メール配信のセキュリティリスク
メール配信のセキュリティリスクには外部・内部要因の2つがあります。
外部要因によるリスクは、メールがスパムメールに判定されたりブラックリストに登録されたりすることです。携帯キャリアの迷惑メール対策で送信拒否されると、ユーザーへのメール配信ができなくなります。ほかには、不正アクセスによる個人情報の漏えいがあります。
個人情報の漏えいは、内部要因のリスクとしても考えられるため注意しましょう。原因には人的ミスや社員による個人情報の持ち出しなどがありますが、前者によるものがほとんどです。メールの一斉送信時にユーザーのメールアドレスを公開したり、ユーザーリストを添付したりといったミスが起こっています。
【外部要因向け】メール配信のセキュリティ対策
外部要因に効果的なメール配信時のセキュリティ対策にはどのようなものがあるのでしょうか。2つの対策方法をそれぞれ見ていきましょう。
送信元アドレスの認証
詐欺やスパムメールによる被害の増加を受け、そういったメールを排除する迷惑メールフィルタのセキュリティレベルが強化されています。メールもフィルタにかかりやすくなり、ユーザーへ確実に配信するにはその正当性を示すことが大切です。
送信元のアドレス認証を行えば自社が配信した正当なメールだと証明できます。これにより第三者による「なりすまし」を防げ、スパムメールとして判定されにくくなります。
アドレス認証で利用される主な認証標準は以下の3つです。
SPFレコードの認証
Sender Policy Frameworkと呼ばれ、メールの送信元が利用する「なりすましメール」の誤判定を防ぐ送信ドメイン認証です。送信者はあらかじめDNS(IPアドレスとドメインの紐づけを行うシステム)サーバにメールの送信元を記しておき、ユーザーへその送信元を伝えます。
DKIM署名の設定
DomainKeys Identified Mailと呼ばれる電子署名を利用した送信ドメイン認証の1つです。まず、送信サーバ上で秘密鍵による電子署名を行います。受信サーバはDNSサーバへ問い合わせを行い公開鍵を取得、電子署名を照合します。この仕組みによりなりすましメールを防ぎ、メールの正当性を証明可能です。
なお、DKIM署名には「作成者署名」と「第三者署名」の2種類があり、前者はメール送信者のドメインを、後者はそれ以外のドメインを利用します。
DMARCの設定
Domain-based Message Authentication, Reporting and Conformanceの略で、送信ドメイン認証の1つです。SPFレコード認証とDKIM署名の両方、あるいはどちらかを使用していれば利用できます。DMARCでは送信者が以下のポリシーをあらかじめ設定可能です。
- 受信(none)
- なりすましメールも受信する
- 隔離(quarantine)
- なりすましメールは迷惑メールフォルダなどへ隔離する
- 受信拒否(reject)
- なりすましメールを受信しない
DMARCを設定すれば認証に失敗したメールを管理できるだけでなく、メール受信元のプロバイダからリアルタイムでレポートを受け取れます。さらに、第三者署名は許可していないので、認証をより強固なものにできます。
STARTTLSによる暗号化を施す
STARTTLSとはデータの送受信をSSL(Secure Sockets Layer)やTLS(Transport Layer Security)により暗号化する仕組みです。これによりハッキングや盗聴といった不正アクセスを防止できます。利用には送受信者両方によるSTARTTLSの設定が必要です。
STARTTLS非対応の送信者からのメールは、メールボックス上で暗号化されていない旨の「警告」が表示されます。
【内部要因向け】メール配信のセキュリティ対策
内部要因に効果的なメール配信時のセキュリティ対策にはどのようなものがあるのでしょうか。3つの対策方法をそれぞれ見ていきましょう。
アクセス権を制限する
メール運用の担当者が複数人いると、それだけ情報漏えいのリスクが高まります。配信リストを扱う担当者は最小限に留めましょう。メールの配信時に利用するログインID・パスワードは共有せず、担当者以外アクセスできない環境を構築してください。
また、ログインID・パスワードがわかれば社内以外でもメールを配信できますが、画面ののぞき見といったセキュリティリスクが高まります。社内以外ではメールを配信しないルールを設け、配信時のセキュリティ強化に努めてください。
再発防止のため操作履歴を残す
万全なセキュリティ対策を心がけても、人がメール配信をする以上ミスは防げません。しかし、発生原因を明確にして再発の防止に努めることはできます。
そこで、日頃から操作履歴のログを残し、ミス発生時のスムーズな解決を図りましょう。ログを取得しておけば原因がわかりやすく、オペレーションに問題がある場合など、改善策を講じやすいです。
ダブルチェックを心がける
メールの誤配信といった人的ミスは、人の手でそのリスクを軽減できます。
配信担当者以外によるチェック体制を構築することでミスの最小化につながります。メール配信前の宛先確認や原稿の見直しなど、担当者以外でダブルチェックを行いましょう。配信のルーチンワークにダブルチェックを取り入れ、仕組みを強制化すると良いです。
「Bcc」で配信すべきメールを誤って「To」にしてしまい、100件以上のメールアドレスが流出した企業では、ダブルチェック体制を導入して再発防止に取り組んでいます。
メール配信のセキュリティ対策を一括して行う方法
メール配信システムを利用すれば、外部・内部要因に対するセキュリティ対策を効率的に行えます。
「承認機能」が搭載されている製品では、ダブルチェックを行わないとメールを配信できません。配信・メール作成支援機能はメール配信の業務をシステム化でき、ミスの軽減につながります。また、メールの暗号化やログ管理、アクセス制限といったセキュリティ対策が充実した製品も販売されています。
自社が求める機能を搭載するメール配信システムを探してみてください。
メール配信システムを使ってセキュリティ対策を万全にしよう
メール配信のセキュリティリスクには外部・内部要因の2つがあります。外部・内部要因向けの対策方法は以下のとおりです。
- 外部要因向け
-
- ■送信元アドレスの認証
- ■STARTTLSによる暗号化
- 内部要因向け
-
- ■アクセスの制限
- ■操作ログの取得
- ■ダブルチェックの導入
メール配信システムを利用すれば以上の対策を一括して行え、セキュリティ対策に効率的に取り組めます。システムを導入し、万全なセキュリティを実現させましょう。
ログイン
新規会員登録
