MicrosoftがExchange Onlineにおけるレガシー TLS(Transport Layer Security)接続のブロックを近く開始する。TLS 1.0およびTLS 1.1を使ってExchange Onlineと通信しているシステムやアプリケーションは、対応しなければある日突然メールの送受信ができなくなる。日本企業でも広く影響が及ぶ可能性があり、今すぐ確認と準備が必要だ。

なぜ今、TLSが問題になるのか

TLS(Transport Layer Security)は、Exchange Onlineとメールクライアントやアプリケーションとの通信を暗号化するプロトコルだ。TLS 1.0は1999年、TLS 1.1は2006年に策定された古い規格であり、POODLE・BEAST・RC4攻撃など複数の深刻な脆弱性が長年にわたって発見されている。

業界全体でTLS 1.2(2008年)やTLS 1.3(2018年)への移行が進んでいるが、日本の企業環境では依然として古い接続が残存しているケースが多い。Microsoftはこれまでも繰り返し廃止を予告してきたが、今回はいよいよ実際のブロックに踏み切る段階に入る。

影響を受ける可能性があるもの

以下のシステムやアプリケーションは要注意だ:

  • 古いメールクライアント: TLS 1.2未対応の旧バージョンのOutlookやサードパーティクライアント
  • 複合機・スキャナー: SMTPでメールを送信するネットワーク機器(特に古い機種)
  • 業務アプリケーション: ERP・CRM・基幹システムなどからのSMTPリレー接続
  • 自動化スクリプト: PowerShellや各種スクリプトからのExchange Online接続
  • 外部サービス連携: サードパーティのメール配信サービスや連携システム

日本企業で特に見落とされがちなのが、複合機やレガシー業務システムからのSMTPリレーだ。「今日も使えているから大丈夫」と放置されている機器が、ある朝突然メール送信できなくなる——そういうケースが現実になる。

実務での確認・対応ポイント

ステップ1: 影響を受けるシステムを特定する

Microsoft 365管理センターやExchange Online PowerShellから、現在レガシーTLSで接続しているシステムを特定できる。まず「どこから古いプロトコルで接続しているか」を把握することが出発点だ。

MicrosoftはAzure Monitor・Microsoft Defender for Cloudなど複数の経路でレガシー接続の検出を支援している。これらのツールを活用して棚卸しを進めてほしい。

ステップ2: 各システムの対応方針を固める

  • メールクライアント: TLS 1.2以上に対応した最新バージョンへ更新
  • 複合機: ファームウェアアップデートを確認し、対応できない場合はSMTPリレー構成を見直す
  • 業務アプリケーション: ベンダーへ問い合わせ、または接続ライブラリのアップデートを実施
  • スクリプト・自動化: [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 のような明示的な指定を追加

ステップ3: テスト環境・少数アカウントで事前確認

本番でブロックされる前に、テスト環境または限られたアカウントで影響範囲を確認しておくことが理想的だ。

日本のIT現場への影響

日本企業特有の課題として、「動いているから触らない」という運用文化がある。セキュリティプロトコルの更新よりも既存システムの安定稼働を優先する傾向が強く、古いTLS接続が長年放置されているケースは決して珍しくない。

さらに、複合機や基幹システムの更新には社内稟議・予算確保・ベンダー調整が必要で、迅速な対応が難しい事情もある。だからこそ、今すぐ影響範囲を把握し、経営層や関係部署への報告・調整を始めることが重要だ。「ブロックが始まってから初めて気づく」では遅い。

筆者の見解

レガシーTLSのブロックは、Microsoftが取るべき当然の判断だ。TLS 1.0/1.1は攻撃者にとって既知の標的であり、これを使い続けることはリスクを意図的に放置しているのと変わらない。むしろ「なぜここまで時間がかかったのか」という気持ちすらある。

ゼロトラストの考え方に立てば、通信経路の暗号化品質は妥協すべきラインではない。プロトコルの老朽化を「業務上の都合」で先送りにする理由はない。

一方で、今回の変更は「急な話」ではない。Microsoftは長期にわたって廃止を予告してきた。それでも対応できていない組織があるとすれば、問題はプロトコルではなく、IT管理の仕組みそのものにある。セキュリティの変化に追随できる運用体制を持つこと——それが本当の意味での「対応」だ。

今すぐ影響範囲を確認し、関係者と共有してほしい。メールが止まってから動くのでは、失うものが大きすぎる。

出典: この記事は Microsoft will begin blocking legacy TLS connections in Exchange Online soon の内容をもとに、筆者の見解を加えて独自に執筆したものです。