目次
近年、情報セキュリティ対策は企業が果たすべき社会的責任の一つとなりましたが、コミュニケーションツールとして使われるメールも、セキュリティ対策の対象です。
メールは、盗聴・漏えい対策の仕組みを理解しなくとも使えるため暗号化を意識することはありませんが、普段の生活や仕事に身近なメールにも、実は暗号化が施されています。
この記事ではメールの暗号化の仕組みや種類、送受信の際に注意したい点を説明します。
日常的にメールを使う機会がある方や、昨今官公庁や日立グループが廃止したPPAP*にセキュリティ上の課題があると言われる背景を知りたい方はぜひお役立てください。
*Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)Protocol(プロトコル)
メールの暗号化が必要な2つの理由
メールの暗号化とは、本文や添付ファイル等の送受信を他者から見られないよう加工・処理することです。メールの送受信は、インターネット上のメールサーバーを経由して行われるため、暗号化によって情報の漏えい・改ざん、なりすましによるフィッシング詐欺等を防いでいます。
このセクションでは、なぜメールの暗号化が必要なのかについて2つの理由をもとに解説します。
情報の漏えい・改ざんを防ぐため
たびたび報道される企業の情報漏えい・紛失事故は、ウイルス感染や不正アクセスによるものが大半です*。実際に、2021年に発生した情報漏えい・紛失事故の137件のうち原因別では「ウイルス感染・不正アクセス」が68件と最多で、全体の約5割を占めています。
サーバー攻撃等による不正アクセス等は、未然に予知することが難しいため、万が一の事態に備えたセキュリティ対策が必要です。
特に他者とのコミュニケーションツールであるメールは機密な情報やそれを予測できる内容を含むメールを別の宛先に送ったり、別の添付ファイルを送ってしまう事故が想定されます。こうした事故を未然に防ぐためにも、暗号化による漏えいリスクの対策がより重要です。
*https://www.tsr-net.co.jp/news/analysis/20210117_01.html
なりすましによるフィッシング詐欺等を防ぐため
メールのなかには送信者になりすましてメールを送信し、偽装したウェブサイトへ誘導させIDやパスワードを盗み出す「フィッシング詐欺」もあります。こうした被害から身を守るために、送受信内容の暗号化だけではなく、電子署名(デジタル署名)によるなりすまし対策も必要です。
電子証明書によってメールの送信者が本人であると証明することで、身元を偽造したフィッシング詐欺を防ぎます。
メール暗号化技術と主要メーラーの暗号化方法
メール暗号化技術
メールの暗号化に使われる暗号化技術には、通信を守る仕組みの「SSL・TLS方式」とメールそのものを暗号化する「PGP・S/MIME方式」の2種類のプロトコル(通信手段や手順を定めた規格)があります。
暗号化する対象が異なりますが、使われる暗号化方式は共通鍵暗号方式と公開鍵暗号方式の組み合わせです。共通鍵暗号と公開鍵暗号については「暗号化とは。仕組みや方法、注意点を解説(https://www.eaglys.co.jp/news/column/encrypt )」で詳しく紹介していますので、合わせてご覧ください。
また、このセクションではメール送受信に使われるプロトコル「SMTP/POP/IMAP」についても紹介します。
SSL/TLS方式
SSL(Secure Sockets Layer)/TLS(Transport Layer Security)方式とは、配信中のメールが盗み見られないよう、安全な通信サーバーであることを証明するよう要求するプロトコルです。SSLは、TLSの元になったプロトコルで現在は使われていませんが、SSLが広く認知されていることから一般的にSSL/TLSと並記されます。
SSL/TLSは該当のサーバーが第三者機関によって安全が保障されていることを認証する仕組みで、メールの通信だけではなくWebブラウザ(クライアント)とサーバーの間の通信にも用いられています。SSL/TLS暗号化通信が施されているWebサイトは、ドメインの先頭が「https://」や、内容が暗号化されている「鍵マーク」が表示されるため、Webサイトが暗号化されているかについて簡単に判断できます。また、SSLサーバー証明書を利用する際の電子署名には共通鍵暗号と公開鍵暗号の両者を組み合わせた暗号方式が使われます。
PGP・S/MIME方式
PGP(Pretty Good Privacy)とS/MIME(Secure/Multipurpose Internet Mail Extensions)方式とは、通信ではなくメールそのものの暗号化と電子署名のために使われるプロトコルです。
いずれの方式も暗号化する対象はメールの本文や添付ファイル等のメールデータで、公開鍵暗号方式と秘密鍵暗号方式の両者が用いられますが、暗号化や復号時に使われる公開鍵が信頼できることを保障する方法が異なります。
PGPは公共の場で署名が成立していることを根拠に、公開鍵が安全であることを信用します。一方S/MIMEは、SSL方式と同じように第三者機関(公開鍵証明書認証局)による認証を得ることで、公開鍵の安全性を保障しています。
参考:SMTP/POP/IMAP方式
SMTP(Simple Mail Transfer Protocol)/POP(Post Office Protocol)/IMAP(Internet Message Access Protocol)方式はメール送受信に使われるプロトコルです。
ネットワーク層ではなくメールソフト等のアプリケーション層で使われている仕組みです。SMTPはメールの送信に使われ、POPとIMAPは受信時に使われます。
POPはローカルの環境におかれたメールソフト等にメールをダウンロードして内容を読み取るのに対し、IMAPはメールサーバーにメールを保存したまま読むことができます。
主要メーラーのメール暗号化方法
上記で紹介した暗号化や電子署名の仕組みは、日常的に使われているメーラー(メールソフト)に組み込まれています。このセクションでは代表例を2つ紹介していきます。
Gmail
Gmailでは、自動的にメールを暗号化して送受信されています。
受信したメールの通信経路が暗号化されているかをサーバーのTLS/SSL証明で確かめ、S/MIMEでメール自体の暗号化と本人確認がされているかを自動的に確認します。
暗号化やサーバーの安全性が保障されていないメールを受信した場合、赤い鍵のマークのアラートが自動的に表示されます。もしくはメール宛先詳細欄等を表示することでメールの安全性を判断できます。
詳細の確認方法や最新の仕様についてはヘルプサイトをご確認ください。
Outlook
Outlookでは、ユーザー自身でメールの通信方法や暗号化方式を設定・変更することができます。送信するメール暗号化方式はS/MIMEとMicrosoft 365 Message Encryptionから選択でき、暗号化するメールの範囲も指定できます。利用できる通信方法も、受信サーバー(POP)と送信サーバー(SMTP)それぞれ設定・変更できます。
詳細の確認方法や仕様についてはヘルプサイトでご確認ください。
メール暗号化を実施する際の注意点
メール暗号化や電子署名(デジタル署名)、通信経路におけるセキュリティ対策は、メーラーによって自動で行われているため、メール暗号化を個別に設定する必要はなくなってきています。
しかし、本来の目的を意識せずに慣例的に行われている対策(のようなもの)も存在しており、昨今ではPPAP廃止をはじめとするメールのセキュリティ対策が見直されはじめています。
このセクションでは、メール暗号化を活用する上で留意しておきたい点を紹介します。
添付ファイルのZIP暗号化だけでは不十分
冒頭に紹介した「PPAP」は、日本で慣例的に行われてきた「パスワード付きzipファイルのメール送付」を意味します。
もともとはメール誤送信防止のために使われはじめ、利用が進んでくるとすべての添付ファイルを自動的に暗号化するソフトも開発されていました。
しかし、PPAP方式は、暗号化方式として不十分だと考えられています。
まず第一に、Zipファイルに標準的に使われる暗号化アルゴリズム「ZipCrypto」はパスワード解析によって1日かからずに解読されてしまう程度の強度のため、暗号化の意味をなしていません。
第二に、同じ宛先に同じ方法(メール)で添付ファイルとパスワードを別送したところで、送付過程でメールが盗み見られている場合やもしくはデバイス自体が不正アクセスを受けている場合、通信経路やデバイス自体の安全性が担保されていないと考えられるため、ファイルとパスワードを別々に送る意味はありません。
第三に、PPAPのメールを受信する立場では、パスワードのコピーアンドペーストを行なう手間が発生するだけではなく、パスワードの中身がウイルス感染していることをチェックされないまま受け取るというリスクが伴います。
パスワード付きzipファイルの中身をチェックできないセキュリティ対策ソフトを利用しているケースも多いため、ファイル解凍時にウイルス感染の危険があります。
こうした理由から、現在ではPPAP方式はセキュリティ対策になるどころか、受けての手間を増やし、かえってウイルス感染のリスクを伴うとの考えから、官公庁を中心に廃止する動きが主流となってきています。
クラウドストレージサービスを有効活用
メールによるファイル送付の代替手段として、クラウドサービスによる共有が有効とされています。クラウドストレージは、必要な時に必要な分のデータ容量を確保しながらデータを共有・保存することができます。
しかし、個人情報や企業の機密なデータを他者に共有する場合、安易なデータ送付は情報漏えい事故に繋がりかねないため、慎重に方法を検討する必要があります。たとえば、企業のセキュリティポリシーによって、機密なデータの持ち出し自体やクラウドを介したデータ共有自体が禁じられているケースもあります。
同様に、ファイル転送サービスを検討する場合も、サーバー間のファイル共有となるため、既存のシステム構造の見直しやセキュリティポリシーの調整が必要です。そうした状況もあり、機密情報の共有は簡単ではありません。
とはいえ、既存のシステム構成を変えずに機密なデータを秘匿したまま他社に共有したいと考える方も多いのではないでしょうか。その際は、EAGLYSの秘密計算ソフトウェア「DataArmor® Gate DB」がご活用いただけます。DataArmor Gate DBは、データベースとサーバーの間にインストールするだけで常時データを暗号化して複数事業社でのデータ共有や連携をおこなるため、情報漏えいリスクへの対策と同時に、秘匿性を担保した状態でデータの利活用を推進します。
全社的にセキュリティ対策へ意識を向ける
普段意識することなく使っているメールの暗号化は、いまや必須の対策となっています。
しかしメールの暗号化だけではなく、データ共有方法の見直しや通信、データベースそのものの安全性等、包括的に見直しを行なって初めて、セキュリティ対策を施したといえます。
さらに近年は官庁主導でDXやデータ利活用が推進され、複数事業社間でのデータ利活用が急務となっている一方、セキュリティニーズの高まりへの対応も求められています。このようなニーズにこたえるべく、EAGLYSではセキュリティ対策と同時に、データ連携・利活用やAIによる価値創出に取り組む企業を支援しています。
まとめ
コミュニケーションツールとして利用されているメールには、顧客の機密な情報や関係各所との開示したくない情報が含まれることがあることから、不正アクセスによる情報漏えいや情報の改ざん・なりすましのリスクヘッジとして、メールを暗号化することは必要不可欠です。
しかし、企業を取り巻くセキュリティリスクはメールだけにとどまりません。そのため、メールの暗号化だけでなくデータベース暗号化や通信の暗号化等の全社的なセキュリティ意識を高めることも求められているのです。
特に自社のデータベースの管理や他社とのデータ共有におけるセキュリティニーズは、企業がデータ活用によって新しい事業展開や製品サービスの向上に取り組むために、ますます必要になっています。
EAGLYSでは、データベース暗号化ソフトウェアの「DataArmor Gate DB」をはじめ、秘密計算ソリューションを開発提供し、ユーザーニーズに最適な提案をおこなっています。
デモンストレーションやデータ秘匿性担保とデータ利活用の両立についてのディスカッションから対応していますので、お気軽にご相談ください。