|
|
|
 |
 |
|
| 課題 |
|
- メール受信者がメールを受け取った時点でその場で簡単にメール発信元を確認できる手段が無い。さらに、フィッシングメールを受け取って騙されるユーザの方が不注意で悪いという言い分が通用する時代ではなくなっており、そういう偽メールに対する対策を講じることは企業の社会的責任として認識されてきているが企業側の対応が遅くれている。
- メール発信元でも自社が発信したメールであること、および、メール本文の内容が途中で改竄されていないということを証明する手段を全社統一的に実装するのが難しい。社員1人1人が個人レベルでデジタル証明書を利用し、管理するような運用方法では所詮無理がある。
- 業界や全世界標準となる対策手段(IETFがまとめているSenderID方式とVerisignが提唱するDomain Key方式)はまだまだ未解決の問題が山積み状態にある。しかもこれら両者の対策は基本的に全世界のDNSサーバやメールサーバの設定や実装に影響を与えるという大きな欠点がある。そのため、本当に普及するのかしないのか、また、普及するとしてもいつまで待てば良いのか全く分からない状況にある。一方では、現に今の時点で被害が増大しているにも関わらず、簡単に導入できる有効な対策が非常に少ないためフィッシング詐欺による被害が増大の一途辿る危険が大きい。このため、手軽に導入できてしかも将来的な標準対策が普及した場合のことも考慮に入れた柔軟性や親和性の高いソリューションが必要とされているがそのような製品は現市場にほとんど皆無の状態である。
|
|
|
| 背景・問題点 |
|
フィッシングとは、金融機関の口座情報を顧客から騙し取ろうとする、オンライン版「振り込め詐欺」と言われています。米国では2004年度だけで1000億円近い被害が出ており、日本でもニュース報道などで明らかなように最近になって急増しつつあります。
フィッシングというと、これまでは有名な大手金融機関の顧客を狙った偽メールが主流でしたが、最近ではパドルフィッシングといって、中小の金融機関をもターゲットにしたフィッシングメールが急増しています。OECD(経済開発協力機構)の調査結果によりますと、年間50%〜100%近い割合でフィッシングメールが激増しているそうです。また、世界的にも有名な金融機関グループであるHSBCも「金融機関にとって最大の脅威はウィルスでも不正アクセスでもなく、フィッシング詐欺だ」と言っています。
また、このフィッシング詐欺は何も金融機関だけに限った話ではありません。
|
保険、証券、クレジット業界等、要するにインターネット上で大量の顧客基盤をもち、ビジネス展開を行っている全てのオンラインビジネスが対象になります。今はやりのオンラインショッピングなどを運営している企業なども、偽メールやメール発信者のなりすましやメール本文の改竄が原因となって顧客との間での取引上のトラブルが発生した場合には金融監督庁から電子メールのやり取りを証拠データとして提出させられることが求められるようになってきており、単にフィッシング対策というだけでなく法的な対応、つまり、フォレンジック対策との連携も必要になってきています。
フィッシング対策としては大きく2つの標準化策定作業が現在進められています。しかし、フィッシング詐欺は待ってくれません。今、被害に逢っている犠牲者が多数います。今求められているのは完璧な標準仕様ではなく、実効力があって比較的簡単に導入・運用ができる対策ソリューションが求められています。
|
|
|
| MPKによる問題解決 |
|
このような問題を解決するための特効薬は、メール受信者が受信したメールの発信元やメール本文の内容の原本性を受信した時点ですぐに簡単に確認できるような仕組みをメール発信者側で提供することです。
MPKではメール受信者がその場で3通りの方法で受信したメールの発信元やメール本文の原本性の確認をできる仕組みを提供します。
|
これによって、自社から発信した重要なメールを顧客が安心して受け取れ、いざという時に自社の立場を擁護できるようなセキュリティ上の仕組みを実現できるので、自社のビジネスで安心してメールを使うことができ、また、顧客に対しては自社からのメールは安心であるというアピールをすることで企業ブランドを大きく向上させることにもなります。
|
|
|
| フィッシング対策機能 |
|
(1)発信メールに対してデジタル署名を自動付与(全発信メールあるいは特定メール選択可)
社外へ発信する公用メールに対してMPKが自動的にデジタル署名を付与します。この際に、メール発信者側では何も意識する必要はありません。しかも、オプションの設定によって、通常は社外への発信メールに対して何も操作せず、発信時に指定した特定のメールに対してだけデジタル署名を自動付与させるという柔軟な運用もできます。このような柔軟性の高い機能は従来の同種製品には無い、MPK独自の大きな特長です。
(2)利用者およびメールソフト側に余計な負担やS/MIME対応等の制限事項は不要
現在、市場に出回っている同種製品やソリューションの中には、デジタル署名を利用しているものも中にはあります。しかし、これらの製品やソリューションのほとんど全てがS/MIMEという標準規格に適合したメールソフトを利用者が使うことを必須としているものばかりです。最近ではS/MIME対応を謳っているメールソフトも随分増えてきましたが、まだまだ全てのメールソフトが対応している状況にはありません。また、それだけでなく、S/MIMEではデジタル証明書という高度な情報を扱うことになるため、その管理などに関して一般ユーザに高度なITリテラシを要求することになります。一般ユーザに対してそのような高度なITリテラシーを持つように教育、訓練を求めるセキュリティ対策には無理があります。
|
一方、MPKでは全てサーバ側で処理するため、一般ユーザだけでなく利用するメールソフトに対しても全く変更要求や制限はありません。つまり、S/MIME対応でなくとも従来のメールソフトのままで何ら変更を加えることなくすぐにそのままデジタル署名の恩恵を利用者(メール受信者だけでなく発信者側の企業も)は受けることができます。
(3)メール受信者は3通りの簡単な方法でその場で受信メールの発信元、発信日時、メール本文の中身に対する原本性を確認可能
メール受信者は今受け取ったメールの発信元や内容に対して疑問を持つことがありますが、それを確認する術がこれまでありませんでした。したがって、受け取ったメールの内容を確認したりするために、メール受信者はいちいち、発信元と思われる銀行や保険証券会社のお客様センターなどに対して確認の電話をしているのが現状です。これではお客様センター業務がすぐにパンクしてしまうだけでなく、お客様の方でも費用と時間がばかになりませんし、レスポンスが悪いとイライラして会社に対して悪い印象を抱くようになりかねません。
そこで、MPKでは受け取ったメールの発信元、発信日時、メール本文の原本性をお客様がWebとメールを使った方法で簡単にその場で確認できる3通りの方法をご提供します。お客様がこれら3通りの方法で自由に確認して頂くことによって少しでも安心してメールを受け取れるようになる仕組みをご提供するというのが他社製品やソリューションには無いMPKの大きな特長です。
|
|
|
|
|
| ページの先頭に戻る
|
トップページに戻る
|
|
