デフォルトの TLS およびその他の新機能を使って Gmail のメール セキュリティを強化する
2020年4月8日水曜日
この記事は 4 月 2 日に英語版ブログに掲載された記事を翻訳したものです。
変更点について先頃の Google セキュリティ ブログ(英語)では、Chrome OS 上の Chrome ブラウザで確認された全トラフィックにおける Transport Layer Security(TLS)の使用率が 96% を超えるに至った流れのあらましが紹介されました。併せて、Google の重要な目標も示されました。それは、Google のプロダクトとサービスにおいて TLS をデフォルトで有効にすること、そして TLS が自動的に機能するように今後も取り組みを行っていくことです。
Gmail はすでに TLS に対応しているため、Simple Mail Transfer Protocol(SMTP)によるメール接続を TLS で保護できる場合、その接続は確実に保護されます。しかしながら、より多くの組織がメールのセキュリティ対策を強化することを奨励し、先に述べた TLS をデフォルトで有効にするという目標を推し進めるため、次の変更を行いました。
管理者はいつでもメールルートでの TLS 暗号化を必須にすることができた一方で、従来この設定はデフォルトではオフになっていました。なお、既存のメールルートは、上述の変更による影響を受けません。
対象管理者
今回の変更のポイントGoogle では、管理者が既存のメール セキュリティ機能(SPF、DKIM、DMARC など)を有効にし、エンドユーザーの保護に役立てることを常に推奨しています。また、MTA Strict Transport Security(MTA-STS)を有効にすることも推奨しています。この機能は、ドメインに送信されたメールの認証チェックと暗号化を必須にすることで、Gmail のセキュリティを高めるものです。新しい SMTP メールルートにおいて TLS をデフォルトで有効にすることで、お客様のセキュリティ対策は強化されます。同時に、既存のルートに TLS を適用する前に接続をテストできるようにすることで、管理者は推奨されるセキュリティ ポリシーを容易に導入できるようになります。
今回の変更は、以前に作成されたメールルートには影響しません。
詳細新しいメールルートでは TLS がデフォルトで有効に
新しいメールルートで TLS がデフォルトで有効になることに伴い、証明書検証の要件もすべてデフォルトで有効になります。これにより受信者ホストは、信頼できる認証局(CA)によって署名された、正しいホストに対して発行される証明書を持つことになります。信頼できる CA の要件がどのように変わるのかについて詳しくは、以下の説明をご覧ください。
管理者は今後も、新しく作成されたメールルートでの TSL セキュリティ設定をカスタマイズできます。たとえば、メールが内部 CA の証明書を使ってサードパーティまたはオンプレミスのメールサーバーに転送される場合は、CA 証明書の検証を無効にする必要が生じることがあります。CA 証明書の検証を無効にすること、さらには TLS を完全に無効にすることは、推奨されません。そこで、お使いの SMTP TLS 設定を管理コンソールでテストすることをおすすめします。推奨されるすべての検証を無効にする前に、外部メールサーバーへの TLS 接続を検証するためです。管理コンソールで TLS 接続をテストする方法についての詳しい説明をご覧ください。
Gmail における CA の信頼停止
過去の Google セキュリティ ブログでは、公共インターネット上のトラフィックを傍受するためのルート CA 証明書が今後 Chrome で信頼停止される事例(英語)と、特定の CA が Chrome で信頼停止される事例が取り上げられました。
そのような状況が今後発生した場合、同様の証明書は Gmail でも信頼停止されます。つまり、CA の署名付き証明書を適用した TLS を必須とするルートを使って送信されたメールは、CA が信頼停止になった場合、返送される可能性があります。Gmail による信頼を得ているルート証明書のリストは Google Trust Services リポジトリから取得できますが、代わりに管理コンソールの [TLS 接続をテスト] 機能を使って、証明書が信頼停止されていないかどうか確認することをおすすめします。
管理コンソールの [TLS 接続をテスト] 機能
管理者は新しい [TLS 接続をテスト] 機能を使って、特定のメールルートで TLS 接続を正常に確立できるかどうかを確認できるようになりました。オンプレミスのメールサーバーやサードパーティのメールリレーなど、任意の経由先への接続を、TLS を適用する前に完全に検証できます。
ご利用方法管理者:
TLS の設定
TLS はすべての新しいメールルートについてデフォルトで有効になります。既存のすべてのルートを審査し、そうしたルートに対し、推奨される TLS セキュリティ オプションをすべて有効にすることもおすすめします。
TLS 接続のテスト
メールの送受信時にセキュリティ プロトコルで保護された TLS 接続を必須にしたい場合は、管理コンソールの [TLS 接続をテスト] ボタンをクリックするだけで、受信者のメールサーバーへの接続が有効であるかどうかを確認できるようになりました。メールが返送されるのを待つ必要はありません。
詳しくは、ヘルプセンターのメールの送受信時にセキュリティ プロトコルで保護された(TLS)接続を必須にするおよびメールルートの追加をご覧ください。
エンドユーザー: 上述の機能に関して、エンドユーザー側の設定はありません。
リリース スケジュール対象関連情報 G Suite の最新のリリース情報を入手する
Gmail はすでに TLS に対応しているため、Simple Mail Transfer Protocol(SMTP)によるメール接続を TLS で保護できる場合、その接続は確実に保護されます。しかしながら、より多くの組織がメールのセキュリティ対策を強化することを奨励し、先に述べた TLS をデフォルトで有効にするという目標を推し進めるため、次の変更を行いました。
- メール接続用の TLS がデフォルトで有効化されるようになりました。
- 管理者は SMTP 送信ルートの TLS 設定を、導入前に管理コンソールでテストできるようになりました。メールが返送されるのを待つ必要はありません。
管理者はいつでもメールルートでの TLS 暗号化を必須にすることができた一方で、従来この設定はデフォルトではオフになっていました。なお、既存のメールルートは、上述の変更による影響を受けません。
今回の変更は、以前に作成されたメールルートには影響しません。
新しいメールルートで TLS がデフォルトで有効になることに伴い、証明書検証の要件もすべてデフォルトで有効になります。これにより受信者ホストは、信頼できる認証局(CA)によって署名された、正しいホストに対して発行される証明書を持つことになります。信頼できる CA の要件がどのように変わるのかについて詳しくは、以下の説明をご覧ください。
管理者は今後も、新しく作成されたメールルートでの TSL セキュリティ設定をカスタマイズできます。たとえば、メールが内部 CA の証明書を使ってサードパーティまたはオンプレミスのメールサーバーに転送される場合は、CA 証明書の検証を無効にする必要が生じることがあります。CA 証明書の検証を無効にすること、さらには TLS を完全に無効にすることは、推奨されません。そこで、お使いの SMTP TLS 設定を管理コンソールでテストすることをおすすめします。推奨されるすべての検証を無効にする前に、外部メールサーバーへの TLS 接続を検証するためです。管理コンソールで TLS 接続をテストする方法についての詳しい説明をご覧ください。
Gmail における CA の信頼停止
過去の Google セキュリティ ブログでは、公共インターネット上のトラフィックを傍受するためのルート CA 証明書が今後 Chrome で信頼停止される事例(英語)と、特定の CA が Chrome で信頼停止される事例が取り上げられました。
そのような状況が今後発生した場合、同様の証明書は Gmail でも信頼停止されます。つまり、CA の署名付き証明書を適用した TLS を必須とするルートを使って送信されたメールは、CA が信頼停止になった場合、返送される可能性があります。Gmail による信頼を得ているルート証明書のリストは Google Trust Services リポジトリから取得できますが、代わりに管理コンソールの [TLS 接続をテスト] 機能を使って、証明書が信頼停止されていないかどうか確認することをおすすめします。
管理コンソールの [TLS 接続をテスト] 機能
管理者は新しい [TLS 接続をテスト] 機能を使って、特定のメールルートで TLS 接続を正常に確立できるかどうかを確認できるようになりました。オンプレミスのメールサーバーやサードパーティのメールリレーなど、任意の経由先への接続を、TLS を適用する前に完全に検証できます。
TLS の設定
TLS はすべての新しいメールルートについてデフォルトで有効になります。既存のすべてのルートを審査し、そうしたルートに対し、推奨される TLS セキュリティ オプションをすべて有効にすることもおすすめします。
TLS 接続のテスト
メールの送受信時にセキュリティ プロトコルで保護された TLS 接続を必須にしたい場合は、管理コンソールの [TLS 接続をテスト] ボタンをクリックするだけで、受信者のメールサーバーへの接続が有効であるかどうかを確認できるようになりました。メールが返送されるのを待つ必要はありません。
詳しくは、ヘルプセンターのメールの送受信時にセキュリティ プロトコルで保護された(TLS)接続を必須にするおよびメールルートの追加をご覧ください。
| TLS 準拠のための新しい設定を作成するとき、すべての証明書検証がデフォルトで有効化されるようになりました。 |
| 新しいメールルートを作成するとき、TLS とすべての証明書検証がデフォルトで有効化されるようになりました。 |
エンドユーザー: 上述の機能に関して、エンドユーザー側の設定はありません。
- 即時リリースと計画的リリースを利用しているドメイン: 2020 年 4 月 2 日以降、長期的に展開(機能をご利用いただけるようになるまでに 15 日以上かかる場合があります)
- G Suite をご利用のすべてのお客様が対象