まず最初にすることシリーズ：アカウントをセキュアに利用するためにするべきこと

Twilio SendGridは大量のメールを送信できるサービスです。当然、顧客メールアドレスなどの個人情報を扱うことになるため、アカウントの取り扱いには特に注意が必要です。万が一アカウントに対する不正アクセスを許してしまうと、個人情報が流出してしまったり、知らない間に迷惑メール送信の加害者となってしまったり、社会的な信頼が失墜することになりかねません。

そこで今回は、アカウントをセキュアに利用するためにするべきことをご紹介します。

SMTPやWeb APIの認証をセキュアにする

APIキーの利用

SMTPやWeb APIでメールを送信する際、APIキー認証が必須です。

APIキーには以下のような特徴があります。

• メール送信およびAPIアクセスにのみ利用でき、ダッシュボードへのログインは不可
• 権限を設定して機能単位でアクセス制限をかけることができる
• 複数のAPIキーを作成することが可能

そのため、アプリケーションごと、オペレータごと、サーバごとなど、目的別に権限を付与したAPIキーを作成し、管理することができます。万が一APIキーが漏洩してしまった場合も、そのAPIキーを削除することで影響範囲を最小限に抑えられます。
とはいえ、不正利用された際の損害は計り知れません。APIキーを含んだソースコードがGitHubなどの公開リポジトリに流出してしまうといったトラブルが頻発しています。取り扱いには十分ご注意ください。

APIキーについての詳細はチュートリアルをご参照ください。
APIキーを管理する
APIキーを利用したメールの送信方法については以下をご参照ください。
トランザクションメールを送信する

複数人でアカウントをセキュアに共有する

Teammates機能の利用

複数人のチームで1つのアカウントを共有する必要がある場合は、大元のアカウント（親アカウントやサブユーザ）のログイン情報を共有するのではなく、Teammates機能の利用を推奨しています。

Teammatesとは、ダッシュボードへのアクセスを制御するための機能です。前段でご紹介したAPIキーはAPIアクセスを制御するためのものですが、このUI版にあたります。

本機能には以下のような特徴があります。

• 利用者ごとにUsernameを発行し、アクセス可能な機能を制限することが可能
• 複数のTeammateユーザを作成することが可能

そのため、メンバに利用を許可する機能を管理者が個別に設定し、万が一Teammateのログイン情報やAPIキーが漏洩したとしても影響を最小限にとどめることができます。また、メンバに変更があった場合、Teammateアカウントの削除や変更のみで対応することが可能となり、大元のログイン情報を共有する場合よりもセキュリティが強化されます。

Teammates機能の使い方について、詳細はチュートリアルをご参照ください。

アカウントへのアクセス元ネットワークを制限する

IP Access Management機能の利用

IP Access Management機能は、SendGridへのアクセス元ネットワーク／IPアドレスを制限できる機能です。許可リスト（Allow List）に登録したネットワーク／IPアドレスから接続した場合のみ、SendGridのUIやAPI、SMTPリレーにアクセス可能となります。それ以外からのアクセスは全てブロックされるため、不正なアクセスを防ぐことができます。許可リストに登録されていないIPアドレスからのアクセスがあった場合にメールでアラートを受け取ったり、アカウントへのアクセス履歴を確認したりすることも可能です。

IP Access Management機能は非常に強力な機能なので、ご利用には十分ご注意ください。設定を誤るとご自身のアカウントにログインできなくなってしまう可能性があります。

IP Access Management機能についての詳細はドキュメントをご参照ください。

まとめ

ご紹介した対策を行うことで、セキュリティを強化することができます。知らない間にアカウントが悪用されてしまわないよう、万全の体制をとっておきましょう。