置き去りにされるメールセキュリティ(5)

　筆者はつねづね不思議に思っているのであるが、メールほどセキュリティがおろそかにされているものはない。

　盗聴、なりすまし、フィッシング、スパム、ウイルス、スパイウェア、架空請求にはじまり、誤配信による情報漏えいなどなど、様々な危険があるにもかかわらず、あまり改善されている気配がしないのである。

　メールはWebと並んで最も利用が多く、また最も攻撃を受けやすいサービスである。しかし、WebのセキュリティがSSLやらアンチフィッシングやら、色々と進化しているのに比べて、驚くほど進化していない。いや、正確にいうと技術的には、すでに用意されているのに使われていないのである。

　ここでちょっとメール関連のセキュリティについて、整理してみようと思う。第1回目では、メールにかかわるセキュリティ上のリスクについて、第2回目以降は、その対策について見てきた。今回は、メールを発信する企業側のセキュリティ対策について見てみよう。

　本質的にたった2つの原則を実現しさえすれば、ほとんどのメールのセキュリティ問題は解決可能のはずだと思っている。そして、その原則を実現するのは、誰もが知っているあの技術である。

3.メールを発信する企業の側でのセキュリティ対策
3-1 メールセキュリティの向上には、送信側の対応が重要

　こうして見てくると、メールセキュリティ対策には、メールを送信する側、特に不特定多数の顧客に対して送信する企業側の対策が不可欠だということがわかってくる。受信側でできることには限界があるし、そもそも仕組みとして送信側で行った方が効率的、効果的なのものが多い。WebでのSSLを考えると、わかりやすいと思う。WebでSSLが採用されていない場合、クライアント側が暗号化をなんらかの方法で実施し、サイトの信用性を確認するのはえらく大変そうである。というか、それってできるのか？

　メールの世界では、いまでも普通にクライアント側に、こうした努力を押しつけることがまかり通っている。

　送信側の対策を考えた時、少なくとも下記のポイントをクリアしないといけないと筆者は考える。

・スパムやフィッシングと明確に区分できるよう発信元が確認できるメールを送信する
　具体的には、S/MIMEの採用がいいんじゃないかと筆者は思う。

・送信内容を盗聴されないよう暗号化などの措置を行う
　S/MIMEもしくはSSLということになると思う。

・誤送信を防止する仕組みをもつ
　BCCはもっての他であるが、キーワードや添付ファイルなどのチェック機能がどこかにあれば、なおよいと思う。

3-2 メール配信システムやメールゲートウェイの導入が効果的、効率的

　上記の条件を満たすような対策を考えると、定常的に大量のメール配信（メールマガジン、お知らせ、DMなど）を行っている企業の場合、統合的な機能をもつメール配信システムもしくは自前の配信システムに統合的なメールゲートウェイを設置することがよいのではないかと思う。送信するメールの頻度や量によっては、統合的なメール配信ASPでもよいと思う。少なくともこれでメールを受信するクライアント側はだいぶ安全になると思う。

　「統合的な」というのは、上記の3つのポイントを同時にクリアできるひとつのソリューションという意味である。最近の多くのメール配信システム、メールゲートウェイ製品やメール配信ASPは、進化してスパムフィルタ、S/MIME対応、キーワードのチェックなどを盛り込んだ統合製品になってきている。

　こうした製品を活用することは、メールを発信する企業にとってかなり有用になると思われる。

　さらに、企業内の個々人のメールの安全性を確保するためには、メールゲートウェイによるS/MIMEやキーワードチェックへの対応もしておくとよいと思う。

　メール送受信の量によってコストは違ってくるが、おそらく一番安価な対応は、統合的なメール配信ASPで大量のメール配信を行い、個別のメールのために統合的なメールゲートウェイ製品を導入するという組合せではないだろうか。

　また、大量のメールを定常的に送信するわけではない企業の場合は、メールゲートウェイの設置だけですむことも多いと思う。

4.メールを受信する側のセキュリティ対策

　メールを受信する側でできる対策で効果的なものは、アンチウイルスやスパムフィルタの導入など、受け身（受信する側なんだから当たり前だが）に限られてしまう。

　フィッシングとか、盗聴とかに対抗するには、送信側の対応が不可欠になってきてしまうのである。なので、対策としては、これらに積極的に対応しているサービスを選ぶというくらいになってしまう。

　これまで多くのプロバイダやECサイトなどが、怠慢に多くのメールセキュリティ対策を怠ってきたのは、そんなことをしないでも利用者は集まってくるという背景が少なからずあったと思う。それを変えるためには、受け身であるが、ちゃんとメールセキュリティ対策を講じている企業を選ぶしかない。

　というのは、一見、もっともそうに見えるが、実際には既述のように大手プロバイダやECサイトの多くは、裏でカルテルでもあるんじゃないかと思うくらいに対応していない。対応しているところを選びたくてもほとんどないという現状においては、他の保身策も合わせて考える必要がある…

【執筆：Prisoner Langley】

【関連記事】
置き去りにされるメールセキュリティ(1)
https://www.netsecurity.ne.jp/3_12604.html
置き去りにされるメールセキュリティ(2)
https://www.netsecurity.ne.jp/3_12639.html
置き去りにされるメールセキュリティ(3)
https://www.netsecurity.ne.jp/3_12665.html
置き去りにされるメールセキュリティ(4)
https://www.netsecurity.ne.jp/3_12696.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw