メールアカウントの保護に強力なパスワードを設定することが有効なのは間違いない。しかし、パスワード以外にも実は有効な対策がさまざま存在することをご存知だろうか。今回の記事では具体的な対策と選択基準について紹介していくことにする。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
今やメールというツールは、日常生活の必需品とすらいえる。一方で、アカウントへのアクセスについて、パスワード入力以外のセキュリティ対策をおこなっていない人が大半ではないだろうか。大切なアカウントを守るためにはどのような対策が考えられるのだろう。そして、その選択基準はどうすべきだろうか。
メールアカウントのセキュリティ対策とは?
最初に、この記事において「メールセキュリティ」というキーワードはメールアカウントのみではなく、メールのメッセージ本文についても対策が必要であるという前提に立っていることに注意したい。メールセキュリティの対策として、アカウントへのアクセスを認証する以外にも次のような方法がある。
(1)メッセージの内容が正しいものであるかを確認し、セキュリティ対策を講じる
(2)メールの送信者が本人であるかを確認する
(3)メール送信者のアクセス許可を管理する
(4)メールアプリ自体の安全性をより強固にする
自分自身がメールアカウントの管理者である場合とほかの人が自分のアカウントを管理する場合とでは当然ながら対策は異なる。また、直面する脅威に応じて設定するオプションは変わってくるものの、基本となる対策に追加の対策を講じることで、効果的な対策が見込めるはずだ。
メッセージ内容の保護
ハガキが郵送中に誰かに読まれてしまうこともあるように、メールでの送信でも通信の間に本文を盗み見られてしまう可能性があることは多くの人が理解していないように思う。この点に関して対策はさまざま存在する。一例では、メールのメッセージ本文を「封筒に入れてしまう」という方法が挙げられる。これならば、送付後に受信側がメッセージ本文を確認するまでの間に、悪意ある者に盗み見されたかどうかをチェックできる。これは「トランスポートレベル」のセキュリティ対策として、通信の間におけるメッセージ本文を保護することに威力を発揮する方法といえるだろう。
そのほかにも、「エンドツーエンド」でメッセージを保護する対策もある。メッセージを送信元で、まず暗号化したうえで送信し、受信者が暗号化を解読して本文を確認するという流れだ。この方法の場合、通信の間に仮に悪意ある者が傍受したとしても暗号化されているので、解読用の鍵がなければ本文を見ることはできない。
一般的に、管理者は「トランスポートレベル」でのセキュリティ対策を導入していることが多い。それは、ユーザーにとって一番シンプルで、なおかつ直接的なやりとりが不要なためである。「エンドツーエンド」で対策を講じるのならば、この手順を簡素化するために利用する技術を選んだうえで、暗号化が必要なケースを整理した利用ポリシーを定めておくことをおすすめしたい。
有効で適切な内容を確保
受信トレイに届けられる、スパムメール、詐欺メール、フィッシングメール、マルウェアメールなど迷惑メールの数々はユーザーにとって頭の痛い問題である。多くの企業や組織、そしてメールのサービスプロバイダーでは、迷惑メールのフィルタリングをおこなっているが、ユーザー自身がどこまで許容するかにより対策は異なってくる。
ほとんどのメールサービスプロバイダーでは、既知のスパムメール、フィッシングメール、マルウェアメールについてはブラックリストを作成してユーザーの手元に迷惑メールが届かぬよう、対策している。しかし、企業ではより強固な対策が講じられてしかるべきだろう。例えば、添付のファイル形式で制限をかけるような方法もある。一般的なファイル形式で、ホワイトリストに登録されているもののみを許可し、それ以外のファイルを添付するメールについてはフィルタリングするといったようにである。
さらには、一般的でよく利用されているファイル形式であっても安全であることが確約されているわけではないことに注意したい。自動実行するマクロや危険なスクリプトなどがファイル内に埋め込まれているようなケースもあり、完全に信用することは避けるべきだろう。少し観点をずらし、潜在的なリスクではなく、ワークフローへのリスクや影響度合いという観点から考えてみてほしい。ドキュメント、スプレッドシート、プレゼンテーションなどのファイルをメールで送信することはよくあるだろうが、「.exe」などの実行ファイル形式のものをメールで送受信するというのはあまり一般的ではないのではないだろうか。とすれば、このファイル形式を添付して送信されてきたメールは危険性があると判断して削除することができる。
メールにマルウェアや会社の機密情報が含まれていないかをスキャンしたうえで送信するというプロセスを設けているケースもある。多くの企業において、支払明細やIDカード情報、医療情報、会社の機密情報といった機密性の高いファイルや情報を管理しており、それらがメールに含まれているかどうかを確認するのは望ましい対策だといえる。そして、ゲートウェイのマルウェア対策スキャンを「パラノイド (最高のセキュリティ) 」レベルに設定することで、メール内のファイルを低速でスキャンすることにより、ファイルの見落としや破壊といった事態も防止することができる。
メールへのアクセス許可と認証
詐欺をおこなう者はあの手この手でなりすましメールを送りつけてくる。解決方法はあるものの、一般的にはまだまだ普及していない。しかし、送信ドメイン認証のような方法を使うことで、メール本文の認証、ドメイン元が許可しているユーザーアカウントであるかどうか、メールヘッダーに偽りがないかどうかも検証することができる。
これらの認証と認証技術は通常では導入されていないことがほとんどである。そのため、多くの企業にとって、これらの方法を採用することでブランド保護やビジネスメール詐欺(BEC)の予防に寄与するといった事例があることを認識してほしいところだ。さらには裁判証拠として、適切に認証できなかったメールを記録することもできる。
また、メールの認証とアカウントへのアクセスは、適切な管理の一環として考えるべきである。例えば、現在使用されていないアカウント (会社を退職した従業員が以前使用していたものなど) は速やかに削除 (または少なくとも、そのパスワードを変更) すべきといえる。
アカウントの保護
一般的なメールセキュリティ対策であるため、メールアカウントの認証のことを知っているユーザーは多い。先述のとおり、そのほかのメールセキュリティ対策のいくつかは、ログイン認証情報が盗まれた場合に次々と引き起こされるであろう厄介な問題を軽減することができる。加えて、多要素認証を利用することでセキュリティレベルがさらに向上し、安心してメールアカウントにアクセスできるようになる。
ユーザー名とパスワードは自分の身元を証明するひとつの「要素」であるが、多要素認証ではこれらの認証情報だけでなく、ほかの方法も組み合わせて認証をおこなうことになる。最も一般的な方法としては、ワンタイムパスワードが挙げられる。これは多くの場合、ユーザー名とパスワードを間違いなく入力した後に、入力用のコードがメールやSMSで送られるか、アプリやドングル*1で生成される。多要素認証は、ユーザーのニーズとリスクに応じて、メールアプリのログインプロセスかネットワークのログインプロセスのいずれかと直接関連している。
*1 パソコンなどに装着する小さなハードウェア。この場合、認証用として利用される小端末のこと。
ソフトウェアの保護
最後に、現在使用しているソフトウェアを定期的にアップデートしてメールを保護することが重要であることもお伝えしておきたい。OSやアプリ、メールアクセスのために使用しているブラウザーも含まれる。アップデートによって脆弱性を改善できるため、悪意ある者からのアカウントへのアクセスを防止することができるだろう。ソフトウェアやOSの自動アップデート機能を利用するか、ベンダーのウェブサイトから直接ダウンロードすることをおすすめする。
ワークフローに則った「使いやすい仕組み」を
メールやコンピューターのセキュリティ対策として選択する方法は、従業員が容易に使用可能で使いたいと思えるものであることが重要である。つまりは従業員のワークフローに従うこと、自動的にアップデートされ、使いやすい対策を選択すること、さらには保護するための設定方法とそのタイミングについて適切に指導することが求められているといえるだろう。