
電子メールの利用者は非常に多く、企業でも多くの従業員が使います。だからこそ、メールはサイバー攻撃の標的になりやすいです。
大切な情報資産を脅威から守る方法として、メールセキュリティポリシーの作成・運用があります。メール利用に関する基本方針や規則を従業員に周知し、対策を徹底しましょう。
目次
メールセキュリティポリシーとは
メールセキュリティポリシーとは、電子メールの利用に関する基本方針や規則を定めたガイドラインです。個人情報や機密情報の漏えい、サイバー攻撃などを防ぐために作成・運用されます。
GoogleやYahooといったメールサービスプロバイダは、独自のメールセキュリティポリシーを作成し、メール受信・送信の要件などを定めています。
また、企業では守るべき情報資産の種類や内容を踏まえてメールセキュリティポリシーを作成し、従業員に対して対策を周知・徹底することが重要です。
メールセキュリティポリシーはなぜ必要なのか
メールは、今や世界中の人が利用しているコミュニケーション手段です。企業においても、多くの従業員が社内外の人々との連絡にメールを利用しています。
利用人口が多いからこそ、メールはサイバー攻撃の経路として使われやすいです。
2020年のDeloitte PLTのプレスリリースによると「サイバー攻撃の91%はフィッシングメールから始まっている(※)」と判明しています。
企業でやり取りされているメールには、本文や添付ファイルに重要な情報資産が含まれることも少なくありません。そのため、一従業員の何気ない行動から情報漏えいなどが発生しないよう、全従業員にメール利用のルールを示し、順守してもらうことが重要です。
※参考:Deloitte PLT「91% of all cyber attacks begin with a phishing email to an unexpected victim」
GoogleやYahooは2024年2月にポリシーを強化
GoogleとYahooは、2024年2月にメールセキュリティポリシーを強化しました。これらのセキュリティポリシーの変更も、サイバー攻撃の多様化やメールでの各種被害の増加が背景にあります。
なお、セキュリティポリシーの変更による影響はメールサービスのユーザーだけでなく、GmailやYahooメールのアカウントにメールを送る企業にもあります。セキュリティポリシーが強化された結果、「メールが顧客に届かなくなった」といった事例も少なくありません。
セキュリティポリシーの変更点や変更後に生じたトラブルの対策方法は、以下の記事で詳しく解説しています。

Gmailへのメールが2024年6月に届かなくなる?早急に必要な対策について
2024年2月に行われたGoogleのポリシー変更により、今後のメール運用の対策が必須となりました。 そして、2024年の6月にこのポリシー変更による影響が本格的に開始されることになりました。 この記事ではGmailへのメール送信が届かなくなる前に必要な対策についてご紹介いたします。 2月に行われたGmailのポリシー変更点 まずは、この話題の元となる2024年2月に行われたGmailに関するポリ…
メールセキュリティポリシーに含まれる内容

一般に、企業で作成されるメールセキュリティポリシーには以下のような内容が含まれます。
- 内容①目的と基本方針
- 内容②具体的な対策や実施手順
- 内容③管理方法や緊急時の対処法
内容①目的と基本方針
「どのような脅威から、どういった情報を守りたいのか」「目的達成に向けた基本方針」といった内容を示します。
守るべき情報資産の種類、優先順位、考えられるリスクは企業の規模や業種によって変わります。また、従業員にセキュリティポリシーを浸透させる上でも、守るべきルールだけでなく、その前提となる目的や基本的な考え方を示すことが重要です。
内容②具体的な対策や実施手順
具体的なメールの利用規則について記載します。たとえば、以下のような対策について記載されることが多いです。
- パスワード要件(例:複雑な文字列にする、同じ文字列を使い回さない)
- 多要素認証の採用(例:パスワードに加えて認証コードを採用する)
- 送受信の制限(例:私的利用を認めない)
- メールの暗号化(例:一定レベルの情報資産を含む場合は暗号化して送信する)
- リンクの取り扱い(例:不明なリンクを開かない)
- 添付ファイルの取り扱い(例:開く前にウイルススキャンを実行する)
- ソフトウェアの更新(例:アップデートの通知があれば必ず更新する)
- データ管理(例:送受信したメールを〇ヶ月保存する)
- 従業員教育(例:〇ヶ月に一度講習会を行う、抜き打ちテストを実施する)
なお、利用規則とともに実施手順を示すことも必要です。たとえば、多要素認証やメールの暗号化をルール化しても、その方法が分からない従業員がいれば、対策を徹底してもらえないでしょう。
内容③管理方法や緊急時の対処法
「セキュリティポリシーが守られているかどうか」をどのようにチェックしていくのか、またセキュリティポリシーに反する行動があった場合の対処法、責任の所在などを明確にします。
さらに、サイバー攻撃が疑われる場合に「誰に・どのように報告するのか」「被害拡大を防ぐために行う行動」といった対処法も記載します。情報セキュリティマネジメントにおける組織図や報告の順序を示したフローチャートも用意すると良いでしょう。
なお、メールセキュリティに関する具体的な対策については、以下の記事で分かりやすくご紹介しています。

メールは企業で日常的に使われるツールであり、サイバー攻撃などの標的になりやすいです。また外部からの攻撃以外でも、メールの誤送信で情報漏えいが起こるケースもあります。 ここではメールに関する脅威と対策について、分かりやすく解説をしています。 Pick Up ! 2024年:DMARCが「推奨」ではなく「必須要件」に!?迫りくるメール運用への危機 メールセキュリティとは メールセキュリティとは、メール…
ポリシーの作成と運用手順
企業でメールセキュリティポリシーを作成する際は、以下のような手順で行うと良いでしょう。
- 管理体制の構築
- 守るべき情報資産の洗い出し・リスク分析
- リスク回避に向けた対策・規定の立案
- メールセキュリティポリシーの作成
- 従業員へのポリシーの配布・浸透と管理
1. 管理体制の構築
メールを含めた情報セキュリティ対策は、経営陣も含めて組織全体で行うことが基本です。たった一台のコンピュータからの侵入でも、サイバー攻撃の被害は短時間で拡大する傾向があります。また、個人情報の漏えいとなれば外部への報告も必要です。
「最初にどこへ報告させ、誰がどのように対処するのか」「外部への連絡は誰が行うのか」など、基盤となる体制を構築しましょう。
2. 守るべき情報資産の洗い出し・リスク分析
企業によって守るべき情報資産の所在や内容は異なります。以下の事柄を整理し、対策や規定の立案につなげましょう。
- 情報資産の種類と流出時に起こり得るリスク(優先順位の検討)
- 情報の流出リスクが考えられる具体的な場面
企業の運営において情報セキュリティマネジメントは非常に重要ですが、予算が限られている場合も少なくありません。だからこそ、守るべき情報資産に優先順位をつけることも重要です。優先順位が高い情報は、コストをかけてでもしっかり守るようにしましょう。
また「情報がどのルートで流出する可能性があるか」が分かれば、従業員に指示すべき具体的な対策も見えてくるはずです。
3. リスク回避に向けた対策・規定の立案
考えられる情報流出シーンの想定から、リスク回避に向けた対策を立てましょう。その上で、従業員に守ってもらうべきルール、その実施手順を検討します。
4. メールセキュリティポリシーの作成
基本方針や規定をまとめたセキュリティポリシーを作成します。コンピュータの扱いに慣れていない従業員でも理解しやすいよう、できるだけ分かりやすく記載することが重要です。図や具体例を取り入れて説明すると良いでしょう。
そうは言っても、メールセキュリティポリシーをイチ から作成するのは大変です。
以下に、セキュリティポリシー作成のヒントになるページをご紹介します。どちらもメールより広範囲な情報セキュリティポリシーの作成支援資料ですが、メールに関する規定の記載もあります。
特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)
「情報セキュリティポリシーサンプル改版」
https://www.jnsa.org/result/2016/policy/
独立行政法人情報処理推進機構(IPA)
中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/guide/sme/about.html
5. 従業員へのポリシーの配布・浸透と管理
セキュリティポリシーが従業員全員の目に入るよう、配布の方法は工夫しましょう。全員がメールを使っているのであれば、メールでの配布も有効です。また、企業によっては誓約書へのサインを求めるケースもあります。
さらに、万が一の事態に備え、従業員がいつでもセキュリティポリシーを見返せるような環境を作りましょう。
運用開始以降は、規定にあるリスク回避の対策がきちんと行われているか、ソフトウェアなども使いながら管理します。また、従業員の反応も見ながらPDCAサイクルを回し、適宜改善を図っていくことも重要です。
プロの力も借りてリスクを最小限に
ここまでご紹介したように、メールはサイバー攻撃で狙われやすいものです。情報漏えいなどのリスクを下げるため、メールセキュリティポリシーを作成し、従業員に対策を浸透させるようにしましょう。
ただし、従業員一人ひとりが尽力しても、サイバー攻撃を完全に防ぐことは困難です。できる限りリスクを下げるため、メールシステム自体の見直しも行いましょう。
KAGOYAでは、定額にてアドレス無制限で利用できるメールプランをご用意しています。
1ヶ月550円で利用できる「共用タイプ」やSPF・DKIM・DMARC対応でメールが届かないトラブルを回避する「セキュアベーシック」など、プランも豊富です。もちろん、セキュリティ対策も充実しています。

KAGOYA のメールサーバーは、脱PPAP対応などの誤送信防止機能からメールアーカイブサービスやスパム・フィッシングメール対策まで、セキュリティ機能が充実した高コストパフォーマンスサーバーです。