企業にとって電子メールは欠かせない存在である。同時に、メールによる情報漏洩を守るべく、セキュリティ対策は不可欠といえる。システム構築を手掛けるデージーネットは、2017年1月〜2018年12月に同社が運営している無料のメールサーバーセキュリティ診断サービス『MSchecker』を利用してチェックされた205ドメインの統計結果をもとに、メールサーバの安全性について、課題の傾向・考察をまとめた統計レポートを発表した。

セキュリティ診断を受けたドメインのうち、総合評価で改善が必要と判定されたのは、危険判定も含め61％であった。統計結果および判定基準は以下の通り。

※株式会社デージーネット調べ

今回の診断での判定基準は、「安全」が、メール不正中継OK、SPFチェックまたはDKIMチェックどちらかがOK、メール受信処理のSSL/TLSメール送信OK、メール送信処理のSSL/TLSメール送信OK、送信元DNS逆引きOK、DNSSEC対応OK、DNSBL登録OKであること。また、「安全」の各項目のうち、メール不正中継NGであった場合は即「危険」と判定している。

「改善が必要」の基準は、SPFチェック＆DKIMチェックどちらもNG、メール送信処理のSSL/TLSメール送信NG、メール受信処理のSSL/TLSメール送信NG、送信元DNS逆引きNG。「見直しを推奨」がDNSSEC対応NG、DNSBL登録NGであった場合だ。

総合評価では、全体の61％ものメールサーバーに改善が必要だと言うことが判明した。

第三者が盗み見ても内容が分からないようにできる、データ通信を暗号化する方式SSL/TLS通信については、メールの送信時、受信時とも4割を超える企業が対策していなかった。Googleがメールの送受信時にセキュリティプロトコルで保護された(TLS)接続を必須にしたことで、SSL/TLSメール送受信の普及率は上がりつつあるが、依然として対策が進んでいない企業が多くあるようだ。

※株式会社デージーネット調べ

※株式会社デージーネット調べ

なりすましメールを見破ることができる送信元ドメイン認証のチェックとして、SPFとDKIMの両方を設定することが望ましいとされている。両方対策済みなのは18％、いずれか一方のみ対策済みなのが57％（SPFのみが55％、DKIMのみは2％）であった。しかし、25％もの企業がどちらも対策していなかった。

※株式会社デージーネット調べ

レポートの結果から、日本企業のメールセキュリティ対策が非常に遅れていることが明らかとなった。特に、メールの暗号化に関する「SSL/TLSメール送受信」の設定については、情報漏洩にも直結する重要な対策である。いまだ対策をしていない企業は至急対策を講じたほうがよいだろう。