![エンタープライズIT [COLUMNS]](https://ent.iij.ad.jp/wp-content/uploads/2019/06/logo.png){kind=logo}
メールセキュリティ、いま取り組むべき最新の技術 ~SPF/DKIM/DMARC/DANEの概要と活用
いまの時代だからこそ取り組むべき、メールセキュリティ対策とは—
マカフィー株式会社主催の「2019 MPOWER Cybersecurity Summit」(2019年11月7日開催)に弊社櫻庭と三木が登壇しました。本セッションをもとに、メールセキュリティの最新技術とサービスを活用した対策についてご紹介します。
クラウドで実現するメールセキュリティ
サービスガイドブックを差し上げます
- メールセキュリティ
サービスガイドブック
(PDF:32ページ) - サービスの特長や詳細な機能など、導入へのヒントを掲載!
- メールセキュリティの
リスクを解決
(PDF:2ページ) - 巧妙化する脅威メールや誤送信による情報漏えいに備える !
なりすましメールやメール盗聴のリスク
近年でもメール攻撃による被害は継続しており、マルウェア感染による情報漏えいやランサムウェアによる暗号化など様々なリスクが存在します。特に直近ではビジネスメール詐欺の影響度が高まっています。これは実際のやりとりを盗み見て、取引先を詐称して振り込みなどに誘導する攻撃です。正常なやりとりが攻撃者に知られてしまう要因としては、メールが盗聴されているというリスクも影響しています。
こうした被害が拡大する中、なりすましメール対策としては送信ドメイン認証技術、メール盗み見対策としては暗号化が有効です。今回は、最新の技術を含めてその方法を紹介します。
送信ドメイン認証によるなりすましメール対策
送信ドメイン認証の代表的な技術として、「SPF」と「DKIM」が挙げられます。「SPF」は送信元のIPアドレスで、「DKIM」は電子署名を用いてメールの正当性を確認するものです。しかし、メール転送やメーリングリストを経由した場合に認証が失敗し、適切に判断ができない問題があり、これらの結果を組み合わせて判断する技術としてDMARCが注目されています。
DMARCの目的は、受信者にとって分かりすいヘッダFromが詐称されていないか判断することです。SPFはエンベロープFromで認証、DKIMはヘッダFromで認証するため、DMARCではそれぞれのドメインの一致を検証するのです。加えて、メール送信側が認証に失敗した場合の振る舞い(例えば拒否するなど)をポリシーとして指定できる点や、認証結果を送信側にレポートする機能が特長として挙げられます。
経路暗号化によるメール盗み見対策
一方、メールの盗み見対策としては暗号化が挙げられます。一般的に利用されている STARTTLSの場合、相手(受信)側が対応していなければ、暗号化されずに平文で送られてしまいます。こうした仕組みのため、攻撃者が中間地点にSTARTTLSに対応していないメールサーバを用意していると、中身を読み取られてしまうリスクもあります。
解決策としてDANEと呼ばれる技術があります。メールで利用するドメイン名に対してDNS上に公開鍵情報を設置し、更にDNSのセキュリティとしてDNSSECを必須とすることで、メールの配送路の暗号化をより安全に導入できます。更に、メール配送時の暗号化のポリシーを示すMTA-STSと暗号化の適用状況をレポートするTLSRPTという技術があります。こうした技術を導入することで、メールの中身を守っていくことができるようになります。
最新の対策実現に有効な「サービス活用」
メールにおける対策は送信側・受信側双方での対応が必要になります。受信側で適切に認証ができない場合はメールを受け取らないという動きも進んでおり、メールを送るためには認証対応が必要な時代も見えています。新たな技術をキャッチアップし適切に運用することが求められますが、自社ですべてを行うのはなかなか難しいでしょう。こうした対策を効率的に実現するために「サービス」を活用するのも有効な手段となります。
IIJでは「日本の企業のメールをセキュアにしたい」という思いから開発した「IIJセキュアMXサービス」を2006年より提供しています。脅威メール対策だけでなく、誤送信対策やアーカイブ、メールボックスのアウトソースまで、国内企業に求められるメールセキュリティをワンストップで実現できます。毎年のように機能拡張を行っており、サービスを利用するだけで最新の技術や対策を実現できる点が、サービス活用のメリットです。
IIJセキュアMXサービスでは、14種類のフィルタを実装しており、上述した送信ドメイン認証の結果に応じたフィルタやDMARCチェックフィルタ、DMARCレポートの可視化などにも対応しています。
攻撃が日々巧妙化する中で、対策技術も日々進化し、新たな技術が生まれています。こうした対応をサービスに「任せる」というのも、対策範囲が拡がる現在では有効な選択肢となってくるでしょう。
クラウドで実現するメールセキュリティ
サービスガイドブックを差し上げます
- メールセキュリティ
サービスガイドブック
(PDF:32ページ) - サービスの特長や詳細な機能など、導入へのヒントを掲載!
