ScanNetSecurity がサイボウズ株式会社の子会社だった頃、電子メールの代替となる情報共有サービスを提案するために、「メールはオワコンである」ことを面白おかしく訴求する Web キャンペーンをサイボウズが展開していた。
当時記者は、いちユーザーとしてこの親会社のキャンペーンを見ていたのだが(サイボウズの取り組みなので当然だが)その出来栄えは非常に優れていた。たとえば、「BCC のつもりが CC や TO にメールアドレスを入力してしまうリスク」や、「一度送信すると取り消しできない」といった、メールの仕様から生まれるさまざまな問題を描いた漫画が制作され、これが傑作と言えるほどのクオリティだったのを覚えている。
メールはオワコンであり、今後他のコミュニケーションツールに置き換えられ、将来的には FAX のようなレガシー通信手段となり、極めて限定的な用途でのみ使われるようになる。当時は真剣にそう考えられていた。そして実際、2016 年にはガートナーの Magic Quadrant(マジック・クアドラント)からもメールセキュリティのカテゴリが姿を消した。
Magic Quadrant とは、特定の製品カテゴリにおいて主要なベンダーを「ビジョン」と「実行能力」の二軸で評価し、「リーダー」「チャレンジャー」など四象限に分類するガートナーの分析レポートである。
ただし、すべての製品カテゴリに Magic Quadrant があるわけではない。たとえば「VPN」の Magic Quadrant などは存在しない。
Magic Quadrant の評価対象となる製品カテゴリは、
・新しい技術分野であること
・市場が急成長していること
・企業の IT 戦略に影響を与えるコア技術であること
等々の複数の基準で決定される。
一方で、
・市場が成熟している
・新しい差別化要素が少ない
・技術の進化が止まり、将来の発展が見込めない
といったカテゴリは、評価対象から除外されることになる。
2016 年を最後にメールセキュリティの評価が行われなくなったことは、サイボウズのキャンペーンが指摘した通り、メールがオワコン化したことの裏付けのようにも見えた。
しかし、それから約 10 年後の 2024 年 12 月 — メールセキュリティが、まるでライジング・フェニックスのごとく Magic Quadrant に再度追加された。
「オワコン」と喧伝された電子メールだが、2025 年現在もビジネスシーンでは広く利用され続けているばかりか、コンシューマーサービスでも簡易的な本人確認の手段として習慣的に使われており、なんら終わったわけではない。
さらに、EDR、ゼロトラストネットワークアクセス(ZTNA)、SASE、ASM など、企業のセキュリティ対策が高度化するにつれ、攻撃側の手口が徐々に封じられていった結果、攻撃者は「メールを使ってヒトの脳の脆弱性を突く攻撃」、つまりフィッシング詐欺に活路を見出し、その件数はここ数年で爆増している。
もはやメールセキュリティは 「企業のセキュリティ戦略に影響を与えるコア技術」 の一つと再認識され、評価の必要性が生じたのかもしれない。今日日(きょうび)サイバー攻撃被害の多くには VPN やメールが絡んでいる。もしそうだとすればそれは妥当な判断だろう。
かつてサイボウズが「メールオワコンキャンペーン(実際の名称ではなくわかりやすく表現しています)」を展開していた時代、あきらかに電子メールは重く見られてはいなかった。技術としてもサービスとしても注目されることは少なく、優秀な技術者が取り組む領域とは見なされず、若者が将来をかけるべき分野と考えられることはまずあり得なかった。
しかし、そんな「メールをバカにしていたお前がバカ」と言われる時代が、今まさに到来しつつあるのかもしれない。
とはいえ、安心してほしい。電子メールは「通信」であり、総務省が管轄するインターネットのインフラ技術だ。その世界を支えているのは「紳士」と「尊敬すべき職人」たちである。APT(Advanced Persistent Threat)という概念を提唱し、善と悪の対比をスペクタクルとして語り、セキュリティ業界を刷新したケビン・マンディアのような「大立者(おおだてもの)」が君臨する世界とは様相が少し異なる。ちなみにマンディア氏が「紳士でない」とも「尊敬できない」とも 1 ミリも言っていないので念のため。要は違う世界観と空気だということである。
そんなメールセキュリティの再評価が進む 2025 年春、最新の動向をキャッチアップする絶好の機会となる講演が Security Days Spring 2025 で開催される。
登壇者は、株式会社 NTT データグループ グローバルイノベーション本部デジタルビジネス推進部長 本城 啓史 氏 だ。
NTT データグループは、日本国内およびグローバルで 300 社以上を擁する国際的な巨大企業グループである。グループ全体で毎日約 650 万通の業務メールが送受信される環境において、Proofpoint 製品を活用し、メールセキュリティの強化とドメイン統一を実施した事例が紹介される予定だ。また、フィッシングやサイバー攻撃に AI が当たり前のように活用されている現状に対して、昨今のこのような AI技術を用いた脅威に対応することの重要性についての見解も聞いていきたい。
NTT データの海外子会社には、「セキュリティの切れ者」が多数在籍しているという。そしてそういう優秀な人たちほど、本城氏が推進した統一や標準化には猛烈に反対したという。もちろんその理由は容易に想像がつく。
これは、セキュリティ担当者の単なる怠慢や、あるいは目先の利便性の低下を理由に現業部門がセキュリティ施策に非協力的になる話とはまったくもって次元が異なる。
では本城氏は、こうした高度な課題にどのように向き合い、いかにして解決へ導いたのか?
日本プルーフポイントからは、進行役として日本プルーフポイント株式会社 チーフエバンジェリスト 増田 幸美(そうた ゆきみ)氏 が登壇する。
増田氏はプレゼン巧者であり司会のスキルも高い。しかし、単に滑らかで分かりやすい司会進行をするだけではない。昨年秋の Security Days Fall 2024 では、AGC株式会社の IT 部門のえらい人を迎え、少なからずリスクのある試みに挑戦し見事成功させたことは先月記事に書いた。だから今回増田氏が一体どんな「強心臓」ぶりを見せるのか記者はむしろその点も楽しみである。
Security Days Spring 2025
3.11(火) 11:20-12:00 | RoomA
攻撃手法はクラウドアカウントの乗っ取りへ
NTTデータCISO本城氏と考えるメール脅威から組織を守る方法
株式会社 NTT データグループ
グローバルイノベーション本部デジタルビジネス推進部長
本城 啓史 氏
日本プルーフポイント株式会社
チーフエバンジェリスト
増田 幸美 氏
