中小企業の情報セキュリティ対策ガイドライン第2版が公開

独立行政法人情報処理推進機構(IPA)が「中小企業の情報セキュリティ対策ガイドライン 第2版」を公開しました。

参考リンク:
プレス発表 「中小企業の情報セキュリティ対策ガイドライン」を刷新、公開(IPA)→ 外部リンク
中小企業の情報セキュリティ対策ガイドライン(IPA)→ 外部リンク

このガイドラインは、2015年末に経済産業省が策定している「サイバーセキュリティ経営ガイドライン」と同様に、経営者の視点と実務者の視点で記載されています。
経済産業省が策定した「サイバーセキュリティ経営ガイドライン」は事業規模が大きい会社向けでしたが、これを受けて『中小企業』が行うべきセキュリティ対策のガイドラインが示されています。

情報セキュリティが経営課題であることを再確認するためのさまざまな要件が記載されており、経営者が内容を確認するだけでなく、担当者が情報セキュリティについて経営者に説明するための良い資料であると考えます。

【内容一例】
・「標的型攻撃メールによる被害」
・「情報セキュリティ監査(パスワード管理)」
・「委託時の情報セキュリティ対策」

今回の「中小企業の情報セキュリティ対策ガイドライン」はイラストや事例がふんだんに使用されており、読みやすくなってはいるものの、普段からセキュリティを意識していない人にとってはやはり敷居が高いことに変わりはありません。

ガイドラインには【付録】として、
情報セキュリティ5か条」という2ページの簡単な読み物、
5分でできる!情報セキュリティ自社診断シート」という全25問の質問形式の自社診断が付属しています。
自社のセキュリティ意識を高めるため、社内の有志メンバーに、まずはこちらから読んでもらうのも啓蒙・啓発を促す手段かと思います。

認証メール配信とは(送信ドメイン認証まとめ)

認証メール配信」に利用している技術、第四回は「送信ドメイン認証」についてまとめをしてみたいと思います。

このブログ第一回第二回第三回に書いてきましたとおり、送信ドメイン認証という技術は、大きく二種類に分けられます。
一つは送信元IPアドレスを根拠に、正規のサーバーから送られたかどうかを検証する技術で、
もう一つは、送られたメールの中に電子署名を挿入し、その正当性を検証する技術です。

実は前者にはSPF以外にもSender IDという技術があり、後者にはDKIM以外にDomainKeysという技術があります。
Sender IDはライセンスの自由性に問題があるため普及率が低く、DomainKeysは後継技術としてDKIMが策定されたため、普及しませんでした。

さらに、現在最も普及しているSPFとDKIMの送信ドメイン認証技術の認証結果を基に、自動でアクセスを制御したりレポーティングしたりできるようにする仕組みとしてDMARCが策定されましたが、未だ一般的に利用されている技術ではないのが実情です。

送信ドメイン認証のまとめ

【送信元IPアドレスを根拠に、正規のサーバーから送られたかどうかを検証する技術】
SPF(Sender Policy Framework) → 第一回参照
Sender ID → ライセンスの自由性に問題

【送られたメールの中に電子署名を挿入し、その正当性を検証する技術】
DomainKeys → 後継技術としてDKIM
DKIM(DomainKeys Identified Mail) → 第二回参照、第三回参照

【SPFとDKIM両方を利用する、次世代の送信ドメイン認証技術】
DMARC(Domain-based Message Authentication、Reporting & Conformance) → 2012年1月、Google・Facebook・Microsoftをはじめ15社の企業がスパムやフィッシングの脅威撲滅を目的としたワーキンググループ。未だ普及率云々というフェーズではない

『認証メール配信』はどうして迷惑メールになりにくいのか まとめ

SPFを利用し、全てのヘッダ情報においてドメインが一致しているから
・メールサーバのIPアドレスを逆引きした時に返ってくるホスト名のドメインでメールを送信するから
DKIMを利用し、電子署名には第三者署名ではなく作成者署名を用いているから

目次へ戻る

認証メール配信とは(DKIM作成者署名と第三者署名編)

認証メール配信」に利用している技術について。第三回は「DKIMの署名」についてです。

第二回 認証メール配信とは(DKIM編) でご紹介したとおり、DKIMという技術は電子署名をベースとして成す技術ですが、この電子署名、実は二つの種類が存在します。
作成者署名
第三者署名

メールのFromアドレスに記載されているメールアドレスのドメイン名で署名した場合を作成者署名といい、それ以外を第三者署名といいます。

作成者署名で電子メールを正しく認証できた場合は、間違いなくメール送信者のドメインから送信されたメールであることが確認できます。
しかし、第三者署名で電子メールを正しく認証できた場合であっても、メール送信者のドメインであることは確認できず、どのドメイン名のメールサーバから送信されたのか…であれば確認できる…という、署名の違いが存在します。

この二つの署名の違い、つまり『署名の強度』なわけですが、ASP(アプリケーションサービスプロバイダ)のサービスとしてメルマガ配信を利用するような他社のサービスの場合、サービス提供の仕様上DKIMを使用できても「第三者署名」である可能性が高く、「作成者署名」である可能性はほぼありません(このブログ記載時)。
※一部「作成者署名」を提供しておられる事業者様が居られますが、弊社のサービス提供価格とは比べ物にならない程高価な状況です。

認証メール配信サービスでは、この作成者署名を利用しており、電子メールの身元について明らかなサービスであるため、迷惑メールフォルダに送られにくいサービスであると言えます。

目次へ戻る

認証メール配信とは(DKIM編)

認証メール配信」に利用している技術についての第二回は「DKIM」についてです。

DKIMは送信側で電子メールに電子署名を付加し、受信側でその電子署名を照合するという方法で送信者のドメインの認証を行います。

SPFの場合、DNSサーバのSPFレコードに記載される情報は(基本的には)IPアドレスですが、DKIMの場合は公開鍵が登録されています。

電子メールの送信側は、電子メールのヘッダおよびボディを元に電子署名を作成し、作成した電子署名をDKIM-Signatureヘッダとして電子メールに付与します。

電子メールの受信側では、メッセージに付与されたDKIM-Signatureヘッダを取り出し、あらかじめ決められた手順に従い、署名の照合を行います。
この手順の中で公開鍵を利用し、電子署名から取り出したハッシュと受信したメールから作成したハッシュを比較して同じであれば認証成功となり、電子メールの正当性を担保します。

単純にDNSサーバのSPFレコードの記載との比較を行うSPFと比較して、鍵情報を元に演算を行うDKIMはメールサーバーへの設定も高度であり、携帯キャリアメール(docomo、au、SoftBank)に搭載されているSPFに比べて普及が遅れているのが現状です。

ハッシュとは、データの確認や探索に用いる小さなデータの事である。 ハッシュ値は元データを何らかのルールで要約したものと捉えることができる。 ハッシュはある特定のアルゴリズムによって生成され、次のような場合に用いられる。 ダウンロードしたファイルが改竄されたり破損したりしていないかを確認する。
ハッシュとは (ハッシュとは) [単語記事] – ニコニコ大百科
dic.nicovideo.jp/a/ハッシュ

目次へ戻る

認証メール配信とは(SPFと逆引き編)

弊社がサービスを開始いたしました、「認証メール配信」に利用している技術について、ブログを書くことにいたしました。第一回は「SPFと逆引き」について、短めに書いてみます。

SPFとは、メールを送信するサーバの情報を予めDNSサーバ上で公開し、送信されたメールのドメイン名とDNSサーバのSPFレコードとの整合性を受信サーバ側で照合することで、そのメールが正当なメールサーバから送信されたものかを認証する技術です。
これにより「なりすましメール」を判別することが可能になります。
(SPF : Sender Policy Framework)

SPFは、SMTPセッションのMAIL FROM(MFROM:エンベロープに書かれたFromアドレス)からドメインを認識します。
エンベロープFromアドレスは、配送に問題があった場合の戻り先アドレスとなります。

メール配信システムでは多数のメールを配信するため、メールを送ったFromアドレスに全てのエラーメールが返ってくると、受信者が返信したメールと一緒に多数のエラーメールを受け取ることになってしまうため、「ヘッダのFromアドレスとは異なるシステムが自動的に受信することができるメールアドレス」をエンベロープFromアドレスに指定するのが一般的です。
※一般的には「バウンスメール」(宛先メールアドレスに届かなかった不達メール)と言います。

よって、一般的なメール配信システムでは、エンベロープFromアドレスにASP提供元のドメインが記載されていることが多く、
エンベロープFromアドレスのドメイン ≠ Fromアドレスのドメイン
となってしまいます。

メールにおいて送信元を識別するヘッダ情報は、以下のような種類
・エンベロープFrom
・From
・Received
・Return-Path
・Reply-To
があり、SPFには直接的に関係が無いものの、「迷惑メールフォルダ」に入りにくい「メールアドレス」にするためには、全てのヘッダでドメインが一致していることに意味があります。

「認証メール配信」システムは、お客様専用のメールサーバーを構築しますので、
全てのヘッダでドメインが一致しているのが最大の特徴です。

お客様用に専用サーバーを構築します
また、「共有サーバー」ではなく「お客様専用のメールサーバー」ですので、
メールサーバのIPアドレスを逆引きした時に返ってくるホスト名のドメインでメルマガを発行します。

SPFは「認証メール配信」の技術の一部ですが、上記の技術によりスパム判定されにくいメール配信システムとなっています。

目次へ戻る

「認証メール配信」プロダクト補足記事 目次

メールマガジン配信システム「認証メール配信」サービスのプロダクトページだけではわからない、受信者の「迷惑メールフォルダ」に入りにくくなる技術とその標準機能について、数回にわたってブログで紹介していきたいと思います。

このエントリーは目次として利用いたしますので、各記事を投稿次第、リンクを更新してまいります。
※目次は目安であり、記事投稿の都合により変更となる場合がございます。

もしかして、迷惑メールフォルダに振り分けられているかも?

第1回 認証メール配信とは(SPFと逆引き編)
第2回 認証メール配信とは(DKIM編)
第3回 認証メール配信とは(DKIM作成者署名と第三者署名編)
第4回 認証メール配信とは(送信ドメイン認証まとめ)
第5回 認証メール配信とは(HTMLメール配信)
第6回 認証メール配信とは(マルチデバイス対応)
第7回 認証メール配信とは(テンプレート作成)
第8回 認証メール配信とは(ステップメール)
第9回 認証メール配信とは(セグメント配信)
第10回 認証メール配信とは(日時予約配信)
第11回 認証メール配信とは(独自ドメイン)
第12回 認証メール配信とは(メール開封数)
第13回 認証メール配信とは(メルマガ会員登録フォーム)
第14回 認証メール配信とは(送信対象者に応じた内容変更)
第15回 認証メール配信とは(登録変更フォームと登録解除)
第16回 認証メール配信とは(顧客データベース管理)
第17回 認証メール配信とは(メールアドレス一括登録)
第18回 認証メール配信とは(配信速度)
第18回 認証メール配信サービスはWEBサーバーも提供

『認証メール配信』サービスを開始いたしました

キャスト・ワークスでは、この度初の自社サービスとなるメールマガジン・ニュースレター・メール配信システム『認証メール配信』を販売開始することができました。
このサービスは、
・メールマガジンを配信しても効果が全くあがらない!
・メールの開封率があがらない!
・集客につながらない!
・メルマガ本当に届いてる!?
広報担当の皆様の、このようなメールマーケティングの課題を解消するべく開発されたサービスです。
『認証メール配信』システムは、送信元を2段階で証明する仕組み(※)を導入しており、
「これはなりすましの不審なメールではありません」
「身元の明らかなサーバーから、送られているメールです」
と証明できるメールを配信しますので、送信先で自動的に「迷惑メール」に振り分けられるということがありません。

上記をはじめとした、『認証メール配信』は是非コチラからご確認ください
https://cast.works/corporate/product/maildelivery

ちょっと興味を惹かれた広報ご担当者様、メールマガジン配信ご担当者様は、是非お気軽に お問い合わせフォーム からお問い合わせくださいませ。

※ 送信ドメイン認証(SPF、DKIM)という技術です。DKIMでは、第三者署名ではなく作成者署名を使用しています。さらに、『認証メール配信』システムでは、サーバーとドメインをDNS逆引き設定も行い、「迷惑メール」に振り分けられにくいサービスの提供に努めています。(他社ASPサービスではまだ提供されていません。)

電気通信事業者届出について

このたび 弊社 株式会社 キャスト・ワークス は電気通信事業法に基づき、総務省 近畿総合通信局長より電気通信事業の届出番号を取得いたしましたので、お知らせとさせていただきます。

電気通信事業者届出
届出番号:E-27-03803
届出年月日:平成27年5月7日 近通電第130号
弊社 会社概要 のページにて掲示しています。

電気通信事業者として電気通信設備を用いて他人の通信を媒介する「電気通信役務」を提供する場合は、電気通信事業者の届出を行うことが義務づけられています。
インターネット(各種WEBサービスやホスティング、電子メール)などでの役務提供が該当いたします。

これからも弊社はよりいっそう安心してご利用頂けるサービスを提供するべく努力してまいります。
今後ともどうぞ宜しくお願い申しあげます。

困りごとの相談先なら

仕事でコンピューターを使うこと、最近ではなんら不思議なコトではなくなり、大企業でなくとも一人に一台のPCが会社から貸与されていることも一般的なことになってきました。
ケータイはスマートフォンになり、企業がホームページを持っていることも普通に。
さて、そうなってくると、次はどのようにしてシステム的な課題を克服するか…ということになってくる訳ですが、皆さんの会社ではこのようなとき、誰に相談されますか?
社長や部長の個人的なお友達…
一般的には、こういった相談相手に何らかのご相談をされることが多いのではないでしょうか?
では、もう少し話が込み入ったとき、そのお友達さんの能力を超えてしまっていたら…

そのような時に、弊社は皆様の『システム部』になりたいのです。
なので『あなたの会社にちょうどいい』。
大企業さんには他の選択肢もあるでしょうが、なにをどうすれば良いか困っている経営規模の小さい事業者様の業務効率化を心を込めて支援したいのです。

○○をなんとかしたいんだけど、誰に相談すればいいのやら…

このような悩みが心の中にあるのなら!
どのようなことでも結構ですので、お気軽に お問い合わせフォーム からご相談ください。

一緒に『小さな解決方法』から検討してみませんか?