Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

TLSだけでは不十分かもしれないメール暗号化戦略

ホーム 用語集 なぜTLSだけではメール暗号化戦略に不十分か

デジタル時代は私たちの生活やビジネスの運営方法を革命的に変えました。今日のビジネスは、顧客やクライアントとの関与を大幅に向上させています。これらの企業は、ビジネスや顧客の購買活動をよりよく理解するために、より多くのデータを利用できるようになりました。このデータは、ビジネスが効率のギャップを埋め、成長の機会を特定し、顧客により良いサービスを提供することを可能にします。

このデータは、当然ながら非常に貴重です。したがって、競争の激しい市場で生き残るためには、データの保護が重要です。組織が個人識別情報(PII)、保護対象保健情報(PHI)、知的財産(IP)、その他の機密情報を保護することで、ビジネスの継続性を確保し、データプライバシー規制へのコンプライアンスを示し、評判を守ります。

ビジネスは、サーバーに保存されているか、メールやその他の通信チャネルを介して共有されているかにかかわらず、機密情報を最も保護する必要があります。トランスポート層セキュリティ(TLS)は、ペイメントカード業界データセキュリティ基準(PCI DSS)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、欧州連合の一般データ保護規則(GDPR)などの規制に準拠するために、すべての組織のメールセキュリティ戦略の重要な部分となっています。

TLSとは何か

しかし、TLSを有効にしても、メールが覗き見から安全であることは保証されません。実際、多くの組織がTLSを誤って使用しており、メールが不正アクセスやデータ漏洩に対して脆弱なままです。

TLSはどのように機能するのか?

ウェブサイトやアプリケーションがTLSを使用するためには、TLS証明書をインストールする必要があります。TLS証明書は、ドメインを所有する個人または企業に発行されます。この証明書には、ドメインの所有者とサーバーの公開鍵に関する重要な情報が含まれており、サーバーのアイデンティティを検証するために重要です。

TLS接続は、TLSハンドシェイクと呼ばれるシーケンスを使用して開始されます。誰かがTLSを使用するウェブサイトを訪れると、ユーザーのデバイス(クライアントデバイスとも呼ばれる)とウェブサーバーの間でTLSハンドシェイクが始まります。

TLSハンドシェイク中に、ユーザーのデバイスとウェブサーバーは次のことを行います:

  • 使用するTLSのバージョン(TLS 1.0、1.2、1.3など)を指定する、
  • 使用する暗号スイートを決定する、
  • サーバーのTLS証明書を使用してサーバーのアイデンティティを認証する、
  • ハンドシェイク完了後にユーザーのデバイスとウェブサーバー間でメッセージを暗号化するためのセッションキーを生成する。

証明書機関(CA)とは何か?

証明書機関(CA)は、エンティティ(例:ウェブサイト、メールアドレス、企業、個人)のアイデンティティを検証し、暗号鍵に結びつけるために電子文書(デジタル証明書)を発行する組織です。

デジタル証明書は以下を提供します:

  • 認証—発行されたエンティティのアイデンティティを検証するための資格情報として機能する
  • 暗号化—安全でないネットワーク上での安全な通信のため
  • 証明書で署名された文書の整合性を保持し、第三者が転送中にそれらを変更できないようにする

TLSとSSLの違いは何か?

TLSは、Netscapeによって開発されたセキュアソケットレイヤー(SSL)という以前の暗号化プロトコルから進化しました。TLSバージョン1.0はSSLバージョン3.1として開発が始まりましたが、公開前にプロトコルの名前が変更され、Netscapeと関連付けられなくなりました。その結果、TLSとSSLは時折互換的に使用されます。

TLSの潜在的な脆弱性

TLSとSSLは、どの企業のデータセキュリティアプローチにおいても重要な基盤を形成しますが、それでも脆弱性を含んでいます。

主な弱点は、企業がメール暗号化について理解していないことに起因し、多くの企業がトランスポートチャネル、したがってメールがTLSを使用するたびに完全に保護されていると信じています。

しかし、企業は、メールメッセージが送信者と受信者のメールサーバー間を移動することを忘れてはなりません。このチャネルには、それぞれのネットワーク外のホップが含まれています。メールは次のメールホップまでしか保護されておらず、次の簡易メール転送プロトコル(SMTP)ホップに到達した後に何が起こるかを制御することはできません。

したがって、TLSはエンドツーエンドの暗号化を提供しないため、機密メッセージが企業のネットワーク内で露出する可能性があります。TLSは送信者のデバイスから企業のメールサーバーまでのチャネルを保護するだけです。しかし、メールはしばしば追加のサーバーを介して転送され、そこで暗号化が保証されないことがあります。

例えば、アンチウイルスチェックやコンテンツスキャンの場合、データは途中で好奇心旺盛な管理者や他の従業員に露出する可能性があります。

もう一つのセキュリティリスクは、使用されるX.509証明書にあります。多くの企業が証明書を検証せず、すべての機密データが露出しています。

企業は、証明書が信頼できる評判の良い証明書機関(CA)によって発行されていることを確認する必要があります。これは決して簡単なことではなく、多くの企業が自分たちで証明書に署名しています。

企業はまた、証明書が有効であるかどうか、暗号化アルゴリズムと鍵の長さが最新であるか(つまり、最先端であるか)を確認する必要があります。

特にOpenSSLを使用する企業は、適切なCAからの証明書よりも便利でコスト効果が高いため、自分たちで証明書を作成します。はい、証明書には費用がかかります。購入し、更新しなければなりません。企業が更新を忘れると、証明書は最終的に取り消され、新しい証明書のために再びCAに支払わなければなりません。

企業はまた、誤ったTLSバージョンを使用して「完全前方秘匿性」を展開しない場合、鍵を発見した不正使用者によってメッセージが復号される可能性があることを知らないことがよくあります。

もう一つの既知のTLSの制限は、「オプションTLS」システム構成です。「必須TLS」では、発信システムはチェーン内の次のシステムがTLSをサポートしている場合にのみメールメッセージを転送します。システムがTLSをサポートしていない場合、メッセージは転送されません。しかし、「オプションTLS」を採用しているシステムでは、メッセージを転送してしまい、チャネルが暗号化されず、メッセージが露出します。

ここに、TLSがメール通信を保護するのに不十分な理由がいくつかあります。

TLSは一部の攻撃からメールを守りますが、すべての攻撃から守るわけではありません

TLSだけではメールセキュリティに十分ではありません。TLSは特に、データが転送中に発生する中間者攻撃や盗聴攻撃に対して効果的です。サーバーやデータベースに保存されている機密情報がある場合は、Pretty Good Privacy(PGP)やSecure/Multipurpose Internet Mail Extensions(S/MIME)などの追加の暗号化プロトコルを使用する必要があります。

これらの暗号化プロトコルは、ハッカーがサーバーにアクセスした場合でも、暗号化されたデータを読むことができないようにします。また、これらのプロトコルは平文を送信することに依存しないため、トラフィック分析や暗号化通信ストリームを監視する他のサイドチャネル攻撃に対しても脆弱性が低くなります。

TLSはダウングレード攻撃に対して脆弱です

TLSは通常、コンピュータとサーバー間の接続を保護するために使用されます。例えば、ブラウザを使用してメールにログインする場合などです。しかし、他の接続、例えばサーバー間でメールを送信する場合にも使用されることがあります。

このアプローチの問題は、接続全体が暗号化されていないことです。送信サーバーと受信サーバー間のデータのみが暗号化されており、それらのサーバーが強力なセキュリティを持っていない可能性があります。ダウングレード攻撃は、暗号化されていないリンク上のトラフィックを傍受し、メッセージを読み取ることができます。エンドツーエンドの暗号化がない限り、データと組織を危険にさらす可能性があります。

TLSにはより強力なハンドシェイクが必要です

TLSは今日最も一般的に使用されている暗号化プロトコルですが、まだ制限があります。会社のメールが最初から安全で暗号化されていることを確認するために、PGPやS/MIMEなどの暗号化アルゴリズムを使用してSTARTTLSを使用してください。

これにより、誰かが転送中にメールを傍受しても、プライベートキーがなければ読むことができません。また、最初のTLSハンドシェイクの上に追加の暗号化層を持つことで、中間者攻撃が発生するのをより困難にします。

機密情報を安全に送信する必要がある場合は、サードパーティのサービスプロバイダーを通じてメールを暗号化することで、さらに保護層を追加することを検討してください。

Kiteworksによるエンドツーエンドのセキュリティと暗号化

Kiteworksは単なるセキュアメールプロバイダーではありません。組織内外での機密コンテンツの送受信に関連するガバナンス、コンプライアンス、セキュリティのためのプライベートコンテンツネットワーク(PCN)として機能します。

Kiteworksは、メール暗号化ゲートウェイやMicrosoft Outlookプラグイン、ウェブアプリケーション、エンタープライズアプリケーションプラグイン、モバイルアプリケーションを通じて、エンタープライズグレードの暗号化と統一されたセキュリティコントロールを提供します。また、組織の最も機密性の高い情報のセキュリティとコンプライアンスを確保するための役割ベースのポリシー自動化を提供します。

機密情報を含むメールの送受信を自動化するKiteworksの方法を学ぶために、パーソナライズされたデモをスケジュールしてください。使用される暗号化標準にかかわらず。

 

リスクとコンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks