ドメイン番人
メールセキュリティ運用Google WorkspaceMicrosoft 365

info@など共有メアドの安全な運用法

ドメイン番人4 分で読めます
目次

この記事でわかること

  • 共有メアド(info@ support@ 等)を運用するときの 3 つのリスク
  • パスワード共有を回避する仕組み(共有メールボックス・グループ・委任)
  • Google Workspace と Microsoft 365 のおすすめ運用パターン

なぜ「共有メアド」が問題になるのか

サイト運営者では [email protected][email protected] のような 共通の問い合わせアドレス が広く使われています。複数の担当者で受信メールに対応するため、便利な反面、運用方法によって深刻なセキュリティリスクが発生します。

よくある運用パターンの問題点:

  • パスワード共有運用: 1 つの IMAP アカウントを 5 人で共有 → パスワードが社外に漏洩しても気付けない、退職者が居ても誰も気付かない
  • 転送設定運用: 個人アドレスにフォワード → 転送設定の解除忘れ、退職者にメールが流れ続ける
  • グループ運用未活用: グループ機能があるのに知らずに古い運用が続く

特に最初の「パスワード共有」は、Gmail / Microsoft 365 の規約違反(原則 1 アカウント 1 ユーザー)であるとともに、退職者がアカウントにアクセスし続けるリスクの温床です。

共有メアドの運用パターン比較

推奨パターン: 共有メールボックス + グループ

現代的な運用は、共有メールボックス機能またはメーリングリスト機能を使うのが基本です。

Google Workspace の場合

  1. Google グループ[email protected] を作成し、メンバー(社員の個人メアド)を登録
  2. メンバーは自分のアカウントから「Send mail as(別の名前で送信)」を有効化し、info@ として返信できるよう設定
  3. メールは Google グループ経由で全メンバーに配信、各メンバーは自分の Gmail で受信・対応

これにより各社員は 個人アカウントだけログインすればよく、パスワード共有なし、退職者は管理者がグループから外すだけで対応終了。

Microsoft 365 の場合

  1. 共有メールボックス(Shared Mailbox) を作成 → 専用ライセンス不要(50 GB まで無料)
  2. アクセス権を持つ社員を割り当て(info@ のメールボックスにフルアクセス権限)
  3. メンバーは自分の Outlook から共有メールボックスを開き、info@ として送受信

退職時はアクセス権を剥奪するだけで完結し、パスワードを変えて全員に再共有する手間がない。

安全な共有メアド運用

認証(SPF/DKIM/DMARC)の落とし穴

共有メアドから送信する場合も、SPF / DKIM / DMARC が正しく設定されている必要があります。

Google Workspace から info@ で送信する場合

「Send mail as」で別アドレス送信する設定でも、送信元サーバーは Google Workspaceです。SPF レコードに _spf.google.com が含まれていれば SPF pass、DKIM も Workspace で有効化していれば pass します。

Microsoft 365 共有メールボックスから送信する場合

送信元サーバーは Microsoft 365 のため、SPF レコードに spf.protection.outlook.com が含まれていれば pass。DKIM はテナントレベルで有効化が必要(管理センター > メールフロー > DKIM)。

設定状況の確認はドメイン診断で 3 分でチェック可能です。送信認証の基本はMicrosoft 365 のメール認証設定も参照。

共有メアドへの BEC(ビジネスメール詐欺)対策

共有メアドは攻撃者から狙われやすい入り口です。理由は、

  • 不特定多数の取引先が送信先として使う(攻撃メールに紛れ込みやすい)
  • 担当者が複数で、確認の責任が曖昧
  • 「請求書添付」のような業務メールが多く、不審メールの判別が難しい

防御策

  • DMARC を p=quarantine 以上に強化し、なりすましメールが届かない設定にする
  • 共有メアド宛の 添付ファイル開封ルール を社内で明文化(URL は別途口頭確認、銀行口座変更は別チャネル確認)
  • 受信メールの 件名にラベル付与(社内利用 / 社外問い合わせの分類)で見落としを減らす

実例はBEC 詐欺の事例と手口で詳しく扱っています。

退職時のチェックリスト

共有メアド運用で最もミスが多いのが退職対応です。

  • グループ / 共有メールボックスからメンバーを削除
  • 個人メアドへの転送設定が残っていないか確認
  • 担当外の社員に引き継ぎ完了を周知
  • 退職者個人の他の社内システムからもアクセス権削除
  • 共有メアドのパスワード共有運用がないか改めて点検

退職者が残した転送設定やフィルタ設定は 半年〜1 年単位で残存するケースもあるため、定期的な棚卸しが効果的。

まとめ

  • パスワード共有運用は規約違反かつセキュリティリスク
  • Google グループ / 共有メールボックスへの移行が現代的な解
  • DMARC 強化と退職時チェックリストでなりすまし対策

ドメイン全体を診断

無料のドメイン診断で、共有メアドからの送信認証(SPF / DKIM / DMARC)状況を 3 分でチェックできます。安全な共有メアド運用の第一歩としてご活用ください。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから