セキュリティ対策というと「パスワードを定期的に変更しましょう」と言われますが、見落としがちなのが「通信経路」です。
今回は狙われやすいメールの通信経路について簡単に説明したいと思います。

メールが相手に届くまでの通信経路

皆さんはメールを送るときに通信経路が暗号化されているかご存知でしょうか？
暗号化されていないメールは同じネットワーク内（例えば隣の席の人）から丸見えです。

メールが相手に届くまでの通信経路を図にしたのがこれです。

全ての経路で暗号化されていないと途中の経路で読み取られる可能性がありますので注意が必要です。

…といっても、相手先の環境は分かりませんので（返信があればある程度分かります）、自社の環境は「対策済み」と胸を張って言えるようにしておきましょう。

例えばインターネットを検閲している国にメールを送った場合、暗号化していない通信はその内容を読み取られていると思って間違いないです。
また、経路を暗号化していてもメールサーバー上では暗号化されていないので、メールサーバー上で誰かに閲覧されている可能性は残ります。

つまり本当の機密情報はメールでやり取りしてはいけません。

自社のメールが対策済みかチェックする

メール送受信に使っているソフト（Office Outlookなど）の設定を開いて、下記項目を確認します。

• POP3のポート番号が110の場合、暗号化されていません。
• SMTPのポート番号が25の場合、暗号化されていません。

現在ほとんどのメールサービスでは暗号化に対応しているため、暗号化した通信をするには、メールソフトの設定を変更するだけです。

詳しくはメールサービスを提供している業者やIT担当に問い合わせてください。
メールサーバーに関しては難しくなるので省略します。
自分のメールが迷惑メールに分類されにくくなるSPFやDKIMの事は要望があれば書きます。

暗号化されていれば添付ファイルにパスワード付ける必要なし

日本には添付ファイルを圧縮してパスワードを別メールで送る慣習がありますが、これは経路が暗号化されていなかった時代の名残です。
もしメールを読み取られていれば別メールに記載のパスワードも当然読めます。

重要な書類を送る際は下記を検討してみて下さい。

• Googleドライブなどのオンラインストレージで共有。必要がなくなればオンラインから削除
• PDFに編集制限／閲覧制限のパスワードを付けて配布
• Slackなどのツールを使うのもあり

ただ、社員のセキュリティ意識向上を狙っているとすれば「パスワードを別メールで送る」意味はあるかなと思います。
ちなみにプライバシーマークの取得要件に「メール誤送信対策をしているか」があるようです。

まとめ

近年は個人情報保護やセキュリティ対策に関する意識が高まってきています。
会社にとって信用は財産。
情報漏洩は会社の信用を一瞬で失います。
セキュリティに対する意識を高めて、これからの時代を乗り切っていきましょう！