想像してみてください。あなたはすべてのノートパソコンをリアルタイムのテレメトリ、迅速な隔離、自動ロールバックで強化しました。しかし、企業のメールボックス—ほとんどの攻撃者にとっての玄関口—はいまだに実質的には1990年代のフィルターで守られています。
これはバランスの取れたアプローチではありません。メールは依然として侵害の主要な経路でありながら、私たちはそれを動的なポストデリバリー環境ではなく、静的なメッセージの流れとして扱いがちです。この環境にはOAuthトークン、共有ドライブのリンク、そして何年分もの機密データが豊富に存在しています。
議論の方向性を変える必要があります。「ゲートウェイは悪意あるものをブロックしたか?」と問うのではなく、「攻撃者が侵入したとき、どれだけ早く発見し、封じ込め、被害を元に戻せるか?」と問うべきです。
この視点でメールセキュリティを見ることで、すでにエンドポイント保護を変革した「侵害を前提とした検知・対応」の考え方への根本的なシフトが促されます。
壁が崩れた日#
ほとんどのセキュリティ専門家は統計を知っています。フィッシングや認証情報の窃取は依然として侵害報告の大半を占め、ビジネスメール詐欺(BEC)の経済的影響はランサムウェアを上回ることもあります。しかし、データはレガシーアンチウイルスの衰退と同じような、より興味深いストーリーを語っています。
10年前、アンチウイルスは既知の脅威の検出には優れていましたが、ゼロデイ攻撃や新種のマルウェアはすり抜けていました。エンドポイント検知・対応(EDR)は、攻撃者がすでに端末に侵入した後の可視性が必要だったために登場しました。
メールも同じ道をたどっています。セキュアメールゲートウェイ(SEG)は、スパムや一般的なフィッシングキャンペーンのフィルタリングには今でも十分機能します。しかし、現代の脅威環境を特徴づける攻撃は見逃しています:
- ペイロードのないビジネスメール詐欺(BEC)
- 配信後に悪用される悪意あるリンク
- マルウェアを使わずに盗まれた認証情報で行われるアカウント乗っ取り
一つのメールボックスが侵害されると、攻撃者はMicrosoft 365やGoogle Workspace内のOAuthアプリケーション、共有ファイル、チャット履歴、カレンダー招待の連携グラフにアクセスできます。このグラフ内を横断しても、SEGのアラートはほとんど発生しません。被害はクラウドワークスペース内だけで完結します。
メールセキュリティがエンドポイントから学べること#
エンドポイントの世界でのブレークスルーは、より優れたブラックリストではありませんでした。予防策は継続的な可視性と迅速な自動対応と組み合わせる必要がある、という認識でした。EDRプラットフォームはプロセスツリー、レジストリ変更、ネットワークコールの記録を可能にしました。脅威が検知されると、ホストを隔離し、変更をロールバックすることが、単一のコンソールから可能になりました。
今、メール管理者に同じスーパーパワーを与えることを想像してみてください。メッセージ、OAuthスコープ、ファイル共有の巻き戻しボタン。リスクのあるルールが作成された瞬間にメールボックスを凍結、または少なくともMFAチャレンジを実施する能力。認証情報が盗まれた後、誰がどの機密スレッドを読んだかを示すタイムライン。
これらの機能の組み合わせこそが、現代的なEDRライクなメールセキュリティアプローチが提供するものです。シンプルな考え方です:攻撃者が最終的にメールボックスに侵入することを前提にし、検知・調査・封じ込めに必要なツールを構築するのです。
APIファーストが実現した瞬間#
長年、メールにポストデリバリーコントロールを追加するには、壊れやすいジャーナリング設定や重いエンドポイントエージェントが必要でした。クラウドスイートがこの問題を静かに解決しました。
Microsoft GraphやGoogle WorkspaceのAPIは、メールボックス監査ログ、メッセージID、共有イベント、権限変更など、必要なテレメトリをOAuth経由で安全に公開しています。同じAPIで可視性も制御も可能です。トークンの取り消し、配信済みメッセージの全受信箱からの削除、転送ルールの即時削除も数秒でできます。
センサーもアクチュエーターも、すでにプラットフォームに組み込まれています。あとは、これらをEDRのようなワークフローに接続するだけです。私たちが「メールセキュリティの進化」で主張したように、この豊富なテレメトリこそが、セキュリティチームがフィルタールールの調整というモグラ叩きから脱却できる理由です。ユーザーがフィッシングを報告するのを待つ代わりに、プラットフォームが不可能な移動のサインインを検知し、アカウントが即座に5つの新しい共有リンクを作成したことを把握し、自動的にリスクを修復できます。
少人数セキュリティチームにとってなぜ重要か#
小規模または中規模企業のセキュリティディレクターは、しばしば脆弱性管理、インシデント対応、コンプライアンスを一人でこなす唯一のセキュリティ部門です。ツールの乱立は敵です。
EDRライクなメールアプローチは、SEGポリシー、DLP、インシデント対応プレイブック、SaaS間監視など、分断された複数のコントロールを一つのインターフェースに統合します。MXレコードの変更も、エージェントの配布も、ユーザーによる「フィッシング報告」ボタンへの依存もありません。
さらに重要なのは、意味のある指標を生み出すことです。恣意的な「検出率」を挙げる代わりに、取締役会レベルの質問に具体的なデータで答えられます:
- どれだけ早く侵害されたメールボックスを検知できるか?
- 封じ込め前にどれだけの機密データにアクセスされたか?
- 今四半期でいくつのリスキーなOAuth権限が取り消されたか?
これらの数字は、理論的なフィルター効果ではなく、実際のリスク低減を示します。
現実的な前進方法#
これは抽象的な演習である必要はありません。前進の道は段階的であり、各ステップが具体的なセキュリティメリットをもたらします。
- ネイティブ監査ログを有効化する。 Microsoft 365とGoogle Workspaceの両方が詳細なログ機能を備えています。これは将来の自動化に必要な「事実の基盤」です。
- テレメトリを集中管理する。 SIEMやログプラットフォームで、侵害の兆候(突然のメールルール作成、大量ファイルダウンロード、異常なサインイン場所、新しいOAuth権限付与など)を監視し始めましょう。
- 自動対応をテストする。 ネイティブAPIを使い、フィッシングシミュレーションで「メッセージ回収」をテストしましょう。Microsoft GraphもGmail APIも、標準でこれらのエンドポイントを提供しています。
- 専用プラットフォームを評価する。 カバー範囲の広さ、侵害後プレイブックの高度さ、検知から自動対応までの速さで評価しましょう。
この取り組みは、推測を証拠に、実際の侵害を封じ込められたインシデントに変え、必要な人的労力をチーム規模に見合ったものに保ちます。
まとめ#
2025年にエンドポイントアンチウイルスだけで十分だと主張する人はいません。予防策は最終的に突破されることを前提に、検知と対応の仕組みを構築しています。メールにも同じ現実的なアプローチが必要です。
もちろん、受信時の検知は依然として重要です。しかし、もしあなたのセキュリティスタックが、メールボックス乗っ取り後に誰が機密契約書を読んだかを把握できず、その露出を自動的に防ぐこともできないなら、まだアンチウイルス時代にとどまっています。攻撃者はすでに先に進んでいます。あなたの受信箱も、ノートパソコン同様、アップグレードの準備ができています。
Material Securityの役割#
Material Securityは、ここで述べた前提—メールは動的で価値の高い環境であり、ポストデリバリー防御が必要で、単なるプレデリバリーフィルターでは不十分—に基づいて構築されました。
MaterialはMicrosoft 365やGoogle WorkspaceとネイティブAPIで直接連携するため、導入は数か月ではなく数時間で完了し、メールフローに中断はありません。
接続後は、MaterialがエンドポイントEDRと同じ詳細なテレメトリ—すべてのメールボックスルール、OAuth権限、ファイル共有、サインインイベント—を記録し、自動プレイブックを重ねて、侵害ウィンドウを数日から数分に短縮します。疑わしいサインインはジャストインタイムのMFAチャレンジを引き起こし、配信済みのフィッシングメールは読まれる前に全受信箱から回収されます。過去のメールはゼロ知識暗号化で保護され、再認証を強制するため、認証情報が盗まれただけでは何年分もの機密データを解読できません。
特に一人のセキュリティ担当者にとって重要なのは、Materialがこれらのコントロールを単一の検索可能なタイムラインに統合する点です。「何がアクセスされたか?誰が見たか?どれだけ早く封じ込めたか?」といった取締役会レベルの質問にも、複数のログをつなぎ合わせることなく答えられます。
要するに、Materialは現代的なエンドポイント防御の「侵害を前提に、迅速に検知し、さらに速く対応する」という精神を受信箱にもたらし、メールを永遠の死角から完全に監視され、迅速に復旧可能な資産へと変えます。
翻訳元: https://thehackernews.com/2025/07/email-security-is-stuck-in-antivirus.html