置き去りにされるメールセキュリティ(5) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.11(月)

置き去りにされるメールセキュリティ(5)

特集 特集

 筆者はつねづね不思議に思っているのであるが、メールほどセキュリティがおろそかにされているものはない。

 盗聴、なりすまし、フィッシング、スパム、ウイルス、スパイウェア、架空請求にはじまり、誤配信による情報漏えいなどなど、様々な危険があるにもかかわらず、あまり改善されている気配がしないのである。

 メールはWebと並んで最も利用が多く、また最も攻撃を受けやすいサービスである。しかし、WebのセキュリティがSSLやらアンチフィッシングやら、色々と進化しているのに比べて、驚くほど進化していない。いや、正確にいうと技術的には、すでに用意されているのに使われていないのである。

 ここでちょっとメール関連のセキュリティについて、整理してみようと思う。第1回目では、メールにかかわるセキュリティ上のリスクについて、第2回目以降は、その対策について見てきた。今回は、メールを発信する企業側のセキュリティ対策について見てみよう。

 本質的にたった2つの原則を実現しさえすれば、ほとんどのメールのセキュリティ問題は解決可能のはずだと思っている。そして、その原則を実現するのは、誰もが知っているあの技術である。

3.メールを発信する企業の側でのセキュリティ対策
3-1 メールセキュリティの向上には、送信側の対応が重要

 こうして見てくると、メールセキュリティ対策には、メールを送信する側、特に不特定多数の顧客に対して送信する企業側の対策が不可欠だということがわかってくる。受信側でできることには限界があるし、そもそも仕組みとして送信側で行った方が効率的、効果的なのものが多い。WebでのSSLを考えると、わかりやすいと思う。WebでSSLが採用されていない場合、クライアント側が暗号化をなんらかの方法で実施し、サイトの信用性を確認するのはえらく大変そうである。というか、それってできるのか?

 メールの世界では、いまでも普通にクライアント側に、こうした努力を押しつけることがまかり通っている。

 送信側の対策を考えた時、少なくとも下記のポイントをクリアしないといけないと筆者は考える。

・スパムやフィッシングと明確に区分できるよう発信元が確認できるメールを送信する
 具体的には、S/MIMEの採用がいいんじゃないかと筆者は思う。

・送信内容を盗聴されないよう暗号化などの措置を行う
 S/MIMEもしくはSSLということになると思う。

・誤送信を防止する仕組みをもつ
 BCCはもっての他であるが、キーワードや添付ファイルなどのチェック機能がどこかにあれば、なおよいと思う。

3-2 メール配信システムやメールゲートウェイの導入が効果的、効率的

 上記の条件を満たすような対策を考えると、定常的に大量のメール配信(メールマガジン、お知らせ、DMなど)を行っている企業の場合、統合的な機能をもつメール配信システムもしくは自前の配信システムに統合的なメールゲートウェイを設置することがよいのではないかと思う。送信するメールの頻度や量によっては、統合的なメール配信ASPでもよいと思う。少なくともこれでメールを受信するクライアント側はだいぶ安全になると思う。

 「統合的な」というのは、上記の3つのポイントを同時にクリアできるひとつのソリューションという意味である。最近の多くのメール配信システム、メールゲートウェイ製品やメール配信ASPは、進化してスパムフィルタ、S/MIME対応、キーワードのチェックなどを盛り込んだ統合製品になってきている。

 こうした製品を活用することは、メールを発信する企業にとってかなり有用になると思われる。

 さらに、企業内の個々人のメールの安全性を確保するためには、メールゲートウェイによるS/MIMEやキーワードチェックへの対応もしておくとよいと思う。

 メール送受信の量によってコストは違ってくるが、おそらく一番安価な対応は、統合的なメール配信ASPで大量のメール配信を行い、個別のメールのために統合的なメールゲートウェイ製品を導入するという組合せではないだろうか。

 また、大量のメールを定常的に送信するわけではない企業の場合は、メールゲートウェイの設置だけですむことも多いと思う。

4.メールを受信する側のセキュリティ対策

 メールを受信する側でできる対策で効果的なものは、アンチウイルスやスパムフィルタの導入など、受け身(受信する側なんだから当たり前だが)に限られてしまう。

 フィッシングとか、盗聴とかに対抗するには、送信側の対応が不可欠になってきてしまうのである。なので、対策としては、これらに積極的に対応しているサービスを選ぶというくらいになってしまう。

 これまで多くのプロバイダやECサイトなどが、怠慢に多くのメールセキュリティ対策を怠ってきたのは、そんなことをしないでも利用者は集まってくるという背景が少なからずあったと思う。それを変えるためには、受け身であるが、ちゃんとメールセキュリティ対策を講じている企業を選ぶしかない。

 というのは、一見、もっともそうに見えるが、実際には既述のように大手プロバイダやECサイトの多くは、裏でカルテルでもあるんじゃないかと思うくらいに対応していない。対応しているところを選びたくてもほとんどないという現状においては、他の保身策も合わせて考える必要がある…


【執筆:Prisoner Langley】

【関連記事】
置き去りにされるメールセキュリティ(1)
https://www.netsecurity.ne.jp/3_12604.html
置き去りにされるメールセキュリティ(2)
https://www.netsecurity.ne.jp/3_12639.html
置き去りにされるメールセキュリティ(3)
https://www.netsecurity.ne.jp/3_12665.html
置き去りにされるメールセキュリティ(4)
https://www.netsecurity.ne.jp/3_12696.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×