先日、弊社の「リモートメール」をご利用いただいているお客様から
「システムの利用において、パスワードだけではなくアクセスキーの入力を必須の仕様にしてほしい」とのご要望を頂きました。

大切な情報を扱うメールですので、セキュリティは向上させたいですよね。
このようなご要望に対して、弊社ではすでに機能を実装しておりましたので
スムーズにご提案できました。

この記事では主にリモートメールについて書いていますが、
社内の機密情報などを扱う方、セキュリティ対策に興味がある方にとって
お役に立つ内容をお届けしたいと思います。

端末のセキュリティ対策

弊社で提供している「リモートメール」ではスマーフォンやタブレットなどの端末からでも安全にメールの送受信が行えます。

特に法人様であれば、取引内容など重要な内容をやり取りすることの多いメールですが、もしも端末を紛失、盗難などで情報漏洩してしまったらどうなるでしょうか? 考えるだけでも恐ろしいですよね。

会社支給の端末になると、どうしても危機管理の意識が弱くなってしまい紛失のリスクも高まると聞きます。そこで弊社の「リモートメール」のようなサービスを使えば、端末を紛失しても情報が漏れることなく安全です。

リモートメールはどのような構造になっているのかと言いますと、
お客様のサーバーにアクセスをして、メールの送受信などを端末のブラウザ上で行えます。つまり、端末にメールの情報が残らないので情報漏洩のリスクを軽減することができます。

しかしながら、それでもまだセキュリティ対策においては課題が残ります。
人によってはIDやパスワードなどを端末に保存していたりする人もいるので、
不正にアクセスできる可能性が残ってしまいます。

では、どうすれば簡単でよりセキュリティを向上させることができるのか?

アクセスキーでセキュリティを向上

リモートメールではアクセスキーと呼ばれる、メール閲覧などの際に暗証番号を設定することができます。こうすればセキュリティが2重でより安全です。
さらにアクセスキーには端末に保存しますか? という項目が出現しないので、うっかり保存していたという状況がおきないようになっています。

しかしながら、アクセスキーは利用するたびに毎回手入力しなければならないので、面倒だからと設定しない人も出てくるでしょう。

それでも、機密情報を守る為にもセキュリティ対策としてすべての従業員にアクセスキーを設定してもらいたいところですよね。
そんな時はどうすればいいでしょうか?

リモートメールの法人向けのプランでは無料のオプションで
「利用者がアクセスキー必須」の状態に設定することが可能です。

この機能によりアクセスキーを一括で管理できるので、法人のセキュリティは向上し、管理能力も向上します。そのため、「アクセスキー必須化」はリモートメール利用のほとんどの法人様が設定されているオプションになります。

アクセスキー有効期限設定

リモートメールには、アクセスキーの有効期限を日単位で設定できる機能もあります。これにより人事異動や部署の担当者が退職した場合などにも有効です。

しかしながら、有効期限設定には注意しなければいけないことがあります。
あまりに頻繁にキーワードを変更するのは利用する側にとっても負担が大きく、結果的に安易に推測されやすいキーワードになってしまう可能性があります。

この点に関しては、総務省が発信している下記の記事が参考になります。

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。

総務省「国民のための情報セキュリティサイト」
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html  

アクセスキー有効期限の設定に関しては、安易に変更するのではなく必要な場面に応じて推測されにくいキーワードを設定すると良いと言えます。

アクセスキーまとめ

アクセスキーとセキュリティについて書いてみました。
ポイントとなるのは、セキュリティと利便性は常に相反するということです。
パスワードは長ければ長いほど、複雑にすればするほどセキュリティは強固になります。

しかしながら、使う人間にとって大きな負担になってもいけません。
手帳などにメモしなければ使えない複雑なパスワードを設定していたとしたら、かえって情報が漏れやすくセキュリティ対策としては本末転倒です。

実際に、営業マンが手帳をデスクに置いて席を外している間に、
清掃員だった人が管理サイトにログインするパスワードを見てしまい、
取引情報などが漏洩してしまったという話もあるようです。

セキュリティ対策は100%完璧にするのは不可能かもしれません。
しかし、セキュリティと利便性をバランスよく保つことはどんな企業にとっても重要な課題になります。

情報漏洩は万が一起こってしまってからでは遅すぎます。
弊社にはセキュリティ対策について多くの悩みを解決するノウハウがあります。どんな些細な事でも気軽にご相談ください。