARC を p=none で導入し、レポート確認 半日〜1 日
DMARC を p=quarantine → p=reject へ強化 数週〜数ヶ月
社内ルール整備(添付・送金) 関係者合意の時間
有償セキュリティ製品の検討 月数万円〜

最優先の 2 つだけでも、なりすまし被害の大半は防げます。ここに手をつけずに有償製品から入ると、穴の空いたバケツに水を注ぐような状態になりがちです。

まとめ

  • メールセキュリティは「認証 / 送信 / 受信」の 3 層構造で考える
  • 中小企業はまず第 1 層(SPF / DKIM / DMARC)で「自社ドメインのなりすまし」を遮断する
  • 完璧な技術防御はないため、最終的には受信者の判断ルールも必要

自社の認証状態をまず把握する

「うちのドメインは SPF / DKIM / DMARC をどう設定しているのか分からない」場合は、まず無料のドメイン診断で 3 分で確認できます。設定漏れと改善ポイントを可視化します。

設定変更や DMARC レポート分析を専門家に任せたい場合は、お気軽にご相談ください。設定前後で正規メールの送達確認まで、人の手で確認しながら進めます。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから