質問
・他のサーバーを経由しないから暗号化の必要がないだけ
「サーバー」というよりも「インターネット回線を通るかどうか」がポイントです。
インターネット回線ではさまざまなルータを経由します。
それをコントロールもできないので、もしかすると悪い奴が通信を傍受しているかもしれません。
なので暗号化をやっておかないと解析されて情報などが漏えいするかもしれないのです。
社内通信だけ(WANも含む)ならば不特定多数のルータを通るのではないので安全であると言えます。
だから社内にメールサーバがあるときで社内間のメールなら暗号化しなくてよい。
と以前は言っていました。
今はメールサーバがクラウドにあるのでかならずインターネット回線を通るので暗号化しなさい。
ということになっています。
以前は、ウチのメールサーバは社内にありましたので「社内どうしのメールなら添付ファイルの暗号化は不要」としましたが今はクラウドにメールサーバがあるので下記のようにしています。
規程では「重要なファイルをメールに添付して送るときは圧縮・暗号化してパスワードをつけ、パスワードはそのメールには明示しないこと」としています。
重要なファイル とは 第三者に漏えいしたときに当社もしくは利害関係者に被害が及ぶおそれのあるもの という定義です。(だから 周知の事実、公開されている情報は暗号化しなくていい ということになります)
そのメールには明示しないこと とは 別のメールで送るか あらかじめ相手との打ち合わせでパスワードはOOOOにすると取り決めておく ようなことを指します。 (私は後者の相手ごとにパスワードを決めておいて 「パスワードはYで始まるいつものやつです」というように伝えています。
もっとも兄弟会社(親会社の別子会社)は損益表Excelをそのまま送ってきたりするので、親会社の指導もいい加減なものです。 まぁ「そんな損益表なんか見たってなんの被害もない」ということで一般ファイル扱いなのかもしれませんが... (私がよく例に出すのは 「リストラ対象者のリストは ”重要なファイル”だよね」 )
最近の大規模なクラウドサービスでの配送の仕組みはちょっとわからないのですが
レンタルサーバーであれば下記のような仕組みになるのではないでしょうか。
↓↓
https://seiai.ed.jp/sys/text/mail/th007.html
つまり
・内部配送と暗号化は関係ない
・他のサーバーを経由しないから暗号化の必要がないだけ
ということなのかと。
社内向けのメールにまで暗号化ソフトを適用すると、
業務効率が著しく低下するのでそこまでの対策はあまりしないと思います。
社内でも一部の方のみが参照するセキュリティレベルの高いデータについては、
各自でファイル自体にパスワード設定を行う運用で良いのではないでしょうか。
※"それも面倒で行いたくない"や"セキュリティレベルの高い・低いの判断がつかない"
などの意見がある場合には、社内での教育が必要かと思います。
うちも社内は暗号化無しです。
外部宛先の自動暗号化&別パスワード送付が導入されてますが、他社がやってるから
うちもやるよってアピールレベルであり大して意味がない対策だと思ってます。
いまいち仕組みが分からないのですが、クラウドやレンタルサーバーを使って自動暗号化
と別メールの仕組みを用いる場合、その社外のサーバーに届くまではノーガード戦法
なのでしょうかね?
経路の暗号化とメールの中身の暗号化は、それはそれ、これはこれ、で考えた方が。
使う製品や仕込む位置や運用ポリシー等にもよるでしょうけど、社内/社外の判断を宛先のドメインでやってると、社外のアドレスを社内のメーリングリストに入れてるときはどうなるんだ?とかめんどくさいこともあるかもですし。
クラウドの仕組みだと、添付ファイルは相手に送らない(ダウンロードしてもらう)というものもありますね。
Office365 Message Encryptionとか。個別のサービスならIIJのSecure MXとか。他にも製品ならActive!Gateとか。
中身を見て対策の必要がある時だけ勝手に暗号化したり、という機能もあったりしますし。
添付して送ってしまうとコントロールができなくなるので、誤送信防止等の製品/サービスにそういう機能も一緒についてる印象がありますね。(ダウンロードされた後はコントロールできなくなりますし、メールサーバーが外部にある仕組みは経路やメールの中身をいくら対策しても、アカウントハックして送信トレイ見られたら、とかはありますけど)
質問しっぱなしで誠に申し訳ございません。。。
年末業務に忙殺されそのまま休暇に入ってしまい、
syszoのアカウント情報が会社にしかなかったため、
年が明けるまで確認できずで大変失礼いたしました。
皆様ご多忙のところ丁寧に解説・回答いただきましてありがとうございました。
私が考慮できていなかったインターネット回線が通るかどうかがポイントということを
ご指摘いただいた点も踏まえましてichan2さんをベストアンサーにさせていただきました。
他の皆様も実運用において参考になる方法などお教えいただきありがとうございました。
一旦は内部ドメインについては添付ファイル自動暗号化せずに各自で暗号化を任せる、
といった方法で検討したいと思います。
※併せてメーリスには外部ドメインのアドレスは登録させないようにしたいと思います。
誠にありがとうございました!
いまいち仕組みが分からないのですが、クラウドやレンタルサーバーを使って自動暗号化
と別メールの仕組みを用いる場合、その社外のサーバーに届くまではノーガード戦法
なのでしょうかね?
添付の話をされていると思いますが、参考までに経路の話。
Gmailから送られる先の相手の暗号化の状況(”Support for encryption in transit”参照)
https://transparencyreport.google.com/safer-email/overview?region=142&search=bmsend.com&encrypt_region_table=&encrypt_region=region:142&lu=encrypt_region
jpドメインって結構…
解決済み
初めて投稿させていただきます。
メールサーバを社外のレンタルサーバで運用しており、
各クライアントはSMTPS、POP3Sで上記メールサーバと通信し
メールの送受信を行っている場合、
社内向けのメールは内部配送になるので
その経路は確実に暗号化されると思っているのですが、
こういった場合、社内向けのメールの添付ファイルは暗号化しない、
という運用は一般的にありますでしょうか。
社外向けの添付ファイルはソフトで自動暗号化して、
社内向けは確実に経路暗号化されるはずですし面倒なので
添付ファイル暗号化しないような方針をとろうかと思っているのですが
Webで探してもそういった記事が無く、
上記の私の理解が正しいか、またそういった運用が
一般的なのかどうなのかもわからなかったので
皆様のご意見をお聞きしたいと思っております。
どうぞよろしくお願いいたします。
※上記社内向けメールの添付ファイルには
時として機密情報や個人情報を含む場合もございます。