1.メールに関する基礎知識
1.1 メールサーバの構成
(1)従来からある構成
・外部メールサーバ(中継メールサーバ)と内部メールサーバに分かれる。
・メールボックスはもちろん、内部メールサーバ。
・実際の製品として、 オンプレのExcahge Serverや、メールの専用アプライアンスがある。
・R1のネットワークスペシャリスト試験のPM2-2の図を引用します。雰囲気を理解してもらえば。
(2)クラウドの利用
Exchange Onlineがある。
Gmailのサービスを活用することも多い。たとえば、大学では、大学の独自ドメインを使いながらも裏ではGmailを使っていることがある。価格は激安らしい。
(3)大学で Gmail(Google Workspace for Education)が強い理由
以下はChatGPTに聞いた内容なので、確認が必要
| ・教育機関向け無償/低コスト提供 Google は「Workspace for Education Fundamentals」を教育機関向けに無償提供しており、メールだけでなく Classroom、Drive、Meet など一通りのツールセットがコスト負担なく利用できます ・Chromebook との相性の良さ 多くの大学が教育用デバイスとして安価な Chromebook を大量導入しています。Chrome OS は Google アカウントとネイティブ連携し、ブラウザベースの Gmail を含む Workspace がシームレスに動作するため、管理者負荷が低く、学生・教職員ともに操作に迷いが少ない環境を構築できます。Chromebook 自体がローカルストレージをあまり持たない設計(主にクラウド保存)であることも、メールやドキュメントをクラウドで一元管理する Google Workspace の利用を後押ししています ・運用管理の容易さ 初期セットアップやアカウント管理、パスワードリセット、デバイス管理などをすべて Google 管理コンソールだけで統合的に行えるため、IT部門の運用負荷が大幅に軽減されます。 ・コラボレーション機能へのニーズ 学生・教員間の共同編集、課題提出(Classroom)、ライブ授業(Meet)、大容量ファイル共有(Drive)など、教育現場特有の要件を Google Workspace がワンストップで満たす点も大きな魅力です。 |
参考:Webメールの利用
どちらの構成であっても、Webメールを使うことができます。
1.2 メールの経路とプロトコル
メールは大きく分けて2つの経路を通ってやり取りされます。それぞれの経路で異なるプロトコルが使われます。
(1)端末(ユーザー)とメールサーバ間
ユーザーのメールソフト(OutlookやThunderbirdなど)とメールサーバが通信します。
ここでは「送信」と「受信」で別のプロトコルが使われます。
| 区分 | プロトコル | ポート番号 | 説明 | 暗号化プロトコル |
|---|---|---|---|---|
| 送信 | SMTP | 25 | メール送信のプロトコル。ユーザー認証なしでの送信 | SMTPS(465) |
| 送信 | SMTP-AUTH | 587 | ユーザー認証ありでの送信 | STARTTLS |
| 受信 | POP3 | 110 | メールをサーバから端末にダウンロードするプロトコル | POP3S(995) |
| 受信 | IMAP | 143 | サーバ上でメールを閲覧・管理するプロトコル | IMAPS(993) |
※「SMTP-AUTH(587)+STARTTSL」と、SMTPS(465)では、「SMTP-AUTH(587)+STARTTSL」が推奨されます。
※STARTTLS は、最初はSMTPによる非暗号通信を始めて、途中から暗号化(SMTP-AUTH(587)やIMAPS(993)など)に切り替える仕組み。通信開始後に暗号化(SSL/TLS)を開始する仕組み。
(2)メールサーバ間(送信側と受信側)
・SMTP(25番)が使われます。サーバ間通信で STARTTLS をサポートしているため、結果的に 大半はTLS通信になっている。※TLS通信でもポート番号は25のまま。
・587や465は使わない。
2.踏み台対策
2.1 オープンリレー対策
自ドメイン以外へのメール送信(リレー)を拒否する。
3.メールサーバへのサイバー攻撃対策
3.1 オンプレでのメールの構成
3.2 クラウドでのメール構成
なぜクラウド利用が進むのか
4.メール通信の保護
4.1 通信の暗号化
・端末とメールサーバ
STARTTLS(通信の暗号化)
・メールサーバ間
・端末-端末間
S/MIME / PGP(本文の暗号化)
5.SPAM対策
5.1 OP25B
・OP25B(Outbound Port 25 Blocking)は、自宅や企業の端末からポート25で外部にメールを送れなくすることで、スパムの拡散を防ぐ対策。
・ポート587(SMTP-AUTH)を利用すると、送信が可能。
5.2 SPAM対策機
スパムメール(迷惑メール)を検出・遮断する装置やソフトウェアで、以下の方式がある。
・ブラックリスト方式:悪質な送信元IPやドメインをブロック。
・コンテンツフィルタ:件名や本文の特徴からスパム判定。
・ベイジアンフィルタ:機械学習によりスパムか否かを判断。
・外部RBL連携:リアルタイムブラックリスト(DNSBL)を使って検知。
5.3 送信ドメイン認証
6.情報漏洩対策
6.1 メールの誤送信
・上長承認
・ 送信キャンセル機能
・メール送信を遅らせる
・ToやCCに入れたメールアドレスをBCCに入れる(または1件ずつToで送る)※情報漏えい対策
6.2 DLP
メールにおけるDLP(Data Loss Prevention:情報漏えい防止)の機能を整理します。
| 機能分類 | 内容 |
|---|---|
| キーワード検出 | 「極秘」「社外秘」「個人番号」などを自動検知 |
| 正規表現による検出 | `XXXX-XXXX-XXXX`形式のカード番号、数字11桁の電話番号など |
| ファイル添付の制御 | パスワードなしのExcelファイル送信をブロック、容量制限など |
| 宛先チェック | 不適切な宛先(社外、個人アドレスなど)を検出 |
| 自動暗号化 | 添付ファイル検出時に自動で暗号化処理 |
| 内容差し止め・隔離 | 一時保留→上司や管理者の承認後に送信許可 |
| 監査ログ/アラート | 検知内容を記録し、管理者へ通知 |
6.3 PPAP
(1)PPAPとは
・添付ファイルの暗号化
・ちなみに、PPAPは日本固有の文化のようです。メールをそのまま送るのは、日本人の文化というか固定観念(情報漏洩だ!という批判)があるからのようです。それ以外に対策があったとしても、これは!という良い製品は無いし、お金を払ってまでやることでもないので、多くの企業は、お金をかけず、「きちんと暗号化しています」という言い訳を残すために、PPAPを継続しているような気がします。
(2)PPAPの問題点は?
PPAPは何が問題なのか。大きな問題点は3つ
❶添付ファイルとPWを同じ経路で送っているので、盗聴される
→ただし、これを気にするのであれば、PWのルールを事前に決めておけばいいだけ。または電話等で伝える。でも、ZIP暗号は解読されるんですよねー。(この下)
❷PWが盗聴されなくても、ZIP暗号が危険
今の時代、ZIPのパスワードはGPUで解析できる。なので、ZIP等で暗号化した添付ファイルを送るのがナンセンス。
❸ゲートウェイでウイルスチェックができない
添付ファイルが暗号化されていると、ウイルスチェックができないからウイルスを持ち込むリスクがある。
❹(+手間)
添付ファイルを暗号化し、さらにあとからパスワードを送るというのが非常に手間。
参考ですが、NISCによる政府の統一基準によりますと、官公庁で多用されてきたパスワード付きZIPファイル添付(いわゆる“PPAP”)は、受信側でのウイルス検査ができずかえってリスクを高めることが指摘されています。
| なお、パスワードを用いて暗号化された圧縮形式のファイルについては、当該ファイル中に不正プログラムが含まれるか否かの検疫を行えないことが考えられるため、不正プログラムに感染するリスクがより高まることが想定される。そのため、パスワードを用いて暗号化された圧縮形式のファイル中に実行プログラム形式のファイルが含まれるか否かを技術的に検査できない場合には、暗号化された圧縮形式のファイル自体を添付ファイルから削除等する機能の導入を考慮する必要がある。圧縮形式のファイル中のファイルの検査をする機能を導入する代わりに、暗号化の有無にかかわらず圧縮形式のファイルのすべてを削除等する措置を用いてもよい。 (出典:https://www.nisc.go.jp/pdf/policy/general/guider6.pdf) |
(3)脱PPAPの方法
・クラウドストレージを利用
・添付ファイルをダウンロードURLリンクに変換
など
(4)脱PPAPへの注意点
・PPAPをやめたいのか、それともメールのセキュリティ対策をしたいのか、その点を明らかにして対策をすべきだと思います。なぜなら、脱PPAPにはお金がかかる場合が多いからです。
・たとえば、ある機関では「PPAPをやめます」と宣言して、代わりにクラウドストレージを使うことにしました。ところが実際には、メールでクラウドストレージのURLとパスワードを送っているのです。これは、「メールは盗聴されない」という前提でのやり方です。でも、そもそもPPAPを使っていた理由が「メールは盗聴されるかもしれないから」だったとしたら、このやり方ではセキュリティ対策になっていません。つまり、この機関は本当にセキュリティを強化したいのではなく、PPAPのような面倒な手順をなくすことが目的だったと考えられます。
(5)脱線:メールは盗聴されるのか
情報漏えい対策を考えるとき、この点はとても重要です。
・PPAPという仕組みは、もともと「メールは盗聴される」という前提から生まれたものです。メールが盗聴されるなら、添付ファイルだけでなく、パスワードを送るメールも同じく盗聴される可能性があります。だから、PPAPは根本的な解決策にならず、意味がないというわけです。仮に、「メールは盗聴されることはない」と考えているのであれば、そもそもPPAPのような仕組みを使わず、普通にメールで送ればよいのです。
・PPAPの代わりとして使われているソリューションの中には、クラウドストレージのリンクやパスワードをメールで送るものが多くあります。でも繰り返しになりますが、もしメールが盗聴される可能性があるなら、リンクもパスワードも盗まれてしまうので、セキュリティ対策としては意味がありません。※このソリューションは意味がないと言っているわけではなく、PPAPという無駄な手間を省く対策として機能していると思います。
・「いやいや、メールは盗聴されるよ。メールをそのまま送るなんて考えられないよ」という意見も多いでしょう。ですが、考えてみてください。多くの人は、メールで仕事のやり取りをしています。そこで、「〇〇社の△△△△さん」と書いたら、これだけでも個人情報保護法における個人情報に該当しませんかね?それに、メールアドレスだって個人情報です。つまり、メールが盗聴されるのであれば、S/MIMEなどを活用しない限り、皆さんは毎日情報漏洩をしていることになりませんかね。
・↑に関して、批判もあると思います。「メール本文の1件程度の情報じゃなくて、大量の個人情報が含まれた添付ファイルのことを言っているんだ。1件と1万件では漏えいのインパクトが違う。同じに考えてはダメだ」と。それはごもっともです。でも、大量の個人情報が含まれたファイルを、メールに添付して送るんですか?それは絶対にやめたほうがいいですよ。そもそもなんですけど、皆さん、日々メールでやり取りしている情報って、そんな大量の個人情報などではないと思っています。添付ファイルに関しても、メール本文と機密レベルでいうと同様ではないかと思うのです。それなのに、添付ファイルだけ「暗号化しなければならない」とされ、メール本文は平文のままでいいというのは、少し不自然に感じませんか?
(6)じゃあどうすべきか
・PPAPの名付け親である大泰司 章さんが言われていることが全てのような気がします。以下は会員ページにログインしないと見えないので、ここでは引用しません。
https://www.itmedia.co.jp/enterprise/articles/2103/11/news008.html
・上原先生の記事はこちら
https://www.sbbit.jp/article/sp/135131?ref=25041913btsw
7.マルウェア対策
・テキストメールの利用(HTMLメールの制限)
・ゲートウェイでのウイルス対策
・スパムフィルタ
・添付ファイルのウイルスチェック
8.Exchange Online
8.1 Exchange Online とは
・メールのクラウドサービス
・オンプレのメールサーバの代わりに、M365(Exchange Online)を使う。
・メールの機能としては、送信メールサーバと受信メールサーバ、メールボックスなどの機能がある。
・加えて、連絡先および予定表の機能もある。→Teamsと連携可能なはず
8.2 詳細解説およびセットアップ
以下に記載があります。
https://mitsurublog.com/post-11566/
8.3 設計・構築
(1)ユーザ管理
Microsoft のクラウドサービスを利用する際の ユーザ および各権限 などの管理は Entra ID で行います。必須です。
(2)構成図
・単純で、社内のメールサーバ(送信メールサーバおよび受信メールサーバ)を廃止し、すべてクラウドのメールサーバ(というかメールサービス)を使う
・プロトコルは、通常のメールサーバと同様に、メール送信はSMTPで、メール受信はIMAP(またはPOP)。また、Webメールを使う場合はHTTPS。
(3)DNS
たとえば、自社が example.com というドメインを所有していて、Exchange Online のメールを使いたい場合、自社の example.com のDNSサーバに、以下のレコード設定を行います。 これらのレコードは Exchange Online の利用に最低限必要 となるものです。
| レコード | ホスト | 値 | 補足 |
|---|---|---|---|
| MX | @ | ◯◯.mail.protection.outlook.com | 外部から example.com 宛てにメールを送る際、どのメールサーバーへ届けるかを指定 |
| CNAME | autodiscover | autodiscover.outlook.com | Microsoft 365 の Outlook (メールクライアント) に対し、自動的に設定を行うために必要なレコード |
| TXT(SPF) | @ | v=spf1 include:spf.protection.outlook.com -all | 送信ドメイン認証 (SPFのため) に、送信メールサーバをExchange Online のサーバを指定 |
送信に対する基本的な設定は上記 SPF レコードのみになっていますが、より強固ななりすまし対策として、DKIM や DMARC の設定も推奨されています。
(5)既存のメールサーバとの共存
たとえば、営業部だけExchange Online を利用し、それ以外は既存のメールサーバを使うとします。
社内のPCは設定に関しては、営業部のPCの設定だけ、メールサーバの設定をExchange Online にします。
社外から送られてくるメールサーバに関しては、MXレコードは既存のメールサーバのままとします。そして、既存のメールサーバ(たとえばPostfix)にて、営業部のユーザの場合には、Exchange Online に転送するような設定を入れます。
https://rougeref.hatenablog.com/entry/20170703/1499043323
8.4 Microsoft管理センターでのメール設定
(1)管理画面
a)Microsoft管理センターに移動し、詳細表示>管理センター>Exchange をクリック
b)Exchangeのトップページ、Exchange管理センターに遷移する
(2)メニュー構成
| メニュー | 内容 |
|---|---|
| ホーム | ダッシュボード |
| 受信者 | メールボックスの設定で、メールボックスでは各ユーザの情報を管理することができる |
| メールフロー | ルールとして、フィルタリングや上長承認の設定ができる |
| 役割 | 管理者やユーザーに対する権限(アクセス許可)の割り当てや管理を行う |
| 移行 | 他のメールシステムからExchange Onlineへのメールデータ移行(バッチ処理など)を管理する |
| モバイル | モバイルデバイスのアクセス許可や、デバイス向けポリシーの管理を行う |
| レポート | メールトラフィックやセキュリティ状況に関する各種レポートを確認する |
| インサイト | 組織のメール環境を最適化するための推奨事項や分析データを確認する |
| パブリックフォルダー | 組織内で情報を共有するためのパブリックフォルダーやそのメールボックスを管理する |
| 組織 | 組織間の予定表の共有設定や、アドインなどの管理を行う |
| 設定 | テナント(組織全体)レベルでの全般的なExchange設定を行う |
| トラブルシューティング | メール配信の問題などを調査・解決するための診断ツールなどを提供する |
| その他の機能 | 従来のExchange管理センター(クラシック)にある機能などへアクセスする |
(3)各機能の設定
❶受信者
・メールボックスの設定で、メールボックスでは各ユーザの情報を管理することができる。
・メッセージサイズの制限などの設定が可能
❷メールフロー
この項目ではフィルタリングや上長承認を設定できる。
・上長承認の設定は、メールフロー >ルール にアクセスして、ルール名、条件を書いていく。
・たとえば、添付ファイルがある場合には、上長に承認メールが飛び、上長が承認しないとメールが送信できないようにする、などの設定ができる。
8.4 セキュリティ機能の全体像
(1)機能概要
・Exchange Online Protection の概要
https://learn.microsoft.com/ja-jp/defender-office-365/eop-about
・Microsoft Defender for Office 365 の概要
https://learn.microsoft.com/ja-jp/defender-office-365/mdo-about
・Exchange Online のメール フロー ルールでの条件と例外 (述語)
https://learn.microsoft.com/ja-jp/exchange/security-and-compliance/mail-flow-rules/conditions-and-exceptions
・★Intuneが必要なのはどんなとき?送信元IPアドレス制限ができないとき?
(2)管理コンソール
・Exchange Onlineで、セキュリティ設定まで実施するには、複数の管理画面を操作する必要がある。
・ExchangeOnline関連管理センター整理(2025年時点)
| 項番 | 管理センター | 主な用途 | 補足 |
|---|---|---|---|
| ❶ | Exchange管理センター | メールボックス管理、メールフロー(コネクタ・ルール)、受信者設定など | |
| ❷ | Microsoft Defenderポータル (ExchangeOnlineProtection) |
マルウェア対策、スパムフィルター、サンドボックス、ホワイトリスト/ブラックリスト設定 | |
| ❸ | Microsoft Purview | DLP(データ損失防止)、監査ログなど | ExchangeOnline以外に、SharePoint、Teams、OneDriveなども対象 |
| ❹ | Microsoft Entra管理センター (旧AzureAD管理センター) |
ユーザー/グループ管理、条件付きアクセス、MFA、SSOなど | ExchangeOnline単独では不要な場合もあるが、アクセス制御やセキュリティ強化に重要 |
| ❺ | Microsoft365管理センター | ドメイン登録、ライセンス管理、全体のテナント設定 | SPFはDNS側で設定。DKIMはDefenderポータルから設定 |
・実際の画面
❶Exchange管理センター
❷Microsoft Defender
❸Microsoft Purview
(3)機能とGoogleとの比較
| 項目 | ExchangeOnline | Gmail(GoogleWorkspace) |
|---|---|---|
| オープンリレー対策 | ○ 既定でオープンリレー禁止。コネクタで認証必須 |
○ 既定で認証必須、無制限リレー不可 |
| 通信の暗号化 | ○ SMTPoverTLS、Office365MessageEncryption、S/MIMEなど |
○ SMTPoverTLS、(上位プランで)S/MIME等 |
| SPAM対策 | ○ ExchangeOnlineProtection(EOP) |
○ Googleの機械学習フィルタ |
| 送信ドメイン認証 | ○ SPF/DKIM/DMARCをDNS設定でサポート |
○ SPF/DKIM/DMARCをDNS設定でサポート |
| 上長承認 | ○ メールフロールール+モデレーション機能で実装 |
× (部分的)標準で「上長承認」は不可。隔離等のワークアラウンドはあり |
| 送信キャンセル機能 | △ 「メッセージの取り消し」は組織内・未開封限定で可能 |
○ 「送信取り消し(UndoSend)」で最大30秒以内ならキャンセル |
| DLP | ○ M365E3/E5等でDataLossPreventionを利用 |
○ Enterpriseプラン等でGmailDLP利用可 |
| PPAP(パス付ZIP) | 特別な公式機能なし。ルールで検出・ブロックは可能(推奨されない) | 特別な公式機能なし。ルールで検出・ブロックは可能(推奨されない) |
| アンチマルウェア | ○ EOP(+Defender for Office 365) で添付/URL のスキャン |
○ Google標準スキャン (+セキュリティサンドボックス) |
8.5 プラン、ライセンス
・以下に記載があります。
https://www.microsoft.com/ja-jp/microsoft-365/exchange/compare-microsoft-exchange-online-plans
| プラン | 種類 | 内容 | 料金 | メールBOX容量 |
|---|---|---|---|---|
| Exchange Online Kiosk | プラン | Webメールのみのエントリプラン | 220円→? | 2GB |
| Exchange Online Plan1 | プラン | メール、予定表共有、連絡先機能などの標準機能 | 430円→599円 | 50GB |
| Exchange Online Plan2 | プラン | DLP機能などを付加したプラン | 870円→1199円 | 100GB |
| Exchange Online Archiving(EOA) | アドオン | 無制限アーカイブなどを追加できるアドオン | 330円→? | |
| Microsoft 365 Business Standard | プラン | デスクトップ版の Word、Excel、PowerPoint、Outlook | 1874円 |
・M365のライセンスがあれば、Exchange Online Plan1、Plan2などが料金に含まれる。たとえば、E3以上であればPlan2が含まれる。
・一方、ライセンスが無く、メール単独(Exchange Online Plan1、Plan2など)を個別に買うと高く感じるであろう。
・Exchange Onlineの標準機能でも最低限のセキュリティ機能はあるがDefender Office365を購入すると(E3とかには入っている)
、より高度なセキュリティ機能ができる。
・独自ドメインの設定ももちろんできる。
・Exchange Online P1 + Azure AD P1 月額1,250円/ユーザ
・M365(Microsoft 365 Business Standard) + Azure AD P1 月額2,310円/ユーザ
・M365(Microsoft 365 Business Premium) 月額2,750円/ユーザ
8.6 PurviewによるDLP
(1)概要
・Microsoft Purviewでは、DLPの設定ができる
・ 設定内容は、 「DLPのポリシー設定」と「ラベルの定義と管理」で、DLPポリシーは、Microsoft テナントから外部へファイルアップロードやメールによる送信をする際に適用され、ラベルは、あらかじめ用意されたラベルをユーザ側で設定することで利用する
・ログインページ:https://purview.microsoft.com
・画面
(2)DLP
・データ損失防止>ポリシー>ポリシーの作成を選択
・ポリシーを選択。テンプレートを利用または、カスタムポリシーとして適当なポリシーも作成可能
8.7 SPAM対策
・Microsoft Defender > ポリシーとルール > 脅威ポリシー > スパム対策 から設定
・ 脅威ポリシーポリシーで設定できるのは以下
| 項番 | 項目 | 内容 |
|---|---|---|
| 1 | フィッシング対策 | |
| 2 | スパム対策 | |
| 3 | マルウェア対策 | 恐らくであるが、メールの添付ファイルやHTMLメールを静的にチェック |
| 4 | 安全な添付ファイル | 恐らくであるが、動的に検査? |
| 5 | 安全なリンク | メール本文にあるリンクの安全性をチェック |
