リミットまでわずか4カ月。事業に大きなインパクトをもたらす、「なりすましメール」対策プロジェクトの裏側
2023年10月、Googleがなりすましメール(迷惑メール)対策を大幅に強化するガイドラインを公表し、大きな話題になりました。Gmailアカウントに、1日に一定数以上のメールを送信する事業者や企業に限らないメール送信者が、このガイドラインに示された要件を満たさなければ、2024年2月以降、送信したメールが相手のGmailに届かなくなる可能性が高まるためです。
パーソルホールディングスはこの一報を受け、即座に対応を検討するプロジェクトチームを組成。無事になりすましメール対策を期日までに終えることができた裏側を、プロジェクトを率いた平岩に聞きました。
メール送信の厳格化の知らせを受け、即座に対応を検討する応チームを組成
—平岩さんが所属されているワークスタイルインフラ部、そしてBusiness Comチームの役割について教えていただけますか?
ワークスタイルインフラ部は、パーソルグループの社員が日々利用する、情報共有ツールを健全な状態で維持する役割を担っています。人事システムや財務システムのように特定用途のためにつくられたシステムではなく、人と人、人とシステムを円滑につなぐためのシステムを支える組織なので、血管や神経の健康を守るお医者さんのような役割をイメージしていただけるといいかもしれません。
その中でも私が所属するBusiness Comチームは、SaaSとして提供されるMicrosoft365の各機能のうち、Microsoft OutlookやMicrosoft Teamsの管理、運用を支えており、主にこれらの使い方についての問い合わせやトラブル対応、アップデートに伴う技術的サポートなどに取り組むチームです。
—ありがとうございます。ここからは、この記事の本題である「なりすましメール対策」について聞かせてください。どういった内容のプロジェクトだったのでしょうか?
まず背景からお話します。
実在する企業や組織名を騙り、企業の機密情報や個人情報を詐取する目的で送信される「なりすましメール」が世界中で横行しているのはご承知の通りです。日本政府も年々増加する被害に対応するため、2023年7月に「政府機関等のサイバーセキュリティ対策の統一基準群」を改訂するなど、対策強化を打ち出しています。
もちろん民間も例外ではありません。Googleや米Yahoo!など、主要プラットフォーマーが一定数のメール送信者に対し、送信元の信頼性を担保するセキュリティ技術「DMARC*」への対応をはじめとする複数要件を義務化すると予告し大きな話題になりました。
* DMARC(Domain-based Message Authentication, Reporting, and Conformance):メールの改ざんやなりすましを防ぐ、電子メールの送信元のドメイン認証技術の一つ
—DMARC対応をしないとどんな影響が?
当社の場合でいうと、転職サービスに登録している求職者に採用面接の連絡メールが届かないことや、派遣スタッフへの連絡メールが滞る可能性が考えられます。送信したメールが迷惑メールに分類されたり、受信拒否されたりするかもしれないからです。
重要なメールが届かないということは、お客さまからの信頼を失うという重大なリスクであり、人材サービスを提供する企業として致命的です。
パーソルホールディングスでは、以前からメールセキュリティの強化に向けた取り組みを進めていましたが、メール送信の厳格化の流れが一気に加速したのを受け、当初の計画より前倒しし、約4カ月という限られた時間で対応する必要が生じました。
グループ各社に丁寧な説明を重ね、危機的状況から脱却
—なるほど。この取り組みで難しかったのはどんな点ですか?
事業会社の現場が個別契約しているSaaS型の業務アプリケーションのなかには、メール送信機能を備えたサービスが数多くあります。限られた時間のなか、グループ全社でのメール利用の実態調査をした上で、状況に合わせた個別対応を取らなければならず、その点がかなり難しかったですね。
—実態調査の結果はいかがでしたか?
調査の結果、メールの送信元となるドメインも130種以上、グループ全体で60を超えるSaaSの利用があり、さらにGmailアドレス宛の送信だけに限っても1日あたり50万通にのぼることがわかりました。
—どんな点がネックに?
まずは、事業への影響が一番大きいGmailに的を絞った対応を進めることにしました。グループ各社のIT管理部門や一部ベンダーにも協力を仰ぎながら、SaaSの契約者とメールアカウントの管理者である現場社員に丁寧な説明を行った上で適切な対応を促すのは思いのほか時間がかかりました。一番のネックは、やはり時間との闘いだったと思います。
—平岩さんたちからの指摘を受けて、はじめてことの重大さに気づいた社員も多かったのでは?
そうですね。実際、われわれの説明を聞いて徐々に顔色が変わる社員は少なくありませんでした。送ったつもりのメールが相手に届かなくなることがどんなデメリットをもたらすのか、理解してからの対応は非常に早かったように思います。
今後はなりすましメール対策の精緻化と高度化に注力
—プロジェクトの成果についてはいかがでしたか?
まず、2023年11月にスタートしたGmail向けの対策は、翌2月の期日までに無事完了しました。今後は米Yahoo!やMicrosoft、Appleなど、大手プラットフォーマーが提供するメールアドレス宛にも確実に届くよう、なりすましメール対策の範囲を拡大する計画です。
—社内での評価も高かったそうですね。
はい。短期間で一定の対策を終えたことを評価いただき、パーソルホールディングスのグループIT本部内の優秀事例に選んでいただきました。
そもそも、今回のなりすましメール対策は、普段のわれわれの仕事とは少し距離があるミッションではあったのですが、進んで手を挙げて引き受けました。客観的に見てわれわれ以上にコミュニケーションツールに精通した組織はなかったからです。インフラやインフラ寄りのシステムが脚光を浴びるのは、たいていはミスやインシデント発生時になりがちなので、こうした前向きな取り組みを評価いただけたことは、われわれにとって大きな励みになりました。
—成功の要因は何だと思いますか?
現場社員のみなさんの目線に合わせた丁寧な説明でしょうね。リスクを正しく認識してもらい、適切な対応をすることが、全員にとってのゴールである以上、上から目線にならないよう務めたつもりです。
—Gmail以外のなりすましメール対策についても今後進めるとのことですが、それ以外の対策についてはいかがですか?
なりすましメール対策の精緻化と高度化の両面から取り組んでいくつもりです。具体的にはメールに電子署名を付与し信頼性を高める取り組みや、分析ツールの導入など、対策レベルを順次上げていくための環境づくりも進めていきます。それ以外ですと、新たな脅威が見つかった際、迅速かつ適切な経営判断が下せるよう定期的なレポーティングの実施、安全なメール送信のためのルールづくりやマニュアルづくりにも並行して取り組む計画です。
—最後に、情報共有ツールのセキュリティ対策にかける意気込みを聞かせてください。
社内ではチャットツールの利用率が高まっていますが、お客様や取引先など社外のステークホルダーとのコミュニケーションにメールが占める割合は決して低くはありません。今回の一件で、メールは決して“オワコンではない”という認識がグループ全体に広がったと思うので、今後引き続き、Microsoft TeamsやMicrosoft Outlookのメンテナンスと合わせ、セキュリティ対策を強化しながら、社員が安心して利用できるコミュニケーション環境を維持、発展させていきたいですね。
取材・文=グレタケ 武田敏則
(2024年8月時点の情報です。)
- 平岩重義Shigeyoshi Hiraiwa
- パーソルホールディングス株式会社
グループIT本部 ワークスタイルインフラ部
コミュニケーションインフラ室 Business Comチーム
リードコンサルタント - 1996年から、大手製造業のシステム子会社やSIerにて、システム開発やグループウェアの運用、導入、インフラ構築などプロジェクトに携わり、2007年からは外資系ITコンサルティング会社でMicrosoft製品の導入支援に従事。2016年テンプホールディングス(現パーソルホールディングス)に転じてからは、Microsoft 365 のグループ導入や運用に携わる。現在は、Microsoft OutlookやMicrosoft Teams、ファイルサーバなど、情報共有システムの管理、運用を担当している。
―― 合わせて読みたい記事
