メールセキュリティ[1分スピーチ]

標的型攻撃のウイルスメールによる不正アクセスで日本年金機構から個人情報の流出事件が報道された。
ビジネスの世界においてメールは今や切っても切り離せないほど中核的なコミュニケーションツールであるが、そのセキュリティについては正しく取り扱われていない事が多い。

ビジネスにおけるメールのやりとりについて、IPAやJPCERTなどでは暗号化を推奨しているし、よくビジネス講習のようなものでもメールの暗号化については触れられることがある。それが日本のビジネスシーンにおいてどれだけ的確に運用されているのかはよくわからない。

私は、学生時代に情報セキュリティアドミニストレータの勉強をしている際にメールの暗号化方としてPGPを学び、実際に鍵ペアを作成し公開鍵はパブリックキーサーバーに公開している。だが、これまで実際にこの鍵を使ってメールが届いたことはない。(そもそもPCメールでやりとりする相手がいないので仕方ないが。)

以前の会社で新人研修の講師を2日間受け持った際には、新人にメールの暗号化手法としてJPCERTが公開しているPGPでのメール暗号化を実践させ、メールの暗号化とディジタル署名によるメールの正当性のチェックを行う方法を教えたが、実際の業務でそれらを使用することはなかった。

メールの暗号化については、暗号化しなければならないような情報をそもそもメールで授受するなと言うもっともな意見があると思うが、ディジタル署名はもっと活用されるべきだと思う。
企業レベルで社内リソースからしか利用できない場所に秘密鍵を配置し公開鍵は外部へ公開する、その上でメールを送る際は企業ドメインのメールアドレスでディジタル署名を行ったメールのみを送信できるようなシステムがあれば、受信側はそのメールの正当性を検証でき、また常識的に考えれば企業内のネットワークから送られる以上ウイルスを含んでいることは考えにくいし、個人デバイスからの社内メール利用などは署名ができないため受け取った相手が不審であることを察知できる。またBYODを管理できるドメインであれば、企業内のガバナンスの効いたBYODで署名を行えるのでこれもウイルス感染などの可能性は低く、しかも利便性も損なわない。

IT系の企業であってもメールセキュリティの意識は低いと言える現状、システムが高いセキュリティを実現することが必要だと思う。
Webサイトの正当性はSSLで検証され、怪しいサイトはブラウザが警告してくれる。そういった仕組みがメーラーにも実装できるような基盤を整えることが必要かもしれない。


(1036文字)

Pocket

,

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)