日本企業のメールセキュリティ対策調査結果 DNS電子署名の対策進み安全なメールサーバが3倍に増加
[21/01/13]
提供元:@Press
提供元:@Press
株式会社デージーネット(本社:愛知県名古屋市、代表取締役:恒川 裕康)は、2020年1月〜2020年12月に実施したメールサーバセキュリティ診断(以下:MSchecker)の統計結果をもとに、メールサーバの安全性について課題の傾向・考察をまとめた統計レポートを公表します。
画像1: https://www.atpress.ne.jp/releases/243089/LL_img_243089_1.png
【メールサーバセキュリティ評価】
■調査結果まとめ
・メールセキュリティの重要性が浸透し、「安全」なメールサーバの利用は1年前から3倍に増加。
・すでに対策済みの企業は、さらにセキュリティを強化する取り組みを推進している。
・対策済み企業の中では、特にDNS電子署名(DNSSEC)の利用が進んでいる。
・送信元ドメイン認証では、DKIMの利用が進んでいる。
・未だ52%の企業が、メールセキュリティを強化・改善する必要がある。
■概要
ニューノーマルな働き方の一つとして、テレワークが徐々に定着してきました。それに伴い、メールの利用も以前より増え、今後企業はテレワーク環境を前提としたメールセキュリティ対策を強化していく必要があります。
デージーネットではメールサーバのセキュリティ診断を行うMSchecker( https://mschecker.jp/ )での統計結果から、1年前と比較し「安全」と判定された企業のメールサーバが3倍に増加したことが分かりました。しかしその一方で、未だ50%以上の企業で改善が必要とされています。
このことから、すでに対策をしていた「見直しを推奨」とされていた企業が、さらにセキュリティを強化するための取り組みを進めているということが分かります。特に、DNS電子署名(DNSSEC)の利用が進んでいることが分かりました。
しかし「改善が必要」とされている企業では依然対策が進んでいません。そこで、デージーネットは日本企業のメールセキュリティ対策促進のため、統計レポートを公表致します。
■統計結果(全ドメイン数:188)
デージーネットは、MScheckerを利用してメールサーバのセキュリティ診断を受けたドメインから、2020年1月から2020年12月の診断結果の統計をまとめました。
■総合評価
MScheckerでセキュリティ診断を受けたドメインのうち、総合評価で「安全」と判定されたのは6%で、1年前の総合評価と比較すると4%増加しています。しかし、「改善が必要」と判定されたのは昨年同様52%となっていることから、すでに対策をしていた企業が、さらにセキュリティを強化するための取り組みを進めているということが分かります。
■メールセキュリティ対策済み企業の総合評価
「安全」と「見直しを推奨」の判定を受けているセキュリティ対策ができている企業は、1年前と比較すると、「安全」と判定された企業が3倍に増加していることが分かります。
■メールセキュリティにおける対策の優先度
メールセキュリティにおける対策の優先度としては以下の通りです。
〇必ず行わなければならない対策
・メール不正中継(統計結果:100%が対策済み)
・DNSBL 登録(統計結果:100%が対策済み)
〇現在行われているべき対策
・メール通信の暗号化(統計結果:72%が対策済み)
・送信元ドメイン認証(統計結果:85%が対策済み)
・送信元DNS逆引き(統計結果:93%が対策済み)
・DNSSEC 対応(統計結果:6%が対策済み)
■MScheckerの判定基準
MScheckerにおける評価の種類と判定基準は以下の通りです。
【評価の種類】
安全
【判定基準】
メール不正中継OK
SPFチェックまたはDKIMチェックどちらかがOK
メール受信処理のSSL/TLSメール送信OK
メール送信処理のSSL/TLSメール送信OK
送信元DNS逆引きOK
DNSSEC対応OK
DNSBL登録OK
【評価の種類】
危険
【判定基準】
メール不正中継NG
【評価の種類】
改善が必要
【判定基準】
SPFチェック、DKIMチェックどちらもNG
メール送信処理のSSL/TLSメール送信NG
メール受信処理のSSL/TLSメール送信NG
送信元DNS逆引きNG
【評価の種類】
見直しを推奨
【判定基準】
DNSSEC対応NG
DNSBL登録NG
判定基準と1年前の結果を踏まえると、メールセキュリティ対策をしている企業では、「DNSSEC」まで対応する企業が増加したということが分かります。
■取り組みが進んでいる「DNSSEC」
DNSSECは、DNSの情報に電子署名をつけることで、DNSの応答が正式な発行元のデータかどうか検証できるものです。例えば、利用しているDNSサーバの情報が、万が一改ざんされていた場合、接続したいサイトとは全く別のサイトへ誘導されてしまいます。DNSSECによる検証を行うことで、改ざんを見抜くことができます。
■「送信元ドメイン認証」はDKIMチェックが徐々に増加
ほとんどの迷惑メール、標的型メールは、送信者を偽装した「なりすましメール」です。「なりすましメール」を対策するには、メールの受信時に送信元ドメイン認証を行い、認証できないものは迷惑メールとして振り分けるという対策が有効です。
この対策を行うためには、メール送信側が送信元ドメイン認証の設定を行っている必要があります。メール送信側が「送信元ドメイン認証」の設定をしていない場合、受信側のメールサーバがなりすましメールか否かの判定ができません。
MScheckerでは、「送信元ドメイン認証」のチェックとしてSPFチェックとDKIMチェックのどちらかが設定されていることが安全と判定するための条件の一つとしています。
「送信元ドメイン認証」の対策は、1年前と比較するとSPFチェックとDKIMチェックの両方設定している企業が10%増加しました。また、1年前はDKIMチェックのみより、SPFチェックのみ設定している企業の方が多かったのに対し、今回の結果ではDKIMチェックの設定が増加していることが分かります。
■SPFとDKIM
SPFによる送信元ドメイン認証では、送信元メールアドレスのドメインのDNSに登録されているSPFレコードと、メール送信元IPアドレスを調べ、そのIPアドレスがSPFレコードに含まれているかチェックしています。
DKIM(DomainKeys Identified Mail)は、SPFとは異なり、メール送信時に電子署名をメール内に記載します。メールの受信側では、署名ドメインのDNSサーバに公開されている情報を使い電子署名が正しいかどうかチェックしています。DKIMでの送信元ドメイン認証では、途中でメールの中継があった場合にも、チェックが可能です。SPFとは異なる方法でチェックできるため、送信者ドメイン認証の精度を高めるためには必須です。DKIMチェックの設定に関しては、1年前と比較し3%改善され、徐々に取り組みが進んでいることが分かります。
■考察
MScheckerを用いたメールサーバのセキュリティ診断では、1年前と比較し「安全」と判定された企業のメールサーバが3倍に増加しました。この結果から、すでに対策をしている企業では、更なるセキュリティ強化の取り組みとしてDNSSECの対応まで行う企業が増加しているということが分かりました。
SSL/TLSメール送受信については、どちらも72%の企業で対策がとられていることが分かり、1年前と比較すると普及率が上がりつつあります。SSL/TLSメール送受信を設定していない場合、メールの暗号化がされず企業の機密情報や個人情報の漏洩につながる可能性があるため、今後も引き続き普及していくと思われます。
また、送信元ドメイン認証では、DKIMチェックとSPFチェックの両方を設定している企業が増えました。その中でも、DKIMチェックを取り入れる企業が徐々に増えていることが分かります。
上記のことから、日本企業のメールセキュリティ対策は、すでに対策をしている企業はさらにセキュリティ強化を行うための取り組みを進めているということが明らかとなりました。
テレワークなどニューノーマルな働き方に合わせて、セキュリティも強化していく必要があります。その中でも「送信元ドメイン認証」の設定については、相手のメールサーバのセキュリティ対策にも関わる設定です。未だ対策をしていない企業は、至急対策を行うべきです。
当社が提供するメールサーバセキュリティ診断『MSchecker』では、現在利用中のメールサーバのセキュリティをチェックするツールとしてMScheckerの運営を行っています。MScheckerでは、メールのセキュリティ項目を整理し、メールのセキュリティが適切な状態か、誰でも簡単に確認することができます。
■Msckeckerについて
MScheckerでは、以下のことが無料でチェックできます。
・メールの通信が暗号化されているか(SSL/TLSメールの送受信)
・第三者によるメールの不正な中継が可能な状態になっていないか(メール不正中継)
・メール送信元がSPFレコードに登録されているか(SPFチェック)
・ドメインのDNSサーバに電子署名の公開鍵が正しく登録されているか(DKIMチェック)
・メールアドレスのドメインのDNS逆引きが正しいか(送信元DNS逆引き)
・ドメインのDNSサーバがDNSSECに対応しているか(DNSSEC対応)
・ドメインがDNSブラックリストに登録されていないか(DNSBL登録)
■デージーネットについて
株式会社デージーネットは、メールサーバの構築やコンサルティングを行っている会社です。オープンソースソフトウェア(OSS)を利用し、お客様のご要望に応じたシステムをご提案しています。これまでに、企業やISP向けに多くのメールサーバを構築してきました。診断結果を受け、メールサーバの改善を行いたい場合には、サーバのリプレースや改善コンサルティングについてご相談を受け付けています。システム導入後には、発見されたセキュリティホールの問い合わせにも対応しています。
■参考URL
【MSchecker】
・https://mschecker.jp/
【デージーネットのシステム構築サービス】
・https://www.designet.co.jp/system/
【デージーネットの導入後支援】
・https://www.designet.co.jp/system/support/
■会社概要
会社名: 株式会社デージーネット
代表者: 代表取締役 恒川 裕康
本社 : 〒465-0025 愛知県名古屋市名東区上社四丁目39-1
資本金: 4,000万円
URL : https://www.designet.co.jp/
<一般の方からのお問い合わせ先>
https://www.designet.co.jp/contact/
画像1: https://www.atpress.ne.jp/releases/243089/LL_img_243089_1.png
【メールサーバセキュリティ評価】
■調査結果まとめ
・メールセキュリティの重要性が浸透し、「安全」なメールサーバの利用は1年前から3倍に増加。
・すでに対策済みの企業は、さらにセキュリティを強化する取り組みを推進している。
・対策済み企業の中では、特にDNS電子署名(DNSSEC)の利用が進んでいる。
・送信元ドメイン認証では、DKIMの利用が進んでいる。
・未だ52%の企業が、メールセキュリティを強化・改善する必要がある。
■概要
ニューノーマルな働き方の一つとして、テレワークが徐々に定着してきました。それに伴い、メールの利用も以前より増え、今後企業はテレワーク環境を前提としたメールセキュリティ対策を強化していく必要があります。
デージーネットではメールサーバのセキュリティ診断を行うMSchecker( https://mschecker.jp/ )での統計結果から、1年前と比較し「安全」と判定された企業のメールサーバが3倍に増加したことが分かりました。しかしその一方で、未だ50%以上の企業で改善が必要とされています。
このことから、すでに対策をしていた「見直しを推奨」とされていた企業が、さらにセキュリティを強化するための取り組みを進めているということが分かります。特に、DNS電子署名(DNSSEC)の利用が進んでいることが分かりました。
しかし「改善が必要」とされている企業では依然対策が進んでいません。そこで、デージーネットは日本企業のメールセキュリティ対策促進のため、統計レポートを公表致します。
■統計結果(全ドメイン数:188)
デージーネットは、MScheckerを利用してメールサーバのセキュリティ診断を受けたドメインから、2020年1月から2020年12月の診断結果の統計をまとめました。
■総合評価
MScheckerでセキュリティ診断を受けたドメインのうち、総合評価で「安全」と判定されたのは6%で、1年前の総合評価と比較すると4%増加しています。しかし、「改善が必要」と判定されたのは昨年同様52%となっていることから、すでに対策をしていた企業が、さらにセキュリティを強化するための取り組みを進めているということが分かります。
■メールセキュリティ対策済み企業の総合評価
「安全」と「見直しを推奨」の判定を受けているセキュリティ対策ができている企業は、1年前と比較すると、「安全」と判定された企業が3倍に増加していることが分かります。
■メールセキュリティにおける対策の優先度
メールセキュリティにおける対策の優先度としては以下の通りです。
〇必ず行わなければならない対策
・メール不正中継(統計結果:100%が対策済み)
・DNSBL 登録(統計結果:100%が対策済み)
〇現在行われているべき対策
・メール通信の暗号化(統計結果:72%が対策済み)
・送信元ドメイン認証(統計結果:85%が対策済み)
・送信元DNS逆引き(統計結果:93%が対策済み)
・DNSSEC 対応(統計結果:6%が対策済み)
■MScheckerの判定基準
MScheckerにおける評価の種類と判定基準は以下の通りです。
【評価の種類】
安全
【判定基準】
メール不正中継OK
SPFチェックまたはDKIMチェックどちらかがOK
メール受信処理のSSL/TLSメール送信OK
メール送信処理のSSL/TLSメール送信OK
送信元DNS逆引きOK
DNSSEC対応OK
DNSBL登録OK
【評価の種類】
危険
【判定基準】
メール不正中継NG
【評価の種類】
改善が必要
【判定基準】
SPFチェック、DKIMチェックどちらもNG
メール送信処理のSSL/TLSメール送信NG
メール受信処理のSSL/TLSメール送信NG
送信元DNS逆引きNG
【評価の種類】
見直しを推奨
【判定基準】
DNSSEC対応NG
DNSBL登録NG
判定基準と1年前の結果を踏まえると、メールセキュリティ対策をしている企業では、「DNSSEC」まで対応する企業が増加したということが分かります。
■取り組みが進んでいる「DNSSEC」
DNSSECは、DNSの情報に電子署名をつけることで、DNSの応答が正式な発行元のデータかどうか検証できるものです。例えば、利用しているDNSサーバの情報が、万が一改ざんされていた場合、接続したいサイトとは全く別のサイトへ誘導されてしまいます。DNSSECによる検証を行うことで、改ざんを見抜くことができます。
■「送信元ドメイン認証」はDKIMチェックが徐々に増加
ほとんどの迷惑メール、標的型メールは、送信者を偽装した「なりすましメール」です。「なりすましメール」を対策するには、メールの受信時に送信元ドメイン認証を行い、認証できないものは迷惑メールとして振り分けるという対策が有効です。
この対策を行うためには、メール送信側が送信元ドメイン認証の設定を行っている必要があります。メール送信側が「送信元ドメイン認証」の設定をしていない場合、受信側のメールサーバがなりすましメールか否かの判定ができません。
MScheckerでは、「送信元ドメイン認証」のチェックとしてSPFチェックとDKIMチェックのどちらかが設定されていることが安全と判定するための条件の一つとしています。
「送信元ドメイン認証」の対策は、1年前と比較するとSPFチェックとDKIMチェックの両方設定している企業が10%増加しました。また、1年前はDKIMチェックのみより、SPFチェックのみ設定している企業の方が多かったのに対し、今回の結果ではDKIMチェックの設定が増加していることが分かります。
■SPFとDKIM
SPFによる送信元ドメイン認証では、送信元メールアドレスのドメインのDNSに登録されているSPFレコードと、メール送信元IPアドレスを調べ、そのIPアドレスがSPFレコードに含まれているかチェックしています。
DKIM(DomainKeys Identified Mail)は、SPFとは異なり、メール送信時に電子署名をメール内に記載します。メールの受信側では、署名ドメインのDNSサーバに公開されている情報を使い電子署名が正しいかどうかチェックしています。DKIMでの送信元ドメイン認証では、途中でメールの中継があった場合にも、チェックが可能です。SPFとは異なる方法でチェックできるため、送信者ドメイン認証の精度を高めるためには必須です。DKIMチェックの設定に関しては、1年前と比較し3%改善され、徐々に取り組みが進んでいることが分かります。
■考察
MScheckerを用いたメールサーバのセキュリティ診断では、1年前と比較し「安全」と判定された企業のメールサーバが3倍に増加しました。この結果から、すでに対策をしている企業では、更なるセキュリティ強化の取り組みとしてDNSSECの対応まで行う企業が増加しているということが分かりました。
SSL/TLSメール送受信については、どちらも72%の企業で対策がとられていることが分かり、1年前と比較すると普及率が上がりつつあります。SSL/TLSメール送受信を設定していない場合、メールの暗号化がされず企業の機密情報や個人情報の漏洩につながる可能性があるため、今後も引き続き普及していくと思われます。
また、送信元ドメイン認証では、DKIMチェックとSPFチェックの両方を設定している企業が増えました。その中でも、DKIMチェックを取り入れる企業が徐々に増えていることが分かります。
上記のことから、日本企業のメールセキュリティ対策は、すでに対策をしている企業はさらにセキュリティ強化を行うための取り組みを進めているということが明らかとなりました。
テレワークなどニューノーマルな働き方に合わせて、セキュリティも強化していく必要があります。その中でも「送信元ドメイン認証」の設定については、相手のメールサーバのセキュリティ対策にも関わる設定です。未だ対策をしていない企業は、至急対策を行うべきです。
当社が提供するメールサーバセキュリティ診断『MSchecker』では、現在利用中のメールサーバのセキュリティをチェックするツールとしてMScheckerの運営を行っています。MScheckerでは、メールのセキュリティ項目を整理し、メールのセキュリティが適切な状態か、誰でも簡単に確認することができます。
■Msckeckerについて
MScheckerでは、以下のことが無料でチェックできます。
・メールの通信が暗号化されているか(SSL/TLSメールの送受信)
・第三者によるメールの不正な中継が可能な状態になっていないか(メール不正中継)
・メール送信元がSPFレコードに登録されているか(SPFチェック)
・ドメインのDNSサーバに電子署名の公開鍵が正しく登録されているか(DKIMチェック)
・メールアドレスのドメインのDNS逆引きが正しいか(送信元DNS逆引き)
・ドメインのDNSサーバがDNSSECに対応しているか(DNSSEC対応)
・ドメインがDNSブラックリストに登録されていないか(DNSBL登録)
■デージーネットについて
株式会社デージーネットは、メールサーバの構築やコンサルティングを行っている会社です。オープンソースソフトウェア(OSS)を利用し、お客様のご要望に応じたシステムをご提案しています。これまでに、企業やISP向けに多くのメールサーバを構築してきました。診断結果を受け、メールサーバの改善を行いたい場合には、サーバのリプレースや改善コンサルティングについてご相談を受け付けています。システム導入後には、発見されたセキュリティホールの問い合わせにも対応しています。
■参考URL
【MSchecker】
・https://mschecker.jp/
【デージーネットのシステム構築サービス】
・https://www.designet.co.jp/system/
【デージーネットの導入後支援】
・https://www.designet.co.jp/system/support/
■会社概要
会社名: 株式会社デージーネット
代表者: 代表取締役 恒川 裕康
本社 : 〒465-0025 愛知県名古屋市名東区上社四丁目39-1
資本金: 4,000万円
URL : https://www.designet.co.jp/
<一般の方からのお問い合わせ先>
https://www.designet.co.jp/contact/