安全にメールを使う上で、メールのセキュリティ対策は欠かせない。一方、対策は多岐にわたる。基本のセキュリティ対策を5つ紹介する。
「強力なパスワードを使う」「スパムメールを受信したら送信元をブロックする」といった基本的な対策を徹底しても、メールがセキュリティの弱点となっている状況はどの組織でも変わらない。それはなぜか。本稿はメールセキュリティを強化するための対策を5個紹介する。
定期的に、従業員のセキュリティ意識を高めるための研修を実施する。企業のセキュリティポリシーや、組織を安全に保つための従業員の役割、サイバー攻撃で想定される脅威や被害、被害に遭った場合に取るべき行動について、従業員が学べるようにする。
パスワードに関する考え方は変化している。従来は「}m}{4p#P@R9w」のように大文字や小文字、記号を使った複雑なパスワードを作ることが推奨されたこともあった。しかし従業員がそのパスワードを付せんに書き留めたり、PCの安全ではないファイルに保存したりして、かえって情報漏えいにつながる恐れがある。
米国立標準技術研究所(NIST)によると、パスワードの強度を高めるには、複雑さではなく長さが重要だ。「_kittEnsarEadorablE_」といったパスフレーズ(複数の単語やフレーズをつなげた認証情報)は、覚えやすく推測されにくい。辞書に載っている単語をパスワードの推測に利用する「辞書攻撃」から身を守る際にも有効とされる。
デジタルマーケティング企業Centerfield Media Company傘下でセキュリティに関する情報を提供するSecurity.orgは、エンドユーザーがパスワードの強度を確認できるツールを提供している。筆者がこのツールを試したところ、「_kittEnsarEadorablE_」は解読に2兆年かかると表示された。
従業員が適切なパスワードを作成できるように、パスワードに関する企業ポリシーを策定することも一考だ。
パスワードの使い回しはセキュリティ上のリスクだ。攻撃者があるアカウントの認証情報を入手すると、その認証情報を使用している他のアカウントにも容易にアクセスできる。特に、業務用のアカウントと私用のアカウントで同じ認証情報を使用することは危険だ。
従業員には、強力でユニークなパスワードをアカウントごとに使い分けるように促す。幾つもの認証情報を利用する従業員は、シングルサインオン(SSO)やパスワードマネジャーを使えば負担を軽減できる。
パスワードは90日ごとに変更するのが標準とされていた。しかし、この方法では従業員がストレスを感じ、安全性の低いパスワードに書き換える恐れがある。「Password1」を90日後に「Password2」にするといった具合だ。
NISTは、不正アクセスやデータ漏えいの疑いがある場合を除き、従業員に定期的なパスワードの変更を強制しないよう推奨している。ただし、クレジットカード情報を保護するためのセキュリティ基準「PCI DSS」といった特定の規制を順守する場合、パスワードの頻繁な変更が必要だ。
従業員の本人確認に複数の方法を組み合わせるのがMFAだ。例えば、ユーザー名とパスワードに加えて、ワンタイムパスワードや指紋などの生体認証を併用する。認証プロセスに第二、第三の要素を追加することで、ブルートフォース(総当たり)攻撃やパスワードクラッキング(パスワードを探り当てること)の被害を防ぐことが可能だ。
次回も引き続き、メールセキュリティを向上させるための取り組みを紹介する。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
従来型境界防御が限界を迎え、企業は新たなサイバーセキュリティの課題に直面している。今日の高度な脅威に対抗するためのセキュリティアプローチとして、ZTNA、EDR、XDRの統合による包括的保護の実現方法について解説する。
「AIエージェント」をはじめとする人工知能(AI)技術を、脅威の検出や分析に利用する動きが広がりつつある。AI技術がセキュリティ分野にもたらす可能性と、その効果を最大限引き出すために留意すべき課題について整理する。
セキュリティ運用の複雑化を防ぐために、乱立するセキュリティツールの統合に取り組む企業が増えている。しかし、ただ統合するだけでは必ずしも問題の解決にはつながらない。“賢い統合”を実現するためのポイントとは。
SIEMとSOARは、企業のセキュリティ運用を支える中核的なツールだ。両ツールの目的や機能、メリットは大きく異なるが、十分に理解している人は少ない。それぞれの特徴を整理し、自社に最適な選び方を分かりやすく解説する。
「EDR」と「SIEM」はどちらも企業のセキュリティを強化するための重要なツールだが、それぞれ担う役割や得られるメリットは大きく異なる。両者の違いや併用の可能性について触れつつ、最適なセキュリティ体制を構築するヒントを探る。
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
ユーザー任せの「PCセキュリティ」はもう限界 “誰が使っても安全”な方法とは (2025/4/21)
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...