CipherCraft/Mail
メール暗号化の必要性を解説|仕組みや送受信時のリスク対策も
メールはビジネスにおいてなくてはならない存在ですが、一方で盗聴やなりすまし、誤送信などによって情報漏えいにつながるリスクも孕んでいます。これらを防止するために重要なのがメール暗号化です。
目次
企業でメール暗号化が必要な理由
企業でメール暗号化が必要とされている理由は、メール経由の情報漏えいインシデントが増加しており、事業に影響を与えるリスクが高まっているからです。
日本ネットワークセキュリティ協会の「2018年情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの三大原因は紛失・置き忘れ、誤操作、不正アクセスとなっています。また媒体・経路別に見ると、2014年以降電子メールからの情報漏えいの比率が増加しています。従業員のうっかりミスによって宛先や添付ファイルの誤送信が起きたり、第三者の不正アクセスによってメールの内容が盗聴・改ざんされたりするリスクが高まっています。
情報漏えいのほかにも、取引先になりすまして入金を促す「ビジネスメール詐欺」など、企業をターゲットにした新手の詐欺も増えており対策が必要です。
メール送受信の仕組みとリスク
メールは送信ボタンを押せば一瞬で届くように見えますが、相手が受信するまでに複数のサーバを経由しており、意外と複雑な仕組みになっています。メールに潜むリスクを理解するために、まずはメール送受信の仕組みを知っておきましょう。
メール送受信の仕組み
メールの送受信には、メールを送信する「SMTPサーバ」、メールアドレスからIPアドレスを割り出す「DNSサーバ」、メールを受信する「POP/IMAPサーバ」が使われます。
1.送信側のSMTPサーバにメールを送信
ユーザがメーラー(メールソフト)上でメールを作成し送信ボタンを押すと、まずは送信側である自社のSMTPサーバにメールが送られます。
2.DNSサーバにIPアドレスを照会
DNSサーバに宛先のIPアドレスを照会します。DNSサーバはメールアドレスのドメインをもとに受信側のIPアドレスを割り出します。
3.受信側のSMTPサーバにメールを送信
2.で照会したIPアドレスを持つSMTPサーバへメールを送信します。
4.POP/IMAPサーバのメールボックスにメールを格納
受信側のSMTPサーバがメールを受け取ると、POPサーバ(またはIMAPサーバ)のメールボックスにメールを格納します。このメールボックスは各メールアドレスに一つずつ割り当てられています。
5.メールボックスからメールを取得
受信側のメーラーがサーバにアクセスし、メールボックスに届いたメールを取得します。これでユーザがメールを閲覧できる状態になります。
メーラーがメールを取得する方法はPOPサーバとIMAPサーバで異なります。POPサーバを利用する場合は、受信したメールはPCなどのローカル環境にダウンロードされると、サーバ上から削除されます。一方でサーバ上にメールを保存してままにしておくIMAPサーバでは、メールを閲覧するたびにサーバにアクセスするため、スマートフォンやタブレットなど複数の端末からメールを閲覧することができます。
メール送受信時に潜むリスク
メール送受信時には、さまざまな情報漏えいリスクが潜んでいます。
通信内容の盗聴・改ざん
メーラー・サーバ間やサーバ同士で通信を行う際に、悪意のある第三者によって通信内容を盗聴・改ざんされるリスクがあります。添付ファイルを暗号化し、パスワードは別送するという方法を取っても、通信内容を盗聴されてしまうとパスワードまで筒抜けになってしまい、あまり意味をなさないと言えます。
なりすまし
自社のドメイン・アドレスが悪用され、犯罪行為の踏み台にされてしまうリスクがあります。アカウントやサーバを乗っ取ったり、差出人のアドレスを書き換えたりすることで、なりすましは簡単にできてしまいます。
近頃は第三者が取引先の担当者になりすまして、偽の口座にお金を振り込ませる「ビジネスメール詐欺」が増えています。メールのやり取りを盗聴し、商品の納品後のタイミングで詐欺メールを送信する手口がよく使われ、本物のメールと信じてしまうケースも多く見られます。
誤送信
ヒューマンエラーによる誤送信のリスクもあります。宛先のメールアドレスや添付ファイルを間違える、一斉送信時にメールアドレスをBcc欄ではなくTo欄やCc欄に入力するといったミスは、いつ起きてもおかしくありません。
メール送受信の安全性を高めるには
メール送受信の安全性を高めるために有効な対策を紹介します。
通信内容の暗号化
SSL/TSL通信によって通信内容を暗号化することで、盗聴を防止することができます。SSLに対応したメーラーを利用しましょう。ただし、この対策は受信側と送信側の双方が実施する必要があります。メールをやり取りする相手がSSLを利用していないと、相手側のサーバとメーラーの間の通信内容が暗号化されないため、盗聴される可能性があります。
送信ドメインの認証
送信ドメインの認証によって差出人の身元を証明し、なりすましを防止することができます。送信ドメイン認証には、IPアドレスによってなりすましメールを判別するSPF、電子署名を付与することでなりすましや改ざんを検知するDKIM、SPFやDKIMで認証が失敗した場合のメールの処理方法を指示するDMARCの3種類があります。日本国内ではGmailなどにも採用されているSPFが最も普及しています。
暗号化通信とドメイン認証の組み合わせ
メールの暗号化と電子署名によるドメイン認証を組み合わせたS/MIMEを利用することで、盗聴や改ざん、なりすましを防止することができます。GmailやOutlookなどがS/MIMEに対応しています。
添付ファイルの暗号化
添付ファイルを暗号化することで、誤送信による情報漏えいリスクを抑えることができます。万が一誤ってファイルを送信してしまっても、パスワードを送信する前に気づけば情報漏えいを防ぐことができます。効果を高めるには、パスワードをメール以外の方法で共有する、送信側・受信側でパスワードを予め決めておくなどの二重、三重の工夫が必要です。
手軽に安全性を高めるなら専用ソフトの利用も
手軽にメールの安全性を高めるには、メール誤送信防止・自動暗号化ソフト「CipherCraft/Mail」を利用するのが有効です。上記で紹介した対策方法は、専門知識が求められたり、ファイルを送るたびに暗号化しなければならなかったりと、非常に手間がかかります。メールは頻繁に利用するものだからこそ、誰もが手軽に実施できる安全対策が必要です。
「CipherCraft/Mail」を使えば、S/MIMEの付与や添付ファイルの暗号化を自動で行うことができ、安全と効率を両立できます。さらに上長承認機能や一時保留機能なども搭載しており、誤送信の防止に役立ちます。