行政機関との連携において、メールを通じた情報のやり取りは避けられません。しかし、適切なセキュリティ対策を講じないと、機密情報が漏洩するリスクがあります。本記事では、メールセキュリティの重要性と具体的な対策について解説します。
まずはセキュリティ要件の確認
行政からのメールセキュリティに関する要件が明確でない場合、まずは具体的な要求内容を確認することが重要です。メールの本文のセキュリティが必要か、それとも添付ファイルだけで十分かを明らかにします。
「何をすれば良いですか?他の関係団体はどのような対応をしてますか?」とぶっちゃけ聞いてみましょう。
なぜメールのセキュリティ対策が必要なのか?
送信したメールは以下の流れで受信者のメールソフトに届きます。
①【送信者が自分のメールソフトで送信】→②【契約しているメールサーバー】→③【その他メールサーバー】→④【その他メールサーバー】→⑤【受信者が契約しているメールサーバー】→⑥【受信者が自分のメールソフトで受信】
①→② は送信側でセキュリティの対策が可能
メールソフトの設定でSSL/TLSを使って送受信するように設定する。
これにより自分のメールソフトから契約してるメールサーバーまでは暗号化通信網を使って暗号化されたメールを送受信することができます。
②→③→④→⑤は送信側で対策は不可能(中継サーバーによってはTLSで通信できない場合があります)。
送信されたメールは不特定の複数のサーバーを経由して相手側のメールサーバーに届きます。そのため、各サーバーの設定によっては暗号化されずにメールの本文や添付ファイルが平文で転送されることがあります。悪意のあるサーバーを経由すると、メールの内容が盗聴される可能性があります。
⑤→⑥ は送信側で対策は不可能(メールの受信者の設定次第)
受信者がメールクライアントの設定でSSL/TLSを使って送受信するように設定していれば、受信サーバーから受信者のメールクライアントまでの通信が暗号化されます。
通信網に頼らずに自分が送信するメールそのものを暗号化してしまう
②→③→④→⑤の経路では暗号化通信網を通らない可能性があるので、より高いセキュリティを求める場合は、PGPやS/MIMEなどのエンドツーエンドの暗号化を使う方法がありますが、PGPやS/MIMEを使って暗号化する方法は結構難しく、S/MIMEについては月額の費用がかかります。
添付ファイルのみ対策すれば良い場合
添付ファイルのセキュリティのみが必要な場合は、Dropbox TransferやGoogle Driveなどのクラウドサービスを利用してファイルを共有する方法が簡単です。また、Microsoft 365 Business Basic(非営利団体職員向けに特別価格で提供されています)を利用し、OneDriveを通じてファイルを送信する方法もあります。
方法1: Dropbox Transfer
パスワード保護
ファイル転送リンクにパスワードを設定できるため、リンクを受け取った人だけがファイルにアクセスできるようになります。これにより、意図しないアクセスからデータを守ることができます。
ファイルアクセス管理
Dropbox Transferを使用すると、ファイルへのアクセス権を細かく設定でき、不正なアクセスや誤った共有を防ぐことができます。送信者はいつでもアクセス権を変更または取り消すことが可能です。
ダウンロード期限の設定
送信したファイルに対してダウンロード期限を設定できるため、一定期間後にリンクが自動的に無効になるよう設定することができます。これにより、データのセキュリティを保ちながら、情報の流出リスクを管理できます。
ダウンロード回数の追跡
送信したファイルがいつ、誰によってダウンロードされたかの履歴を確認できます。これにより、情報の配布状況を把握しやすくなり、セキュリティ管理に役立ちます。
方法2: OneDrive
OneDriveを利用するときは、Microsoft 365(無料版)ではなく、Microsoft 365 Business Basic (非営利団体職員向け価格) を利用してください。
理由はセキュリティの内容が違うからです。
Microsoft 365 Business Basic (非営利団体職員向け価格)にはあって、Microsoft 365(無料版)にないセキュリティ内容
- 共有リンクの有効期限の設定
- ファイル復元
- パスワードで保護された共有リンク
高度なセキュリティとコンプライアンス
OneDriveは、企業レベルのセキュリティ基準を提供します。データは転送中も保存中も暗号化され、不正アクセスから保護されています。また、MicrosoftはGDPRやHIPAAなどの規制に対応しているため、厳格なコンプライアンス要件を持つ業界での使用に適しています。
アクセス管理と共有設定
OneDriveでは、ファイルやフォルダに対するアクセス権限を細かく設定できます。共有リンクを生成する際に、リンクを受け取る人がファイルを編集できるか、または閲覧のみ可能かを指定することができます。さらに、アクセス期限を設定したり、パスワード設定や特定のユーザーにのみアクセスを許可したりすることも可能です。
方法3: Google Drive
Google Driveでファイルを共有すると時は、共有する相手側がGoogleアカウントを持っている必要があるので、行政とのやりとりには不向きかなと思います。もしGoogleアカウント持っているのであればGoogle Driveでファイルを共有するのもありかなと思います。
注意:ファイルの権限をリンクを知っている全員にするのはセキュリティ上あまり好ましくないです。
容量の制約を回避
多くのメールサービスには、送信できるファイルサイズに制限があります。Google Driveでは大容量のファイルも簡単に共有でき、メールには共有リンクのみを含めることが可能です。これにより、メールシステムの容量制限を気にせずに、大きなファイルを効率的に送信できます。
強化されたセキュリティ
Google Driveにアップロードされたファイルは、Googleの強力なセキュリティインフラストラクチャによって保護されます。ファイルを暗号化し、不正アクセスから保護するための高度なセキュリティ措置が施されています。また、共有リンクにはアクセス権限を設定でき、特定のユーザーのみ(相手側がGoogleアカウントが必要)に限定してアクセスを許可することができます。
メール本文と添付ファイルのセキュリティ対策
方法1: Gmail
Gmailには「情報保護モード」という機能があります。
こちらから相手に大切なデータを送信するだけであれば「情報保護モード」機能が一番簡単で安全にデータを送ることができます。
注意:「情報保護モード」を使うには送信先の人がGoogleアカウントを持っているか、送信者が送信先の方のSMSの番号を知っている必要があります。
メールの閲覧できる有効期限とSMSパスコードを設定できる
有効期限は最長5年の設定ができます。
また、相手の電話番号を設定するとその電話番号にパスコードを送信することができ、受信者はそのパスコードを入力することでメールを閲覧することが可能です。「SMSパスコードを使用しない」を選択した場合は、受信者はメールを閲覧するためにGoogleアカウントのログインが必要になります。
受信者にはこのようなメールが届きます。
「メールを表示」ボタンをクリックするとブラウザーが開きSMSパスコードが設定されていたら、「パスコードの送信」画面が表示されます。
「パスコードの送信」ボタンをクリックすると送信者が送信時に設定した電話番号宛にパスコードが送信されます。
そのパスコードを入力するとメールの本文の確認と添付ファイルのダウンロードが可能になります。
「メールを表示」を押したときに有効期限が過ぎていると「このメールにアクセスする権限がありません」と表示されます。
方法2: Microsoft 365 Business Premium
非営利団体向けの特別価格で利用可能なMicrosoft 365 Business Premiumを契約することにより、Office 365 Message Encryption(OME)が利用できます。これにより、メール本文と添付ファイルの暗号化が実施できます。
方法3: PGP(Pretty Good Privacy)
無料だが設定がやや複雑です。GPG4winなどのツールを使うことで実現可能ですが、職員個々の設定と、メール受信者側の設定も必要になります。
方法4: S/MIME(Secure/Multipurpose Internet Mail Extensions)
より強固なセキュリティを実現するためにS/MIMEを使用する方法もありますが、月額で認証局への支払いが必要で、設定も複雑です。また、これもメール受信者側の設定が必要です。
方法5: Google Workspace
Google WorkspaceのEnterprise Plusプランを利用すると、Client-side Encryption(CSE)という機能が使用できますが、料金が不透明で、S/MIMEと同様に認証局への支払いが必要です。
まとめ
メールセキュリティは非営利団体が行政と安全に連携するために重要な要素です。適切なツールとサービスを選定し、事前にしっかりと要件を確認することが、スムーズで安全なコミュニケーションを保証します。
- メールの送受信にSSL/TLSを使用する
- 高度なセキュリティが必要な場合はエンドツーエンドの暗号化を検討する
- 添付ファイルのセキュリティ対策としてクラウドサービスを利用する
- 特定のサービスやツールの利用を検討する際には、それぞれのセキュリティ機能を確認する
コメント