電子メールセキュリティの要

　はじめに

デジタル時代において、電子メールは個人や企業のコミュニケーションに不可欠なツールとなっています。しかし、その普及と共に、メールを悪用したサイバー攻撃も増加しています。特に「なりすまし」や「フィッシング」といった手法は、受信者を騙し、機密情報を盗み取るなど、深刻な被害をもたらす可能性があります。

このような脅威に対抗するため、MAIL（送信ドメイン認証）と呼ばれる技術が開発されました。この仕組みは、受信したメールが正規の送信元からのものであるかを確認し、不正なメールを検出・防止する上で重要な役割を果たしています。

　MAIL（送信ドメイン認証）の仕組み

MAIL（送信ドメイン認証）は、主にDNSサーバとメールサーバを利用して行われます。
この認証プロセスでは、以下の要素が重要な役割を果たします。
AEGIS-EWでは、下記の電子メールセキュリティ設定が適切に行われているのかを診断します。

• IPアドレス認証SPF (Sender Policy Framework)
• 電子署名DKIM (DomainKeys Identified Mail)
• メール監査ポリシーと監査レポートDMARC (Domain-based Message Authentication, Reporting and Conformance)

これらの技術を組み合わせることで、メールの送信元を確実に識別し、なりすましを防ぐことが可能となります。

　1.　IPアドレス認証SPF (Sender Policy Framework)

IPアドレス認証は、メールを送信したサーバのIPアドレスが、送信元ドメインの正規のメールサーバとして登録されているかを確認します。この方法により、許可されていないサーバからのメール送信を検出することができます。
SPFは、ドメイン所有者が、そのドメイン名を使用してメールを送信することを許可されているメールサーバを指定できるようにする仕組みです。受信側のメールサーバは、SPFレコードをチェックして、メールが許可されたサーバから送信されたかどうかを確認します。

SPFの実装手順：

• ドメイン所有者がDNSにSPFレコードを追加
• SPFレコードに許可するメールサーバのIPアドレスまたはホスト名を記載
• 受信側メールサーバがSPFレコードを参照し、送信元IPアドレスを確認

　2.　電子署名DKIM (DomainKeys Identified Mail)

電子署名は、メールの内容が送信後に改ざんされていないことを保証します。送信者は秘密鍵を使用してメールに署名し、受信者は公開鍵を使用してその署名を検証します。これにより、メールの真正性と完全性を確認することができます。DKIMでは、この電子署名を利用してメールの認証を行う技術です。送信者のドメインに関連付けられた秘密鍵でメールに署名し、受信者は公開鍵を使用してその署名を検証します。これにより、メールの内容が改ざんされていないこと、および送信元ドメインの正当性を確認できます。

DKIMの実装手順：

• 送信側のメールサーバで秘密鍵を生成
• 生成した秘密鍵に対応する公開鍵をDNSに登録
• メール送信時に、メールヘッダーにDKIM-Signature を追加
• 受信側でDNSから公開鍵を取得し、署名を検証

　メール監査ポリシーおよび監査レポートDMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARCは、SPFとDKIMを組み合わせて、より強力な認証を実現する仕組みです。また、認証に失敗したメールの扱い方や、認証結果のレポート送信先を指定することができます。これにより、ドメイン所有者は自身のドメインを使用した不正なメール送信の状況を把握し、対策を講じることが可能になります。

DMARCの実装手順：

• ドメイン所有者がDNSにDMARCレコードを追加
• DMARCポリシー（認証失敗時の処理方法）を設定
• レポート送信先メールアドレスを指定
• 受信側メールサーバがDMARCレコードを参照し、認証および処理を実行

以下はAEGIS-EWにおけるDMARCポリシー診断結果の例となります。


上記画面から、メールなりすまし対策として以下が不足していると確認できる。

• DNSサーバがDNSSEC非対応である
• DMARCポリシーが「None」になっている
• RUA（Reporting URL(s) for aggregate data）送信先メールアドレスが未設定

　MAIL（送信ドメイン認証）の重要性

MAIL（送信ドメイン認証）を実装することで、以下のようなメリットが得られます：

• なりすましメールの防止：正規の送信元を確認することで、不正なメールを識別し、ブロックすることができます。
• フィッシング攻撃の低減：悪意のある送信者が正規のドメインを装うことが困難になり、フィッシング攻撃のリスクを大幅に軽減できます。
• メールの信頼性向上：受信者は、認証されたメールであることを確認でき、安心してコミュニケーションを行うことができます。
• ブランド保護：企業は自社ドメインを不正に使用されるリスクを低減し、ブランドの信頼性を守ることができます。
• メール到達率の向上：正規の送信元として認識されることで、スパムフィルターに誤って分類されるリスクが減少し、メールの到達率が向上します。

　導入時の注意点

MAIL（送信ドメイン認証）を導入する際は、以下の点に注意が必要です：

• 正しい設定：SPF、DKIM、DMARCの各レコードを正確に設定する必要があります。設定ミスにより、正規のメールが拒否される可能性があります。
• 段階的な導入：特にDMARCは、最初は隔離モード（p=Quarantine）で開始し、徐々に厳格なポリシーに移行することをおすすめします。
• 定期的な監視とメンテナンス：認証失敗のレポートを定期的に確認し、必要に応じて設定を調整することが重要です。
• サードパーティサービスへの対応：メールマーケティングツールなど、自社ドメインを使用する外部サービスがある場合、それらのIPアドレスもSPFレコードに含める必要があります。
• 社内教育：IT部門だけでなく、一般社員にもメールセキュリティの重要性を理解してもらうことが大切です。

　結論

MAIL（送信ドメイン認証）は、現代のデジタルコミュニケーションにおいて不可欠なセキュリティ対策です。SPF、DKIM、DMARCなどの技術を適切に組み合わせることで、メールの信頼性を大幅に向上させ、なりすましやフィッシングといった脅威から組織を守ることができます。

しかし、これらの技術は常に進化しており、新たな脅威も日々登場しています。そのため、最新の動向を常に把握し、必要に応じてセキュリティ対策を更新していくことが重要です。メールセキュリティは、組織全体で取り組むべき継続的な課題であり、技術的な対策と人的な教育の両面からアプローチすることで、より強固なセキュリティ体制を構築することができます。