メール問題の課題と解決方法

シンジです。暗号化ZIPファイルをメールに添付するのを辞めようとは言うものの、じゃあどうしたらいいのというシンジなりの答えを書いていきます。

まず結論ですが

これをなんの為にやるのかといえば、メールを利用する上で避けられない外部からの攻撃回避と、誤送信回避の2点です。クラウドが便利なので使います、mxHero便利なので使いますという話になるのですが、mxHeroの宣伝になるの嫌だなって思いながら、今回のケースでは抜群の効果を発揮するのが分かりきってるので結局書きます。

メールという古代兵器の破壊力

50年ほど前から利用されているこのシステムは、現代においても人類のコミュニケーションにおいて絶大な力を持つ仕組みとなっています。

白黒テレビがカラーに変わる頃ですかね。そう考えるとメールより電話の方が現代的か?

メールには秘匿かつ重要な情報が記述されるケースがありますが、文字列の抽出によって保護したり監視対象にしたりする仕組みは既に整っています。この機能をDLPと呼ぶことがあります。

では添付ファイルはどうでしょうか。ファイルサーバやストレージから「完全に切り離された」添付ファイルは、無秩序に広がります。

1,000人の組織で1年間でメール添付されるファイルの数は、おおよそ1400万ファイルあると言われています。この数字は1人が1人に送った場合で、複数人に送った場合を排除しています。組織のシステムが美しく統制した「ファイル」であっても、メール添付した瞬間にそれらの手から離れ、切り取られていきます。

そしてメールは現代でも最大のコミュニケーションツールです。1日あたり3000億通以上のメールがやりとりされています。この古代兵器から逃れることは難しそうです。

先に結論を出した2点を実行する理由は、避けては通れないメールというレガシーシステムの保護が可能な環境が現代では整っているからと言えます。

やること

メール添付ファイルに対して、

  • 自組織のセキュリティプロファイル(特定のアクセス許可や自動期限切れ)
  • アクセス制御(ダウンロードさせない、プレビューだけ許可など)
  • 各国規制の適用(HIPPAとかGDPRとかあるじゃん)
  • ユーザ負担なし

これを目標とします。というか結構簡単にできます。メールに添付ファイルがある場合にこれを取り除いて自組織のコンテンツマネジメントシステムに移し、アクセスリンクを発行して制御するという手法です。ユーザのUI/UXがこれまでと変わりません。

メールシステムがオンプレミスの場合

メールサーバがオンプレミスの場合は、そもそもサーバ管理を外部委託しているケースが多く、自らPostfixやらExchangeやらの設定を変更することができないどころか、DNSのmxレコードすらも管理を委託している場合があります。

取り戻しましょう。

全てを委託しているケース

まずはDNSの管理を奪還します。委託先と協議し、Amazon Route53などの自組織で管理可能なDNSを構築します。

次にファイルサーバのクラウド化です。メール添付ファイルは自組織が保護すべきコンテンツです。ファイルサーバのコンテンツ同様に保護するため、コンテンツマネジメントシステムを同一のシステム下におく必要があります。

なんつって簡単にファイルサーバをクラウド化しろと書きましたが、それをやろうと思うとADに紐付いた権限達をどのように引き継いでいくかで悩むはずです。同時に、クラウドサービスへのログイン権限をADと同期させたいと考えるはずです。

方法は以下の通りです。

  • ADとAzureADを接続したHybrid AzureAD環境を作ってOne Driveで頑張る
  • ADとAzureADを接続したHybrid AzureAD環境を作ってBoxで頑張る
  • ADとIdPを接続してIdPにもディレクトリを作成して上記同様頑張る
  • なんか勢いで全部Googleに持ってく

インターネットを通して散らばる添付ファイル。制御するのには絶好の道具があるじゃないですか。それがインターネットつまりクラウドです。これは多くの先人達が通ってきた道です。通れないはずがありません。できないと言っているのはやってないだけです。やりましょう。

で、ここまでが重要で、メールサーバのクラウド化には言及しません。メールサーバをクラウド化することよりも、コンテンツマネジメントを統一することで課題を解決できるからです。メールサーバクラウド化のメリデメは別であります。

まとめてクラウド化するとしてもそうでなくても、全ての課程は徐々に進めることができます。つまり、例えばファイルサーバが撤廃されるまでの段階の中で、徐々に移行を進めることができます。えいやードンでもいいですけどね。俺はそっちの方が好きです。3日目までは使いにくいだのなんだのとクレーム来ますが4日目には慣れてます。そーゆーものです。

添付ファイルが暗号化ZIPだった場合にファイルを削除する

とりあえずやばそうだからファイルを消してしまえという方法です。メールサーバがGoogleあるいはMicrosoftのクラウドサービスを利用している場合、管理者が適切な設定をポチポチと行う事で簡単に設定が可能です。

メリット

この方法は自組織への攻撃を緩和させる方法として有効ですが、誤送信回避はできません。

デメリット

暗号化ZIPが送信できなったことに相手が気づくかどうかにかかっています。
システムによって自動的に暗号化ZIPが生成される組織だった場合の代替手段を提供する必要があります。
現場へ対処法のアナウンスを行う必要があります。
都度対処が必要です。

めちゃめちゃ攻撃メール来まくっててもう大変ってところは、すぐに効果が分かる方法なのでオススメです。とりあえず感がすごいので、暫定対処として今後どうするかは継続的に議論して欲しいです。

メールサーバに対してセキュリティアプライアンスがあり信頼している

暗号化ZIPでマルウェアが送られてくるメールは、1通目にパスワードが書いてあるものが大半で、優秀な?アプライアンスはパスワードを拾って解凍してスキャンして駆除してくれます。

メリット

ないです

デメリット

VPN使わないとメールが見られません。(全部がそうだとは言いませんが)
送信添付ファイルの統合管理には触れられていません。
スケールしないシステムに価値はありません。

そもそもセキュリティ対策はエンドポイントから統合的にやるものです。個別最適な方法を積み重ねても、管理とコストが増えるだけです。

メールのセキュリティアプライアンスに引きずられている場合は、そもそもコンテンツマネジメントへの考慮がない、エンドポイントセキュリティの対策がザル、脆弱性管理がなってない、というのは個人的な感想です。

信じて止まないセキュリティアプライアンスの機能は、今時クラウド使ってれば考えなくても知らないうちに動いている程度のあたりまえのものです。コンテンツマネジメントという観点で説明責任を果たせるのか考え直した方がよいです。

メール添付ファイルをメールサーバから切り離してストレージへ格納しリンクを発行する

OneDrive、Box、Google Driveで適切な設定を行ったファイルサーバが用意できたら、メールの添付ファイルを受信送信あるいはどちらかでもをクラウドストレージに自動格納させてリンク発行することで、暗号化ZIPをどうしてやろうか、やれあのファイルはこうしてやろうか、いやいやダウンロードさせないぞなんてことはお茶の子さいさいです。

手動でやろうものなら大変ですができなくはなさそうなこの作業を、mxHeroは自動で行います。

メールサーバがオンプレだろうがGoogleだろうがMicrosoftだろうが関係なくです。

DNSのmxレコードをmxHeroに向けるだけです。

mxHeroを稼働させてもユーザへの教育や設定依頼は一切ありません。

mxHeroはメールや添付ファイルそのものを保持していません。

mxHeroはメールの本文含めてクラウドストレージにバックアップもできます。

書き出したらキリがなさそうだったので機能一覧貼っておきます。

メッセージ本文の保存
添付ファイルの保存
オリジナルのメールを保存する
マニュアルメッセージの保存
自動メッセージキャプチャ
基本的な自動分類
インテリジェントな自動分類
電子メールからPDFへの変換
メタデータのサポート
メールプログラムのクラウドストレージフォルダ
中央設定と制御
電子メールのコンプライアンス
Microsoft PSTアーカイブ処理
レガシーアーカイブス(ジャーナリング)の入れ替え
メールのサイズを小さくする
メールの受信箱とサーバーのサイズを小さくする
自動メッセージと添付ファイルのセキュリティ
大容量のメール送受信
クラウドキャプチャへのインテリジェントスキャナ
電子メールのトラッキング
サードパーティAPI

クラウドサービスへのアクセスが禁止されている組織への添付メール送付

エンタープライズサービスの場合は自組織のサブドメインがあるはずなので、そこを先方に許可してもらう事を行いつつ、とりあえず現場への解決策としてmxHero側で特定のメールアドレスやドメインに対して通常のメール添付を許可する設定を投入することができます。

一律でこうだ!って言えるといいのですが、何事も柔軟に対応していきたいものです。

セキュリティ担当者様

弊社はセキュリティの観点からBoxを利用しているため、御社とのファイル共有やメール添付ファイルへのアクセスの為に、sudachineko.box.comへのアクセス許可をお願い致します。

ハイパーリンクと電子メールの添付ファイルはどちらも一般的な感染手段ですが、セキュリティの観点から、ハイパーリンクには標準の電子メールの添付ファイルに比べていくつかの重要な利点があります。

適切に保護された弊社クラウドストレージサービスへのハイパーリンクは、ファイルの出所などの詳細な監査証跡を提供します。電子メールの添付ファイルは監査証跡を提供せず、匿名であるため、攻撃者に好まれます。
信頼できるクラウドサービスを簡単に御社のホワイトリストに登録して、ファイルダウンロードを許可できます。

Boxなどのエンタープライズクラウドストレージは、アップロード時にウイルスをスキャンします。ウィルスコンテンツの偶発的な配布さえも制限します。
電子メールの添付ファイルは自己完結型である可能性があり、組織内に入ると、外部のサポートを必要とせずに大混乱を引き起こす可能性があります。対照的に、ハイパーリンクの配信はウィルスの配信ではありません。

添付ファイルが誰かの受信トレイ内に入ると、それは永続的な脅威であり、境界防御を調整することによってシャットダウンすることはできません。受信者がインターネットから切断されている場合でも(飛行機など)、悪意のある電子メールの添付ファイルがユーザーのデバイスに感染する可能性があります。

弊社が発行するハイパーリンクは、弊社の責任と管理において適切に保護されています。

ほなよろしく。

元ネタ
https://www.mxhero.com/post/my-bank-showcases-a-dangerous-misconception-undermining-cybersecurity

誤送信の為に添付ファイルのリンクをユーザーが自分で無効化する

mxHeroにはAPIが用意されているので様々な環境で実装可能です。例えばウチの場合は誤送信を想定した対策として、メールにファイルを添付しても制御は送信者が行えるようになっています。

何かしらの添付メールを送信するとSlackにBotから通知が届き、あなたが送ったこのファイル間違えてたらボタン押してね、みたいな具合です。

詳細はこちらへ
https://blog.animereview.jp/first-incident/

いやいや。
いったん届いてるじゃないか。
本文は取り戻せないじゃないか。

その通りです。古代兵器の制御限界点は添付ファイルの制御で勘弁して下さい。

100円ショップでも買える包丁で動物を殺めることができるのと同じです。そうなったときの為にこれまで何をしてきたか、その時どうするのかを用意しておくのが我々IT側のお仕事です。

誤送信対策については様々な手段手法があるなか、現実的な利用状況のラインを考慮したいい塩梅がここだと思ってます。

mxHeroそのものの安全性

SaaSです。正直わからんす。HIPPAもSOC2もFERPAまで他にもいろいろ持ってて情報量は多いです。

mxHeroとの出会いはその昔、Boxの偉い人が紹介してくれたところから始まるのですが、2016年だったか2017年だったか。

その頃は半信半疑で、便利すぎる機能のわりにはストレージを提供してたりするわけじゃないしこれビジネス的にどうなってんだとかいろいろ思ってましたが、去年は米国国土安全保障省のセキュリティアワード受賞してたりして何か知らんけどすごいかもしれんくらいの感じです。

インフラがAWSなので、AWS死んだら死にますけどね。そのときはメールリンクが機能しない!って叫ぶ以上に混乱が起きてる時だと思いますけども。

mxHeroの競合

見当たらないけどなんかあったら教えて下さい(それもあって半信半疑だったところもある)

mxHeroの導入企業

公開されてるのが全然ないのですが、どうやら教育機関、医療機関、法律関係があるようで、具体的な名前が出てるのがCanon U.S.A., Inc.くらい?たぶんリセラー。資料あるし。
http://downloads.canon.com/nw/pdfs/solutions/mxHero-SpecSheet.pdf

mxHeroの価格

MOQなしの$120/年/ユーザが定価です。定価ですよ。

mxHeroを作る

なんかね、頑張ればそれっぽいの作れる気がするんですよね。SaaSの恩恵を受けにくい環境の会社もあるし、自社開発組織が力持ちなら、mxHeroほど高機能でなくても、目的を達成できるものは作れるような気がします。たぶんあの会社とかは作っちゃうんだろうなーって思うところがいくつかあります。

俺は作れないし運用できないので買いまぁす

参考

mxHeroの記事を沢山参考にしました(しゃちょーのブログおもろい)
https://mxhero.medium.com/

トライアルもあります

ストレージにS3を指定する機能もクローズドで提供できる状態だそうです

Category