「 日本企業のメールサーバ安全性」調査　61％の企業が改善必要

デージーネット（愛知・名古屋市）は、2月7日、2017年1月～2018年12月に実施したメールサーバセキュリティ診断(以下：MSchecker)の統計結果をもとに、メールサーバの安全性について課題の傾向・考察をまとめた統計レポートを公表した。

同統計によると、情報漏洩に繋がりかねない「メール通信の暗号化」の設定が40％以上もの企業で設定されていないなど、多くの企業でセキュリティ対策が不十分であることが分かった。以下リリースより。

概要

デージーネットは、このような日本企業のメールセキュリティ対策に警鐘を鳴らすべく、統計レポートを公表した。

メールサーバセキュリティ診断［MSchecker］とは

メールは世界的に利用されるコミュニケーションツールとして、ビジネスでは欠かせないものとなっている。しかし、多くの人にとって、メールセキュリティが理想的な状態になっているか確認することは容易ではない。

そこでデージーネットでは、現在利用中のメールサーバのセキュリティをチェックするツールとしてMScheckerの運営を行っている。MScheckerでは、メールのセキュリティ項目を整理し、メールのセキュリティが適切な状態か、誰でも簡単に確認することができる。

MScheckerでは、以下のことが無料でチェックできる。

• メールの通信が暗号化されているか(SSL/TLSメールの送受信)
• 第三者によるメールの不正な中継が可能な状態になっていないか(メール不正中継)
• メール送信元がSPFレコードに登録されているか(SPFチェック)
• ドメインのDNSサーバに電子署名の公開鍵が正しく登録されているか(DKIMチェック)
• メールアドレスのドメインのDNS逆引きが正しいか(送信元DNS逆引き)
• ドメインのDNSサーバがDNSSECに対応しているか(DNSSEC対応)
• ドメインがDNSブラックリストに登録されていないか(DNSBL登録)

メールセキュリティにおける対策の優先度

デージーネットは、MScheckerを利用してメールサーバのセキュリティ診断を受けたドメインから、診断結果の統計をまとめた。メールセキュリティにおける対策の優先度としては以下の通り。

必ず行わなければならない対策

• メール不正中継(統計結果：2％が未設定)
• DNSBL登録(統計結果：2％が未設定)

現在行われているべき対策

• メール通信の暗号化(統計結果：40％以上が未設定)
• 送信元ドメイン認証(統計結果：25％が未設定)
• 送信元DNS逆引き(統計結果：7％が未設定)

今後求められる対策

• DNSSEC対応(統計結果：98％が未設定)

統計結果(全ドメイン数：205)

総合評価

・MScheckerでセキュリティ診断を受けたドメインのうち、総合評価で改善が必要と判定されたのは危険判定も含め61％だった。統計結果は以下の通り。

・MScheckerにおける評価の種類と判定基準は以下の通り。
評価の種類：安全
判定基準　：メール不正中継OK
　　　　　　SPFチェックまたはDKIMチェックどちらかがOK
　　　　　　メール受信処理のSSL/TLSメール送信OK
　　　　　　メール送信処理のSSL/TLSメール送信OK
　　　　　　送信元DNS逆引きOK
　　　　　　DNSSEC対応OK
　　　　　　DNSBL登録OK
評価の種類：危険
判定基準　：メール不正中継NG
評価の種類：改善が必要
判定基準　：SPFチェック、DKIMチェックどちらもNG
　　　　　　メール送信処理のSSL/TLSメール送信NG
　　　　　　メール受信処理のSSL/TLSメール送信NG
　　　　　　送信元DNS逆引きNG
評価の種類：見直しを推奨
判定基準　：DNSSEC対応NG
　　　　　　DNSBL登録NG

SSL/TLSメール送受信

暗号化した通信で、メールを送受信できるか確認する。メールを暗号化することで、第三者が盗み見ても、内容が分からないようにすることができる。メール相手が暗号化に対応していても、受信側で暗号化した通信が出来なければ、暗号化した通信とはならない。そのため、第三者に盗み見られる可能性がある。

こちらに関しては40％以上もの企業が対策していないことが分かった。

送信元ドメイン認証

送信元ドメイン認証を活用することで、なりすましメールを見破ることができる。ほとんどの迷惑メール、標的型メールは、送信者を偽装した「なりすましメール」。

最近では、メールの受信時に送信元ドメイン認証を行い、なりすましメールを振り分けることが多くなった。こうした対策は、メール送信側が、対応していることが前提となる。このことから、メールを利用する場合には、送信元ドメイン認証の設定をしておくことが一般的になってくる。

MScheckerでは、送信元ドメイン認証のチェックとしてSPFとDKIMのどちらも設定されていることが安全と判定するための条件の一つ。しかし、こちらに関しては25％もの企業がどちらも対策していないことが分かった。

SPFによる送信元ドメイン認証では、送信元メールアドレスのドメインのDNSに登録されているSPFレコードと、メール送信元IPアドレスを調べ、そのIPアドレスがSPFレコードに含まれているかチェックしている。

DKIM(DomainKeys Identified Mail)は、SPFチェックとは異なり、メール送信時に電子署名をメール内に記載する。メールの受信側では、署名ドメインのDNSサーバに公開されている情報を使い電子署名が正しいかどうかチェックしている。

DKIMでの送信元ドメイン認証では、途中でメールの中継があった場合にも、チェックが可能。SPFとは異なる方法でチェックできるため、送信者ドメイン認証の精度を高めるためには必須である。

考察

MScheckerを用いたメールサーバのセキュリティ診断では全体の61％ものメールサーバが改善が必要とされている。

SSL/TLSメール送受信については、Googleがメールの送受信時にセキュリティプロトコルで保護された(TLS)接続を必須にしたことで、普及率が上がりつつあると思われる。それにも関わらず、40％以上の企業が対策していないことが分かった。SSL/TLSメール送受信を設定していない場合、メールの暗号化がされず企業の機密情報や個人情報の漏洩につながる可能性がある。

また、送信者認証の仕組みという括りで見てみると、DKIMチェックよりもSPFチェックを利用していることが多いことが分かった。しかし、25％もの企業はどちらも対策をしていないことから、送信者認証の対策が遅れていることが分かる。さらに、DKIMチェックについて対策しているのはわずか20％のみだった。一方でメールの不正中継や送信元DNS逆引きは、ほぼ対応されていた。

DNSSEC対応の対策については98％が対策していないことが分かった。DNSSECは、DNSの情報に電子署名をつけることで、DNSの応答が正式な発行元のデータかどうか検証できるもの。例えば、利用しているDNSサーバの情報が、万が一改ざんされていた場合、接続したいサイトとは全く別のサイトへ誘導されてしままう。DNSSECによる検証を行うことで、改ざんを見抜くことができる。DNSSECについては今後対策を進めていくべき課題となっている。

上記のことから、日本企業のメールセキュリティ対策が非常に遅れていることが明らかとなった。特に、メールの暗号化に関する「SSL/TLSメール送受信」の設定については、情報漏洩にも直結する重要な対策である。未だ対策をしていない企業は、至急対策を行うべき。

【プレスリリース『61％の企業が改善必要　 日本企業のメールセキュリティ対策の遅れが明らかに』（＠Press）より｜2019年2月7日・株式会社デージーネット】