Gmailの暗号化設定によりメールに対するセキュリティー意識が向上。ーセキュリティーにまつわるTLS、DMARCって何?

所要時間 1 分 メールマーケティングノウハウ

WEBサイトの暗号化だけでなく、メールの暗号化も推進しているGoogleがGmailにメールの暗号化に関する新しい機能を追加していたのをご存知ですか?

昨今ニュースでも企業のサーバーがハッキングされて個人情報の流出という話を耳にすることもあり、メールの暗号化がされていなかったばかりに、第三者からハッキングされ、メールを送っている側だけでなく、他の人たちにも迷惑をかけてしまうかもしれません。

ということで今回はwebのセキュリティーが叫ばれて久しい昨今、メールのセキュリティーはどうなっているの?という疑問をGmailが実装している対策を例にお話しします。

加速するGmailのセキュリティー改善により6月からメールが送れなくなる!?

Gmailはこの6月から新たにDMARCによるメール認証の設定を変更することを予定しています。

この変更により、Gmail(〇〇@gmail.com)を送信元アドレス(Fromアドレス)としてメール配信スタンドやGmail以外のサーバーを経由してメールを送る場合、メールが一切届かなくなります。メルマガ配信などでメール配信スタンドを活用している場合、送信元ドメイン(gmail.com)と送信に使われるサーバー情報(配信スタンド)が一致していないことで「なりすましメールの疑い」があるとされ、そういったメールはすべてブロックされてしまいます。この認証チェック技術をDMARCと呼び、すでにYahooやAOLでも実装されています。

(Benchmark EmailではGmail、Yahoo、AOLを送信元アドレスに設定した場合、送信元アドレスとBenchmark Eamilの情報を合わせて記載することで、これらを利用したメール配信も可能にしています。)

CRM大手のSalesforceでも今回の変更に対する対策をお知らせしているほか、メール配信スタンドを経由したメール配信にGmailアドレスを活用されている方にはとても重要な問題と言えるでしょう。

しかし裏を返せば、それだけセキュリティーを強化し被害を受けるリスクを軽減することの方が重要だという認識が高まってきていることが伺えます。

そしてセキュリティー向上の一環として今年の2月から実装されたのが、今回のブログのテーマでもある「メール暗号化」というわけです。

関連ブログ:これでばっちり、メールセキュリティー三銃士 ~メールの到達率を上げるSPF、DKIM、DMARC~

なぜGoogleはメールの暗号化を進めているのでしょうか?

ところで、現状日本におけるメール配信の暗号化はどのくらい進んでいると思いますか?

上記はGoogleが公開したレポートの一部で、メールの送受信によく使われる代表的なドメインです。左はGmailがメールを受信する時に送信元となっているドメインで、右側がGmailを利用して送信する時によく使用されるドメインです。

普段よく活利用しているドメインの暗号化が軒並み0%だということに驚きです。

そもそもメールが暗号化されていないということは、安全な接続を通じてメールを送信していないことを意味します。悪意ある第3者によってメールが盗み見られたときに、メールの内容がわかって(読めて)しまいます。つまりメールの内容が外部へ流出してしまう可能性があるということです。

メールの暗号化ができていれば、悪意ある第3者が盗み見たとしても、その内容を理解することが難しく、メールの内容が外部へ流出する危険性も低くなります。

企業であっても、個人であっても、メールの内容が第3者に覗き見られてしまう状況は好ましいものではありません。Googleも「暗号化の仕組み – より安全なメール – 透明性レポート – Google」という専用ページを公開して、暗号化の普及を呼びかけています。

ちなみにGmailから送信するメールの多くが暗号化通信に対応しており、Gmailによって自動的に暗号化されています。

暗号化されていないメールに「?」が表示されてすぐに分かる

Googleは、メールの暗号化を呼びかけているだけでなく、2016年2月9日に「暗号化されていないメールがひと目でわかる」新たな機能をGmailに追加しました。

この新機能では、Gmailを利用したメール送受信において、SSL/TLS暗号化に対応していないメールサーバとのメールのやり取りを行った場合、暗号化されていないメールの送信者名のプロフィール写真に「?」が表示されるようになりました。

メールを完璧に暗号化するには、送信側と受信側の両方が暗号化している必要があるため、今回の機能の追加により、Gmailを使っている人が相手のメールが暗号化されていない(盗み見られる危険性を持っている)ことを簡単に確認できるようになりました。

暗号化されていないメールアドレスへ送信する際にも警告が表示される

暗号化されていないメールアドレスへ送信する際にも警告が表示される

出典元:Official Google Blog: Building a safer web, for everyone

メールでは受信するだけではなく「返信」をしますよね。返信の際に暗号化されたメールに返信するのか、暗号化されていないメールに返信するのかを確認することも必要です。

Gmailではメール受信時だけでなく、メール送信時にも送り先のメールアドレスが暗号化されていない場合に「赤い鍵が外れているマーク」が表示され、警告が表示されるようになりました。

実際にGmailで確認をしてみましたが、暗号化されていないメールには「赤い鍵マーク」が表示されていました。

gmailで暗号化メールを確認する

メールマーケティングでもメールの暗号化を

Benchmark Email USのブログ「Gmail Introduced an Additional Security Feature to Warn Users about Unencrypted Emails」によれば2014年にはGmailと他のプロバイダーを介したメールの40~50%が暗号化されていなかったそうです。

メールマガジンやニュースレターであったとしても、お客様にメールを送るわけですから、そのメールが暗号化されておらず「盗み見されていた!」「ハッキングされていた!」「ウィルスを仕込まれていた!」などとなってしまっては大問題です。

またお客様が企業からのメールに返信をしようとしたときに、送信先のメールアドレスに対する「警告」が表示されたのでは、企業への信頼が揺らいでしまうかもしれません。

メールを暗号化する方法

メールを暗号化するには、メールホスト名の証明書を利用する「TLS/SSLによる暗号化」とメールアドレスごとの証明書を利用する「PGP、S/MIMEによる暗号化」などがあります。

簡単に説明をすると「TLS/SSLによる暗号化」はWEBサイトを暗号化するのと同じように、メールサーバーで暗号化をする方法です。

「PGP、S/MIMEによる暗号化」は、事前に入手した受信者の公開鍵をもとに、暗号化した共通鍵と暗号化したメールを電子署名とともに送信する方法です。

メールを暗号化する方法に関しては、システムエンジニアなど、専門知識と技術が必要になります。「情報システム部門」がある企業であれば、情報システム部門に問い合わせをしてみてください。

Benchmark Emailで送られるメールは暗号化されている

Benchmark Emailを使ってメールマガジンを送信している場合は、暗号化はどうしたらいいのか?と思われる方もいらっしゃるかもしれません。

まずBenchmark Emailは全てTLSによる暗号化がされているので、新たに何かをする必要はありませんのでご安心ください。

Screen Shot 2016-06-02 at 10.55.32 AM

出典元:Google透明性レポート:送信中のメールの暗号化

上記GoogleオフィシャルページでもBenchmark Emailを経由したメール(メルマガ)をGmailで受信した場合、95%以上のメールで暗号化がされていることが確認できます。

また他のメール配信サービスをご利用の方は、Google透明性レポート内、「データを探す」というボックスにて送信ドメインを入力し確認いただくか、各運営会社にお問い合わせください。

このようにGoogleがメールの暗号化や認証基準を高めたことで、メールに対するセキュリティーの重要性は今後ますます見直されていくのではないかと思われます。

その他Gmailに関する記事をチェック

よりスマートな方法で顧客関係の構築を

Benchmarkではより実用的なメールマーケティングを提案しています。購読者との関係を築くことで売上や顧客満足度の向上を達成しましょう。