メールは仕事やプライベートなど、日常的に多く使われています。しかし、メールにもセキュリティリスクは潜んでいるため、正しい使い方をするとともに、サーバーをセキュアにする対策なども重要です。そこで本記事では、メールに潜むセキュリティリスクと、メールサーバーのセキュリティを強化する技術について解説します。
メールサーバーの仕組み
日々、何気なく使っているメールにも、実はさまざまな技術が用いられています。例えば送信に関しては、「SMTP(Simple Mail Transfer Protocol)」と呼ばれるプロトコルに従い、IPアドレスを照合して正しい宛先であると確認してから、受信側のサーバーへメールが送られます。これに対して受信時に従うプロトコルは、「POP(Post Office Protocol)」や「IMAP4(Internet Message Access Protocol Version 4)」と呼ばれるものです。
受信に関するPOPとIMAP4の2つのプロトロルはそれぞれ性質が異なるため、上手く使い分けることが大事です。POPでは、受信したメールすべてがパソコンにダウンロードされるため、その後はローカル環境でも情報を確認できます。
IMAP4では、受信メールはメールサーバー上に保管されており、フォルダの振り分けやメール検索などもサーバー上で行われます。そのうえで、必要なメールだけがダウンロードされる仕組みです。ローカルではない反面、複数のデバイスからも利用しやすいという特徴を持ちます。
メールに潜むセキュリティリスク
今や企業に欠かせない連絡手段の1つとなったメールですが、その実さまざまなセキュリティリスクも孕んでいます。具体的にどのようなリスクがあるのか、社内に原因があるケースと、外部からの攻撃に起因するケースとに分けて見ていきましょう。
内部セキュリティリスク
内部の者により発生し得るリスクとしては、主に「メールの誤送信」や「セキュリティに関するリテラシー不足」などが挙げられるでしょう。特に誤送信に関しては、さらに宛先の入力ミスや設定ミスなどに分けられます。
例えば、宛先となるメールアドレスに入力ミスがあった場合、通常は誰にも届かなくなります。似たアドレスを持つ誰かに届く可能性は低いと言えるでしょう。
しかし、規則性がある場合や、氏名を用いたときのように文字列に意味が持たされている場合には、少しの打ち間違いで別の誰かに届く可能性は高くなります。企業が非常に重要な情報を扱っている場合、情報流出による危険の度合いが相当に大きいため、このようなちょっとしたミスも未然に防がなくてはなりません。
より現実的に発生しやすいミスとしては、BCCやCCなどの設定ミスがあります。これにより、送ってはいけない相手に、重要な情報を自ら流してしまうケースが考えられます。メールの場合、一度送信した内容を送信者側からは取り消せないため、扱いにはくれぐれも慎重にならなくてはなりません。
また、メールの扱い方とも共通しますが、セキュリティに関するリテラシー不足や認識の甘さも、リスクを招く可能性を秘めています。そこでガイドラインを設け、その内容を周知するよう努めることが大切です。どのような行為にどのような危険が伴い、そしてその危険によりどれほどの損失が生じてしまうかなど、リテラシーの欠如がもたらす危険性を実感できるよう具体的に伝えましょう。
外部セキュリティリスク
外部由来のリスクは、内部由来のものに比べて防ぐことが困難です。自らのコントロール下にないため、いつ発生するかもわかりませんし、どのような危険が生じるのかといった予測も難しいでしょう。
そこで、マルウェアの感染やフィッシングメール、標的型攻撃メール、盗聴・改ざんといった代表的な攻撃への予防策を打ちつつ、事後対応も迅速にできるような体制を整えておく必要があります。ちなみに「マルウェア」とは悪意あるソフトウェアの総称で、標的型攻撃メールやフィッシングメールに添付されているケースが大半です。そのため、問題のないメールかどうかを適切に判断し、怪しいメールに関してはファイルを開かないよう注意しましょう。
送られてきたものがフィッシングメールであれば、比較的容易にその判別が可能です。しかし標的型だと、簡単には判別できない可能性が高くなります。なぜなら、標的型は特定のターゲットを狙い撃ちする攻撃であり、巧妙に作られていることが多いからです。ターゲットのことを事前に調べたうえ、自然な文面のメールが送信されることが多いため、騙されやすいのです。そのため、一見すると自然に思えるメールであっても、安易にURLをクリックしたり、ファイルを開いたりする行為は避けるべきでしょう。
メールの盗聴や改ざんに関しては、セキュアなメールシステムを用いることが欠かせません。上記のように、受信者が自力では対処しきれないケースも多いからです。送信経路にて情報が読み取れないように対策し、送信者を識別し、証明する仕組みを構築しなければなりません。
メールにおけるセキュリティ技術
メールがさまざまなリスクを抱えていることは事実ですが、セキュアな技術を活用することで、その危険性を最小限に抑えられます。以下では、メールにおけるセキュリティ技術をいくつか紹介します。
S/MIME
代表的な技術の1つが「S/MIME(Secure / Multipurpose Internet Mail Extensions)」です。簡単にいうと、メールのセキュリティを強化するために、暗号化・電子署名を活用する技術のことです。第三者機関である認証局が発行する電子証明書を用い、メールの内容を暗号化したり、電子署名を付与したりして、安全な利用環境を構築できます。これにより盗聴を防げるほか、なりすましの防止や改ざん対策にも役立ちます。
なおS/MIMEでは、送信者および受信者の双方が、この技術に対応したシステムを使用していなければなりません。そのため、双方示し合わせたうえでセキュアなメールソフトを導入することが大事です。
DKIM
「DKIM(DomainKeys Identified Mail)」とは、送信ドメイン認証技術のことです。正しい発行元から送信されていること、内容が改ざんされていないことを証明する役割を担います。そのため、送信メールの信頼度を上げられ、相手方で当該メールが迷惑メールとして処理されにくくなります。
なお、署名の方法には「第三者署名」と「作成者署名」の2パターンがあります。前者ではメール作成者ではないドメインで署名をし、後者ではメール作成者のドメインで署名が行われます。
SMTPS
「SMTPS(SMTP over SSL)」は、送信時のプロトコルに暗号化技術を組み合わせたものです。通常のSMTPでは平文のまま送られてしまうため、これが盗聴されないように暗号化を施します。ただし、これだけでは相手方が受信する際、平文でデータが流れてしまうという問題も抱えています。
セキュアで働きやすい環境へと導く「HENNGE One」
前述のセキュリティ技術を利用することで外部セキュリティリスクには対応することができますが、一方で内部セキュリティリスクへの対応も必要となります。
そこでおすすめしたいのが「HENNGE One」です。
HENNGE Oneは事前指定したフィルタリング設定に基づいて一時保留、上長承認、削除などの誤送信対策処理を行うことができます。企業がメールを扱う場合、セキュアなメールシステムの活用が欠かせません。そして、そのためにはMicrosoft 365やGoogle Workspaceといった、実績あるものを利用することが有効です。HENNGE Oneは、これらのクラウドメールサービスと綿密に連携できるため、併せて導入するセキュリティ対策として最適なソリューションと言えます。
まとめ
近年では攻撃手法も巧妙化しており、完全にリスクをなくすことは困難になりつつあります。そこで、ゼロトラストの考え方のもと、体制を整えることが大事です。ゼロトラストでは、あらゆるアクセスに対し危険が潜んでいるものと見なし、信頼しないことを前提に考えます。
クラウドサービスも活用されるようになり、社外から複数のデバイスでアクセスする機会も多くなっている昨今では、このゼロトラストの考え方に基づき、利用者の正当性およびデバイスの正当性を確保することが欠かせません。「HENNGE One」であれば、クラウドサービス向けのID認証機能やアクセス制御機能、シングルサインオンといったサービスが提供されているため、ゼロトラストを実現するためにも効果的と言えるでしょう。
