メールはビジネスコミュニケーションの主要なツールの1つです。一方、これは安全な通信方法ではありません。しかし、それはどの程度安全ではありませんか?
たとえば、送信に電子メールを使用するのがどれほど賢明であるかを常に疑問に思っていました。
電子メールでパスワードを転送することについては触れませんが、これは常に賢明ではありません。
ですから、私の質問を要約すると、機密性の高い情報を実用的な観点から転送するために電子メールを使用することはどれほど安全ではありませんか?
煮詰めた質問に答えるには:電子メールはどれほど安全ではないのですか?実際には、電子メールは DNSスプーフィング 、WIFIインターセプト、および信頼できないネットワーク管理者による攻撃の対象となります。
これを軽減するには、セキュリティが必要なさまざまな側面を考慮する必要があります。ほとんどの企業では、次の分野の少なくとも1つでセキュリティが不足している可能性が高いため、送信するものはすべてクリアテキストであり、目的の受信者以外の誰かが見ることができます。
セキュリティの各側面の下で、技術的に実装されている方法でグループ化された関連製品をリストしました。メールで送信するコンテンツに基づいて、次の質問に答えてください。
メッセージ送信者の検証
受信者は、実際にメッセージを送信したのが本人であることを証明する必要がありますか?
メッセージ転送
メール送信者のMTAと私のMTAの不正な読み取りや変更を防ぐ必要がありますか?
メッセージを読む
目的の受信者だけがメッセージの内容を読むことができることを確認する必要がありますか?
クライアントエンドポイントは安全である必要がありますか? (上記の3つの製品が使用されていない場合に適用)
%temp%
の残りの添付ファイルを削除して、ポリシーの指示に従って機能へのアクセスを制限または拒否しますアクセスを許可する、または悪用の可能性のある機密情報を提供するすべてのもの。これには、クリアテキストのパスワード、シリアル番号、永続的なプライベートリソース(請求ドキュメント、証明書など)へのURLが含まれます。現実世界の確認を必要とするIMHOデータは問題ではありません(eチケットなど)。このような資格情報を現実世界のチェッカーに提示すると、ドキュメントも要求されるためです。
重要なのは、「1回限り」の有効なリソースのみを送信するか、別のメディアで情報を送信することです(eチケットをメールで、アクティベーション番号をSMSで)。これは、セキュリティ問題を解決しない可能性がありますが、リスクを軽減します
セキュリティ監査メールについては、前述の回答に加えて、次のシナリオを検討してください。
ユーザーはすべての場所でメールを開くことができますか?つまり、自宅で、公共の場所で、インターネットカフェで?
その場合は、ウェブメールと組み合わせてメール添付ファイルをブロックすることを検討してください。電子メールの添付ファイルの問題は、Webから開いたときにローカルドライブに保存されることです。もちろん、私はこれがあなたのデータの機密性を侵害していることを説明する必要はありません...
これは、私が監査を行っているときに私がアコースティックスに来た複数の企業に起こった実際のシナリオです。
[〜#〜] pgp [〜#〜] または Voltage または HushMail のようなサービスを使用して電子メールを保護すると、機密性を保持する可能性が明らかに向上しますコンテンツの整合性。
クリアテキスト(暗号化されていない)電子メールを介して機密情報を送信すると、機密性およびintegrityセキュリティ原則。
平文の電子メールを送信するということは、基本的に、電子メールを一時的に保存または記録する可能性のあるすべてのサーバーと、それらの同じシステムを管理するすべての人々を含め、電子メールをコンテンツと共に渡すすべてのシステムを信頼することを意味します。ワイヤレスで送受信すると、リスクが悪化します。
機密情報を渡すために信頼する必要があるシステムと人の数を減らしたいと思う傾向があります(つまり、機密データを含むすべての電子メールを保護します)。