組織が安全にメッセージを送受信できるようにするためのベストプラクティス

毎日何通のメールを受信していますか？送受信しているメールが安全であることをどのようにして確認しますか？従業員のメールが安全であることをどのようにして知っていますか。特に、従業員がリモートで作業していて、自宅や未知の場所からメールを送信している場合はどうですか？

さらに、ユーザーは、Eメールが実際に組織からのものであることをどのようにして知るのでしょうか。ハッカーが組織からのEメールであるように装ったフィッシングメールを送ることで、企業は毎年数百万ドルの対策費用がかかるだけでなく、企業とその顧客との間の信頼が損なわれます。安全なEメール利用による信頼の構築は、情報の安全とプライバシーを確保するために重要です。

侵害されたEメール攻撃と戦うために、いくつかのプロトコルが作成されました。これらを他のベストプラクティスと組み合わせると、組織がリモートの従業員のEメールを保護するのに役立ちます。攻撃者が現在のグローバルな危機を利用するためにEメールやメッセージを偽装しているため、これは特に重要です。たとえば、一部のマルウェアは、ジョンホプキンス大学の地図のEメール添付ファイルになりすますことで3月に拡散しました。

1.　S/MIME（Secure/Multipurpose インターネット メールエクステンション ）プロトコルを使用する

S/MIMEは、デジタル署名または暗号化されたメッセージを送信するための方法です。EメールでS/MIMEを使用すると、受信者は受信トレイのメッセージが送信者が送信した状態で改竄されていないことを確認できます。また、送信者のIDも検証するので、受信者はメッセージが実際の送信者から送信されたものであり、悪意を持ったハッカーが送ったものではないことを確認できます。したがって、S/MIMEは認証、メッセージの完全性、プライバシー、データセキュリティを提供します。

組織内では、電子証明書をユーザーに配布するか、サードパーティのプラットフォームを利用してEメールメッセージにセキュリティを実施することにより、IT部門がS/MIMEを設定する責任があります。

企業ユーザーではない場合、S/MIMEを有効にするには、認証局からデジタル証明書を取得する必要があります。そして、指示に従って、その証明書をEメールクライアント（Outlookなど）にインストールする必要があります。

S/MIMEを設定したら、デジタル署名されたEメールを受信者と初回やり取りします。それにより、以降は暗号化されたEメールを送受信できるようになります。

Google Gmailは、以下のサポート記事で説明される通り、いくつかの異なる安全なメール方法をサポートしています：Gmailヘルプ（英語サイト）次に、Gmailの受信トレイでの安全なメールの例を示します。

これはS/MIMEで得られるようなエンドツーエンドの暗号化ではなく、Eメールサーバー間でのみメッセージが暗号化されることに注意してください。

メールに暗号化機能がない場合は、「暗号化なし」と表示されます。

2.　DMARC認定に取り組む

DMARC（ Domain-based Message Authentication, Reporting and Conformance）は他の人が企業ドメインに成りすましてEメールを送信することを防止します。たとえば、PayPalのような組織がDMARCを設定している場合、不正なユーザーはPayPalドメインを偽装したメールを送信できません。これは、受信メールプロバイダーが不正なアカウントからのメッセージを隔離または拒否するためです。したがって、認証されたメッセージのみがEメールユーザーの受信トレイに送信ます。

組織でこのプロトコルを使用すると、ドメインから未承認のメールが送信された際に警告を設定することもできるため、可視性を高め、疑わしいアクティビティを監視できます。

DMARCの実装では、組織に代わってメッセージを送信することを許可されたすべてのドメイン送信者をリスト化し、ホワイトリストに登録する必要があります。企業外のEメール送信業務へのアウトソーシングの場合は、このプロセスがより複雑になる可能性がありますが、ただそれでも実行は可能です。

DMARCポリシーは、なし（none）、隔離(quarantine)、拒否(reject)の3つの手段から選択できます。組織は最初にDMARCレコードを作成する際に、policy = none (p=none)を設定します。ただ、これではいかなる強制にもなりません。ポリシーを隔離（p=quarantine）または拒否（p=reject）に設定すると、DMARCの利点が得られます。2018年には、アメリカ合衆国国土安全保障省が国土の米国務省セキュリティ が、すべて米国政府所有のドメインに対してDMARCを実装するよう指令（https://cyber.dhs.gov/bod/18-01/を参照）を出しました。そのため、記録的な速さで、政府ドメインはDMARCを実装しました。企業は、DMARC認証と実装に向けて取り組み、企業ブランドが偽装メッセージに利用されるのを防ぐ必要があります。

3.　従業員にVPNを使用させる

仮想プライベートネットワーク（VPN）は、サーバーを通過するトラフィックを暗号化することにより、Eメールにセキュリティとプライバシーのレイヤーを追加します。そのため、ハッカーによる傍受がより困難になります。VPNへの認証に電子証明書を利用すると、機密性の高い通信に追加のセキュリティ層が提供されます。

4.　BIMIに期待する

メッセージ識別用ブランドインジケーター（BIMI）は、メールプロバイダに対してブランド管理を実現し、検証済みのロゴを利用可能にするEメールの仕様です。この新しい標準は、DMARCで検証されたEメールメッセージにブランドロゴを表示する方法で提供され、DMARC認証の上に構築されます。ロゴは、VM（Verified Mark、認証マーク）証明書を発行する認証局により認証されます。パイロットは第2四半期に予定されており、一般企業への提供は今年後半に予定されています。最初の認証マーク証明書は、DigiCertにより2019年10月にCNNに対して発行されました。

5.メール管理のベストプラクティスを認識する

優れたセキュリティツールの実装に加えて、特にリモートで作業していて管理者がメッセージを直接認証できない場合には、各従業員がメールを安全に利用させることも重要です。

組織が、企業全体のEメールポリシーをまだ定めていない場合は、実装し適用することも大事です。たとえば、元従業員のEメールアカウントを閉じて、アクセスできないようにし、現在の従業員に転送できないようにします。従業員がセキュリティの習慣を実践できるように支援することは、セキュリティプロトコルを実装することと同じくらい重要であるため、従業員にセキュリティ意識向上トレーニングを提供することも検討してください。巧妙なメールで従業員の意識をテストして、疑わしいリンクをクリックするかどうかを定期的に試すことは、適切なメールの衛生を確保するための良い方法です。

つまり、特に自宅や不明な場所からのメールの保護は、メールのコンテンツが第三者によって読み取られないことと、メッセージの完全性が損なわれていないことを保証するのに役立ちます。