セキュアなメールプロバイダーに求めるべきポイント
あなたのメールはどれほど安全ですか?現実には、メールはサイバー犯罪者の主要な標的の一つです。サイバー攻撃のほぼ9割がフィッシングメールから始まります。メールが安全でない場合、メールで送信される機密コンテンツはリスクにさらされます。
安全なメールとは何ですか?安全なメールプロバイダーは、エンドツーエンドの暗号化を通じて、外部の人間がメッセージを転送中または保存中に傍受するのを防ぎます。
メールは本質的に安全ですか?
短い答えは「いいえ」です。
メールは利用可能な最も古いデジタル通信の形態の一つです。その人気の理由は普及性にあります。世界中のほぼ誰にでも、添付ファイル付きの長いメールを比較的簡単に送信できます。メールアドレスは物理的な住所よりも一般的で、ほとんどの人がメールを通信とストレージのツールとして使用しています。
メールはまた、オープンプロトコルであり、世界中のシステムで平文のメッセージやファイルを送信するために一般的に実装されています。サーバーはユーザーがアカウントにアクセスするための資格情報(ユーザー名とパスワード)を必要としますが、実際のメッセージは実際には保護されていません。
メールを安全に実装する際の潜在的な落とし穴や課題は何ですか?
- 暗号化されていないデータ:追加のセキュリティがないメールは、プロトコルを介して送信されたコンテンツやサーバーに保存されたコンテンツを保護しません。このようなデータを保護するための手段を講じることはできますが、メールの普及性により、暗号化を調整するのは困難です。
例えば、転送中のデータの最も一般的な暗号化形式はトランスポート層セキュリティであり、ほとんどのプロバイダーで実装されています。つまり、転送中の情報は暗号化されています。しかし、その情報が目的地に到達すると、その限りではありません。エンドツーエンドのメール暗号化は、ほとんどのメールプロバイダーにとって標準ではなく、メール交換のどちらかの端での無許可の開示の可能性が高いです。 - 中間者攻撃:ハッカーは、適切な戦術を用いて、サーバーとユーザーの間に入り込み、送信者と受信者の間を移動する情報を傍受することができます。これにより、攻撃者はすべての暗号化されていないデータを読み取ることができ、ユーザーを騙して暗号鍵やその他の情報を提供させることで、他の暗号化基準を回避することができます。
- 認証攻撃:メールアカウントは通常、標準的なIDおよびアクセス管理(IAM)手段を使用して保護されています。ユーザー名とパスワードが侵害されると、メールアカウントが侵害される可能性があります。ハッカーはこれらのアカウントを使用して、パスワードをリセットしたり、他のサービスで使用される多要素認証を回避したりすることができます。
上記の理由と、メールがサイバー犯罪者や国家の標的であり続けるという事実から、ほとんどのコンプライアンスフレームワークや規制は、機密情報の通信に一般的なメールの使用を制限しています。
メールを安全にする要素は何ですか?
機密コンテンツを保護するためにメールを安全にする方法はいくつかあります:
- エンドツーエンドの暗号化:前述のように、ほとんどのプロバイダーはメール送信のためのTLS暗号化を提供しています。しかし、MicrosoftやGoogleのような主要なプロバイダーは、特別な設定なしにシステム全体でメールが移動する際に暗号化を提供していません。複数のプロバイダー間でエンドツーエンドの暗号化を調整するのは非常に困難です。
さらに、サーバー上での暗号化は実装が非常に難しいです。エンドツーエンドの暗号化は、公開鍵暗号のような方法を用いて、メールを送信前および受信時にエンコードすることを求めます。しかし、そのような方法を使用するには、両方のユーザーが同じタイプの暗号化を展開する必要があります。
メールセキュリティの新しいソリューションがこれを変えつつあります。Kiteworksのtotemoの買収により、プラットフォームはユーザーを一切関与させることなく、さまざまな第三者間で機能するエンドツーエンドの暗号化標準に移行します。これにより、エンドツーエンドの暗号化ソリューションが同じシステム内にメールが留まる限り有効であるという通常の要件が変わります。
- 認証とMFA:メールアカウントには、複数の経路を通じてユーザーの身元を確認するための認証ツールを含めるべきです。パスワードハックやフィッシング攻撃は非常に一般的であり、パスワードとバイオメトリクスやモバイルデバイスを使用したトークンベースの認証を組み合わせたMFAソリューションはアカウントを保護できます。
- プライバシー契約:Googleのようなプロバイダーは、広告やサービスの目的でメールへのアクセスを共有することを認めており、これは明らかなプライバシーの侵害です。プロバイダーは、データを共有しないという契約を含むデータプライバシーコントロールを提供する必要があります。また、プライバシー契約は地域のプライバシー法に従う必要があります。つまり、特定の法律を持つ国のサーバー上のメッセージは、政府機関によるデータの開示や押収に直面する可能性があります。
- 安全なメールリンク:暗号化は難しいテーマですが、プロバイダーや類似のプラットフォームは、安全なリンクを使用することで暗号化の採用を回避できます。プロバイダーは、暗号化とIAMコントロールを備えた安全なサーバー上のリソースへのリンクをユーザーに送信することを許可します。受信者はそのサーバーにアカウントを持っている必要があり、アクセスされたプライベートデータが保護され、プライベートであり、ログツールで監視されていることを保証します。
Kiteworksでほとんどの規制に対応する安全でコンプライアンスに準拠したメール
安全なメールはほとんどの組織にとって必須の技術ですが、セキュアなメール、ファイル共有、ファイル転送、マネージドファイル転送、ウェブフォーム、アプリケーションプログラミングインターフェース(API)を一つの画面で包括的に提供するソリューションはほとんどありません。このメタデータの集中ビューは、機密データの追跡、制御、セキュリティを統一しようとする組織にとって重要です。
Kiteworksプラットフォームの以下の安全なメール機能は重要であり、業界や国の管轄区域にわたってメールコンプライアンスを提供します:
- セキュリティ: Kiteworksは、保存中のデータに対してAES-256暗号化を、転送中のデータに対してTLS 1.2+を使用します。さらに、Kiteworksはネットワークおよびウェブアプリケーションファイアウォールとアンチマルウェア技術を使用して、Kiteworksプラットフォームを悪意のあるサイバー攻撃から保護します。
- コンプライアンス: Kiteworksプラットフォームは、HIPAA、GDPR、FedRAMP、CMMC、PCI DSS、IRAP、および国立標準技術研究所(NIST)や国際標準化機構の他のフレームワークに対するコンプライアンスの取り組みをサポートします。その強化された仮想アプライアンス、詳細なコントロール、認証、包括的なログと監査、その他のセキュリティスタックの統合により、組織は効率的にメールコンプライアンスを達成できます。
- 監査ログ: Kiteworksプラットフォームの不変の監査ログにより、組織は攻撃を早期に検出し、法医学調査を行うための正しい証拠の連鎖を維持していることを信頼できます。システムがすべてのコンポーネントからのエントリを統合し標準化するため、Kiteworksの統一されたSyslogとアラートはSOCチームの貴重な時間を節約し、コンプライアンスチームが監査の準備をするのを助けます。
- 同意文書: GDPRのような多くのフレームワークがデータ収集やデータ主体アクセス要求のための文書化された同意を求めているため、組織はそのプロセスを自動化するプラットフォームを必要としています。Kiteworksプラットフォームは、すべての同意フォームとデータ要求の広範な報告とログを提供し、組織がメールコンプライアンスを示すレポートを生成できるようにします。
- シングルテナントクラウド環境: ファイル転送、ファイルストレージ、メールは、オンプレミス、Logging-as-a-Serviceリソース、またはプライベートシングルテナントインスタンスとしてホストされる専用のKiteworksインスタンスで行われます。つまり、共有ランタイム、共有データベースやリポジトリ、共有リソース、またはクロスクラウドの侵害や攻撃の可能性がなく、メール通信が無許可のユーザーの手に渡る可能性もありません。
- 可視性と管理: KiteworksのCISOダッシュボードは、組織に情報の概要を提供します:どこにあるのか、誰がアクセスしているのか、どのように使用されているのか、そしてそれがコンプライアンスに準拠しているかどうか。この機能により、組織はシステムの全体像を把握しながらメールサーバーを保護することができます。
コンプライアントなインフラストラクチャとエンタープライズグレードの機能を備えたセキュアメールソリューションをお探しなら、無料のKiteworksデモにお申し込みください。