最終回 古くて新しい、電子メール暗号化対応とその手法
藤澤 英治
株式会社CSK Winテクノロジ
2008/2/1
なぜ電子メールの暗号化が普及していないのか
電子メールの世界では、すでに10年以上前から暗号化は実現されてきました。しかし、10年以上その必要性を理解していたにもかかわらず、普及しているとはいいがたい状況にあります。電子メールの暗号化はなぜ普及していないのでしょうか、少し考えてみましょう。
「暗号」とは暗号化する個人と、その暗号を復号する個人の1対1を前提としています。電子メールでも同様です。一般的な操作手順は、相手の公開鍵を使用してメールを暗号化し送信します。暗号化されたメールを受け取った相手は、自分の秘密鍵を用いて復号してメールを読みます。5年前のシステムではこの方法でも問題はなかったかもしれません。
現状では、「情報漏えい防止」「内部統制」が大きく取り上げられ、電子メールのアーカイブやフィルタリングなどの監査が前提となりつつあります。暗号化されていては電子メールの監査を行うことはできません。このように現状では第三者に解読させない暗号化技術と第三者が監査を行う必要性とで矛盾をきたしています。
また、1対1の通信を前提としているため、暗号を取り扱う双方が同じ、または同等のメーラーを使用することも前提となります。Webメールで業務を行っている相手からはしばしば拒否されることもあり得ます。さらに、暗号化を行う場合には鍵を管理しなければなりません。
この管理の手間、認証局の利用費用、現状での矛盾なども含めて電子メールの暗号化が普及していないのではないかと考えられます。
では、「暗号」は使われていないのでしょうか。現状矛盾を抱えているにもかかわらず、電子メールを何らかの形で暗号化することは実情行われています。例えば、添付ファイルを暗号化します。監査としては暗号化されたファイルを送ったという情報が記録されます。後々事故(事件)が発生した場合に、「怪しきファイル」を送った人は特定することができますので、最低限業務に支障のないように運用している会社が結構あるようです。
少し横道にそれるのですが、実際に情報漏えいが発生した企業ではどのように膨大なアーカイブから情報漏えいを特定しているかご存じでしょうか。わたしは情報漏えいが発生した大まかな日付を基に絞り込みをしていくものだと思っていましたが、実際に情報漏えいが発生したある企業では、ブラックリストが存在していて、その人物を中心に絞り込みが行われているようです。やみくもに検索をし、絞り込んでいくわけではなく、情報漏えいということを想定した運用がされているようです。情報システム担当者とは観点が違うということ、すべての企業がそうしているかは不明ですが怖い話です。
最後に、電子メールセキュリティにおけるトレンドを紹介しましょう。
そのメールは信頼できるか――レピュテーションシステム
第2回「スパムメール対策――必要なメールを必要な人に」を書いた時点ではそれほど普及していなかったので紹介しなかったのですが、現在はレピュテーション(評価)システムをスパムメール対策に組み込むベンダが増えてきているようです。
以前紹介したフロー制御は、リアルタイムに送られてくる電子メールの量に対して制御をかけるのに対して、レピュテーションシステムではスパム情報データベースを基にフロー制御を行う技術です。スパム情報データベースには、スパムメールを配信したことがあるIPアドレス情報が格納されています。どのIPアドレスが本当にスパムメールを配信しているのかは、そのスパムメール対策を組み込んだ製品から収集される情報を基に更新されます。
この方式ではスパムメールの特徴情報をスパム情報データベースに集約しているようですが、採用を検討する場合には注意が必要です。世界中から収集するという意味では第2回で紹介したコラボレーション方式と似ていますが、利用者自身が自己判断の下で情報を提供しているわけではなく、機械的に行われていることに注意しましょう。導入する際には、誤判定した場合、正しい情報が自動的に収集されるか、スパムメールを判定する参加者(システム)がどのくらいあるのかなどを確認しておくとよいでしょう。
少し不安になるようなことを書いてしまいましたが、非常に有用であることは間違いありません。多くの情報が集まれば集まるほど精度は高くなり、自分たちのメールシステムに入ってくるスパムメールの量をぐっと減らす(50%前後ともいわれています)ことを可能とするので、今後スパムメール対策の1つの技術要素として使われていくと思われます。
 |
2/3 |
 |
| Index | |
| 古くて新しい、電子メール暗号化対応とその手法 | |
| Page1 電子メールの暗号化方式――手間をかけない方法の模索 ゲートウェイでの電子メール本体の暗号化 ゲートウェイでの添付ファイルの暗号化 ゲートウェイで電子メールをプール |
|
 |
Page2 なぜ電子メールの暗号化が普及していないのか そのメールは信頼できるか――レピュテーションシステム |
| Page3 それは正規のサーバからのメールか――送信ドメイン認証 変わりゆくトレンドを常に追い続けよう |
|
 |
電子メールセキュリティの基礎知識 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
