61%の企業が改善必要 日本企業のメールセキュリティ対策の遅れが明らかに
株式会社デージーネット(本社:愛知県名古屋市、代表取締役:恒川 裕康)は、2017年1月~2018年12月に実施したメールサーバセキュリティ診断(以下:MSchecker)の統計結果をもとに、メールサーバの安全性について課題の傾向・考察をまとめた統計レポートを公表します。
■概要
MScheckerでの統計の結果、情報漏洩に繋がりかねない「メール通信の暗号化」の設定が40%以上もの企業で設定されていないことが分かりました。
また、「送信元ドメイン認証」の設定では、SPFチェック・DKIMチェックと合わせて80%以上の企業で対策が不十分であることが分かりました。
「送信元ドメイン認証」の設定をしていない場合、受信側のメールサーバがなりすましメールか否かの判定ができません。このため、受信側がセキュリティ対策の設定をしていたとしても、送信側が設定していないことで、受信側の企業をなりすましメールによる攻撃の危険にさらしてしまうことになります。
デージーネットは、このような日本企業のメールセキュリティ対策に警鐘を鳴らすべく、統計レポートを公表致します。
■メールサーバセキュリティ診断[MSchecker]とは
メールは世界的に利用されるコミュニケーションツールとして、ビジネスでは欠かせないものとなっています。しかし、多くの人にとって、メールセキュリティが理想的な状態になっているか確認することは容易ではありません。
そこでデージーネットでは、現在利用中のメールサーバのセキュリティをチェックするツールとしてMScheckerの運営を行っています。
MScheckerでは、メールのセキュリティ項目を整理し、メールのセキュリティが適切な状態か、誰でも簡単に確認することができます。
MScheckerでは、以下のことが無料でチェックできます。
・メールの通信が暗号化されているか(SSL/TLSメールの送受信)
・第三者によるメールの不正な中継が可能な状態になっていないか(メール不正中継)
・メール送信元がSPFレコードに登録されているか(SPFチェック)
・ドメインのDNSサーバに電子署名の公開鍵が正しく登録されているか(DKIMチェック)
・メールアドレスのドメインのDNS逆引きが正しいか(送信元DNS逆引き)
・ドメインのDNSサーバがDNSSECに対応しているか(DNSSEC対応)
・ドメインがDNSブラックリストに登録されていないか(DNSBL登録)
■メールセキュリティにおける対策の優先度
デージーネットは、MScheckerを利用してメールサーバのセキュリティ診断を受けたドメインから、診断結果の統計をまとめました。メールセキュリティにおける対策の優先度としては以下の通りです。
〇必ず行わなければならない対策
・メール不正中継(統計結果:2%が未設定)
・DNSBL登録(統計結果:2%が未設定)
〇現在行われているべき対策
・メール通信の暗号化(統計結果:40%以上が未設定)
・送信元ドメイン認証(統計結果:25%が未設定)
・送信元DNS逆引き(統計結果:7%が未設定)
〇今後求められる対策
・DNSSEC対応(統計結果:98%が未設定)
【統計結果(全ドメイン数:205)】
■総合評価
MScheckerでセキュリティ診断を受けたドメインのうち、総合評価で改善が必要と判定されたのは危険判定も含め61%でした。統計結果は以下の通りです。
総合評価
MScheckerにおける評価の種類と判定基準は以下の通りです。
評価の種類:安全
判定基準 :メール不正中継OK
SPFチェックまたはDKIMチェックどちらかがOK
メール受信処理のSSL/TLSメール送信OK
メール送信処理のSSL/TLSメール送信OK
送信元DNS逆引きOK
DNSSEC対応OK
DNSBL登録OK
評価の種類:危険
判定基準 :メール不正中継NG
評価の種類:改善が必要
判定基準 :SPFチェック、DKIMチェックどちらもNG
メール送信処理のSSL/TLSメール送信NG
メール受信処理のSSL/TLSメール送信NG
送信元DNS逆引きNG
評価の種類:見直しを推奨
判定基準 :DNSSEC対応NG
DNSBL登録NG
■SSL/TLSメール送受信
暗号化した通信で、メールを送受信できるか確認します。メールを暗号化することで、第三者が盗み見ても、内容が分からないようにすることができます。メール相手が暗号化に対応していても、受信側で暗号化した通信が出来なければ、暗号化した通信とはなりません。そのため、第三者に盗み見られる可能性があります。
こちらに関しては40%以上もの企業が対策していないことが分かりました。
SSL/TLSメール送信(メール送信処理)
SSL/TLSメール受信(メール受信処理)
■送信元ドメイン認証
送信元ドメイン認証を活用することで、なりすましメールを見破ることができます。ほとんどの迷惑メール、標的型メールは、送信者を偽装した「なりすましメール」です。
最近では、メールの受信時に送信元ドメイン認証を行い、なりすましメールを振り分けることが多くなりました。こうした対策は、メール送信側が、対応していることが前提となります。このことから、メールを利用する場合には、送信元ドメイン認証の設定をしておくことが一般的になってきています。
MScheckerでは、送信元ドメイン認証のチェックとしてSPFとDKIMのどちらも設定されていることが安全と判定するための条件の一つとしています。
しかし、こちらに関しては25%もの企業がどちらも対策していないことが分かりました。
SPF/DKIM
SPFによる送信元ドメイン認証では、送信元メールアドレスのドメインのDNSに登録されているSPFレコードと、メール送信元IPアドレスを調べ、そのIPアドレスがSPFレコードに含まれているかチェックしています。
DKIM(DomainKeys Identified Mail)は、SPFチェックとは異なり、メール送信時に電子署名をメール内に記載します。メールの受信側では、署名ドメインのDNSサーバに公開されている情報を使い電子署名が正しいかどうかチェックしています。DKIMでの送信元ドメイン認証では、途中でメールの中継があった場合にも、チェックが可能です。SPFとは異なる方法でチェックできるため、送信者ドメイン認証の精度を高めるためには必須です。
■考察
MScheckerを用いたメールサーバのセキュリティ診断では全体の61%ものメールサーバが改善が必要とされています。
SSL/TLSメール送受信については、Googleがメールの送受信時にセキュリティプロトコルで保護された(TLS)接続を必須にしたことで、普及率が上がりつつあると思われます。それにも関わらず、40%以上の企業が対策していないことが分かりました。SSL/TLSメール送受信を設定していない場合、メールの暗号化がされず企業の機密情報や個人情報の漏洩につながる可能性があります。
また、送信者認証の仕組みという括りで見てみると、DKIMチェックよりもSPFチェックを利用していることが多いことが分かりました。しかし、25%もの企業はどちらも対策をしていないことから、送信者認証の対策が遅れていることが分かります。さらに、DKIMチェックについて対策しているのはわずか20%のみでした。一方でメールの不正中継や送信元DNS逆引きは、ほぼ対応されていました。
DNSSEC対応の対策については98%が対策していないことが分かりました。DNSSECは、DNSの情報に電子署名をつけることで、DNSの応答が正式な発行元のデータかどうか検証できるものです。例えば、利用しているDNSサーバの情報が、万が一改ざんされていた場合、接続したいサイトとは全く別のサイトへ誘導されてしまいます。DNSSECによる検証を行うことで、改ざんを見抜くことができます。DNSSECについては今後対策を進めていくべき課題となっています。
上記のことから、日本企業のメールセキュリティ対策が非常に遅れていることが明らかとなりました。特に、メールの暗号化に関する「SSL/TLSメール送受信」の設定については、情報漏洩にも直結する重要な対策です。未だ対策をしていない企業は、至急対策を行うべきです。
■デージーネットについて
株式会社デージーネットは、メールサーバの構築やコンサルティングを行っている会社です。オープンソースソフトウェア(OSS)を利用し、お客様のご要望に応じたシステムをご提案しています。これまでに、企業やISP向けに多くのメールサーバを構築してきました。診断結果を受け、メールサーバの改善を行いたい場合には、サーバのリプレースや改善コンサルティングについてご相談を受け付けています。システム導入後には、発見されたセキュリティホールの問い合わせにも対応しています。
■参考URL
【MSchecker】
【デージーネットのシステム構築サービス】
https://www.designet.co.jp/system/
【デージーネットの導入後支援】
https://www.designet.co.jp/system/support/
■会社概要
会社名: 株式会社デージーネット
代表者: 代表取締役 恒川 裕康
本社 : 〒465-0025 愛知県名古屋市名東区上社四丁目39-1
資本金: 4,000万円
URL : https://www.designet.co.jp/
<一般の方からのお問い合わせ先>
- カテゴリ:
- 調査・報告
- ジャンル:
- セキュリティ エンタープライズ-ソフトウェア ビジネス全般
記事掲載数No.1!「@Press(アットプレス)」は2001年に開設されたプレスリリース配信サービスです。専任スタッフのサポート&充実したSNS拡散機能により、効果的な情報発信をサポートします。(運営:ソーシャルワイヤー株式会社)