PR

社内メールを使う延長線上で,他の企業や顧客と機密情報を電子メールでやり取りすることは危険です。情報漏えいを防ぐため,重要な情報は暗号化して送受信するようにします。これを実現するためにはルールを規定し,きちんと運用する必要もあるでしょう。

 電子メールは即座に相手へ届くため,情報共有の手段として使いやすく有用です。しかし社内LANで頻繁にやり取りされるメールも,インターネットを経由する場合には危険が伴います。電子メールの送受信に使うSMTP*は古い仕様であるため,策定時には想定していなかったさまざまな問題が顕在化しているためです。

電子メールは盗聴が可能


図1 普段使うメールには盗聴のリスクがある
配信経路上でパケットを傍受されたり,メール・サーバーに不正アクセスされることでメールの内容を盗み見られる恐れがある。

[画像のクリックで拡大表示]

図2 メールの盗聴を防ぐ方法の例
暗号化サーバーを導入すれば,インターネット上で盗み見られることを防げる。暗号化Webメールを利用すれば,送信者のパソコンから受信者のパソコンまでの全区間が暗号化される。

[画像のクリックで拡大表示]

 SMTPの一番の問題点は,メールを平文のままサーバー同士で受け渡すことです。そのため,悪意ある第三者がパケットを傍受してメールの内容を読めてしまいます(図1[拡大表示])。また中継サーバー上でも,メールは平文のまま蓄積されます。中継サーバーに不正アクセスすることでも,メールを盗み見られる恐れがあるのです。

PKIを使う方法には運用上の問題が

 こうしたSMTPが持つ機密性や完全性の弱点は,電子メールで使える暗号化やディジタル署名*の技術を併用することで克服できます。認証局が発行する電子証明書を使ってメールに暗号化やディジタル署名を施し,受信者が別の証明書を使って復号化や署名検証をする方法が一般的です。パソコンでメールを暗号化したり復号化したりするため,経路上で盗聴される心配はありません。こうした手法を使う技術には,S/MIME*PGP*があります。

 ただし証明書を使う方式は,証明書の管理にPKI*が必要です。仕組みが大掛かりになるためコストがかかり,証明書の配布や管理も必要になります。さらに受信側のメール・ソフトがこの仕組みに対応していなければなりません。組織外のユーザーに暗号メールを出すには,そのユーザーの協力も得る必要があるのです。こうした背景から,ディジタル署名を使う方法は普及していません。

 また証明書を使う方法では,メール・ソフト間で暗号化されるため,中継経路でウイルス検査を実施できなくなる問題があります。同様に,内部統制の目的でメールを保存・監査することもできなくなります。

ディジタル署名を使わない暗号化手法も


 メール監査やウイルス検査ができないという問題を解決するには,インターネットへの出口に「暗号化サーバー」を設置します(図2[拡大表示])。こうした製品を使えば,送信メールを社内ネットワークで監査し,ウイルス対策を実施したあとで暗号化できます。復号化は,受け手のパソコンに事前にインストールしておいたソフトウエアで実施します。

 配信経路全体を暗号化するWebメール・サービスも提供されています。ブラウザとWebメール・サービスのサーバーの間をSSL*で暗号化して,経路上での改ざんや盗聴を防ぎます。PKIのように証明書を配布・管理する手間がかからず,受信側もブラウザだけで利用できます。Webメールのサーバー上で保管するメッセージも暗号化されています。

情報の重要度に応じたルール作りが重要

 ただし暗号化サーバー,Webメールともに,通常のメール送信に比べて暗号化の作業が増えるので多少手間がかかります。そのため,メールの暗号化を導入するに当たっては,一定のルールを作るとよいでしょう。

 企業には暗号化してやり取りすべき情報と,暗号化が不要な情報があります。そこでルールには,扱う情報の重要度に応じた送受信手段を規定します。例えば「単なる連絡であればそのまま送信して構わないが,顧客情報は暗号化して送ること」といった具合です。もちろん作成したルールが守られているかを監査し,適切に運用することも欠かせません。


増谷 洋 NRIセキュアテクノロジーズ 事業開発部長
佐藤 健 NRIセキュアテクノロジーズ 事業開発部 主任セキュリティエンジニア