セキュリティチームのぐっちーです。本日はmxHEROでメール本文をクラウドストレージ経由で送付するオプションについて紹介します。
前提条件
- mxHEROの「初期セットアップ」が完了している必要がございます。
- 本ブログではクラウドストレージはBoxを題材に記載しています。
- 本手順を実施するためには、「mxHERO管理者権限」と「Box管理者権限」が必要です。
本ブログの内容は、2023年5月8日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。
クラウド経由でメール本文を送ると何が嬉しいか?
メールの暗号化
前提として、全てのメールにおいて、End-to-endの暗号化(E2EE)を提供することは困難なことです。Gmailなどではデフォルトで暗号化オプションが有効化されていることが多いですが、これは送信先のアカウントが同等の暗号化を導入している場合にのみ意味を持ちます。メールは様々なサーバーをリレーして相手まで届けられるので、相手方のメールサーバーが暗号化されていない場合は送信元から暗号化を施すことはできません。例えば「米国連邦政府ゼロトラスト移行戦略」においても、「全てのメールを暗号化することを”目指せ”」という指示がなされましたが、実際のところの手段については今後議論とされていました。
そこで、mxHEROの「セキュアメール」のオプションを使うと、メールの本文を含めてクラウドストレージ経由(Box)で送付し、さらにBox側で多要素認証必須化のオプションを施せばメールを見る前にユーザーに多要素認証実施を要求することができます。そのため、少なくとも「自分が送信するメールの内容」に関しては暗号化された状態で相手まで届けることが可能となります。
ダウンロード前であれば送信取り消し可能
また、メールは1回相手に渡ってしまえば、送信取り消しをすることはできません。一方、クラウドストレージ経由で送ると、メール本文はクラウドストレージにあるため、相手がダウンロードする前だったら取り消しが可能です。
mxHEROの設定
セキュリティ定義の作成
まずは、「セキュリティ定義」を作成します。「セキュリティ定義」を作成するこで、mxHEROの様々なセキュリティオプションをルールに組み込むことができるようになります。[mxHERO管理プラットフォーム] > [自動フィルタリング] > [セキュリティ定義] に遷移して作成します。
設定では「メールの受信者がアクセス可能」を選択します。このオプションを有効化することで、パブリックリンクではなく、メールの宛先ユーザーのみが閲覧可能となります。
ルール作成
続いて、ルールを作成します。[ルール] > [ルールを作成]を選択し、[メールの安全確保]のオプションを選択します。
アクションは[添付ファイル]と[メール本文をPDFで]がデフォルトで選択されるので、特に設定変更は行わずに、次に進みます。
クラウドストレージの設定ではBoxを選択し、セキュリティオプションで先ほど作成したセキュリティ定義を選択して設定終了です。
Box側の設定
[管理コンソール] > [Enterprise設定] > [セキュリティ] に移動し、[2段階ログイン認証] セクションの [外部ユーザー] で、[構成] をクリックします。[外部コラボレータ向けの2段階認証] ダイアログボックスで、以下を設定します。
- 「認証アプリ」は「認証アプリ(TOTP)」に設定。
- 「要求レベル」は「すべての外部コラボレータに対して有効にする」に設定。
[保存] をクリックし、さらにページの上部で、[保存] をクリックします。
動作確認
動作確認のため上記設定後に、メールを送信します。
すると、下記のようなメールが届きます。メール自体にはメールの件名は記載されていますが、メールの本文は記載されておらず、Boxリンクが添付されています。
Boxリンクを選択すると、メール本文にアクセスすることができました。
受信者がBoxアカウントを持っていない場合は、受信者はBoxアカウントを作成する必要があります。また、初めてログインする際と、セッションがきている場合は、受信者はMFAのプロセスを実施する必要があります。
気になる点
Boxのアカウントが必要
はじめてやりとりする相手で、相手がBoxアカウントを持っていない場合は、Boxアカウントの作成が必要になります。Boxアカウントの作成は自社でサポートする必要が出てくるケースがあり、サポートの負荷が上がることが懸念されます。
利便性の低下(メールを見るまでに1アクション多くかかる)
メールが届いてからメールの本文を見るまでに1アクション多くかかり、利用者の利便性は下がります。超重要データをメールでやり取りする場合は仕方ない側面があるかもしれませんが、ユースケースは限定的になることが予想されます。
携帯では閲覧できないことも!?
これは組織によって異なりますが、受信者が携帯電話でBoxへのアクセスができない状態となっている場合、携帯でそのメールを閲覧することができなくなります。外出時などにはちょっと不便になってしまうかもしれません。
おわりに
今回紹介した機能はユースケースがかなり限定的であるとは思いますが、様々な理由によりメールセキュリティを強化したい場合は是非試していただけると嬉しいです。
また、これからもmxHEROの新管理ダッシュボードに関する記事を書いていくので、ご不明点等があればお気軽にご連絡ください。また、新管理者ダッシュボードに関する記事一覧については、下記ブログにまとめているので、そちらも併せてご覧いただけると嬉しいです。