安全にメールを使う上で、メールのセキュリティ対策は欠かせない。一方、対策は多岐にわたる。基本のセキュリティ対策を5つ紹介する。
「強力なパスワードを使う」「スパムメールを受信したら送信元をブロックする」といった基本的な対策を徹底しても、メールがセキュリティの弱点となっている状況はどの組織でも変わらない。それはなぜか。本稿はメールセキュリティを強化するための対策を5個紹介する。
定期的に、従業員のセキュリティ意識を高めるための研修を実施する。企業のセキュリティポリシーや、組織を安全に保つための従業員の役割、サイバー攻撃で想定される脅威や被害、被害に遭った場合に取るべき行動について、従業員が学べるようにする。
パスワードに関する考え方は変化している。従来は「}m}{4p#P@R9w」のように大文字や小文字、記号を使った複雑なパスワードを作ることが推奨されたこともあった。しかし従業員がそのパスワードを付せんに書き留めたり、PCの安全ではないファイルに保存したりして、かえって情報漏えいにつながる恐れがある。
米国立標準技術研究所(NIST)によると、パスワードの強度を高めるには、複雑さではなく長さが重要だ。「_kittEnsarEadorablE_」といったパスフレーズ(複数の単語やフレーズをつなげた認証情報)は、覚えやすく推測されにくい。辞書に載っている単語をパスワードの推測に利用する「辞書攻撃」から身を守る際にも有効とされる。
デジタルマーケティング企業Centerfield Media Company傘下でセキュリティに関する情報を提供するSecurity.orgは、エンドユーザーがパスワードの強度を確認できるツールを提供している。筆者がこのツールを試したところ、「_kittEnsarEadorablE_」は解読に2兆年かかると表示された。
従業員が適切なパスワードを作成できるように、パスワードに関する企業ポリシーを策定することも一考だ。
パスワードの使い回しはセキュリティ上のリスクだ。攻撃者があるアカウントの認証情報を入手すると、その認証情報を使用している他のアカウントにも容易にアクセスできる。特に、業務用のアカウントと私用のアカウントで同じ認証情報を使用することは危険だ。
従業員には、強力でユニークなパスワードをアカウントごとに使い分けるように促す。幾つもの認証情報を利用する従業員は、シングルサインオン(SSO)やパスワードマネジャーを使えば負担を軽減できる。
パスワードは90日ごとに変更するのが標準とされていた。しかし、この方法では従業員がストレスを感じ、安全性の低いパスワードに書き換える恐れがある。「Password1」を90日後に「Password2」にするといった具合だ。
NISTは、不正アクセスやデータ漏えいの疑いがある場合を除き、従業員に定期的なパスワードの変更を強制しないよう推奨している。ただし、クレジットカード情報を保護するためのセキュリティ基準「PCI DSS」といった特定の規制を順守する場合、パスワードの頻繁な変更が必要だ。
従業員の本人確認に複数の方法を組み合わせるのがMFAだ。例えば、ユーザー名とパスワードに加えて、ワンタイムパスワードや指紋などの生体認証を併用する。認証プロセスに第二、第三の要素を追加することで、ブルートフォース(総当たり)攻撃やパスワードクラッキング(パスワードを探り当てること)の被害を防ぐことが可能だ。
次回も引き続き、メールセキュリティを向上させるための取り組みを紹介する。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
ランサムウェア攻撃は、生成AIを活用してますます巧妙化している。このような中で有効なのが、ゼロトラストセキュリティの原則に基づいた防御の戦略だ。本資料では、その戦略を5つのステップで解説する。
多くのセキュリティ担当者は、日々進化するサイバー脅威と複雑化するIT環境のはざまで対応を迫られている。本資料ではその現状を、ITおよびセキュリティのプロフェッショナルへの調査で明らかにし、打開策を考察する。
フィッシング攻撃は日々高度化し、特に生成AIの活用による偽装技術の向上や攻撃手法の巧妙化が進んでいる。本資料では、フィッシング攻撃のトレンドや事例を紹介するとともに、防御のベストプラクティスについて考察する。
従来のセキュリティ製品は、境界やエンドポイントの保護に重点を置いており、ネットワークレイヤーの保護は難しい。ハッカーはこの“ギャップ”を悪用するため、ネットワークトラフィックに潜む異常をリアルタイムに検知することが重要だ。
大企業のIT部門を対象に行ったセキュリティ対策に関する調査によると、未知の脅威への検知対策を行っているものの、その対策に不安を感じている企業は少なくないという。大企業はどのようなセキュリティの課題を抱えているのか。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...