WHITE PAPER: White Paper あなたの 電 子 メールは 盗 聴 されているかもしれません 暗 号 化 されていないのに 重 要 情 報 を 気 軽 に 送 っていませんか? powered by Symantec
Copyright 2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロ ゴ は Symantec Corporation または 関 連 会 社 の 米 国 およびその 他 の 国 における 登 録 商 標 です その 他 の 会 社 名 製 品 名 は 各 社 の 登 録 商 標 または 商 標 です 合 同 会 社 シマンテック ウェブサイトセキュリティは 本 書 の 情 報 の 正 確 さと 完 全 性 を 保 つべく 努 力 を 行 ってい ます ただし 合 同 会 社 シマンテック ウェブサイトセキュリティは 本 書 に 含 まれる 情 報 に 関 して ( 明 示 黙 示 または 法 律 によるものを 問 わず)いかなる 種 類 の 保 証 も 行 いません 合 同 会 社 シマンテック ウェブサイトセキュ リティは 本 書 に 含 まれる 誤 り 省 略 または 記 述 によって 引 き 起 こされたいかなる( 直 接 または 間 接 の) 損 失 または 損 害 についても 責 任 を 負 わないものとします さらに 合 同 会 社 シマンテック ウェブサイトセキュリティ は 本 書 に 記 述 されている 製 品 またはサービスの 適 用 または 使 用 から 生 じたいかなる 責 任 も 負 わず 特 に 本 書 に 記 述 されている 製 品 またはサービスが 既 存 または 将 来 の 知 的 所 有 権 を 侵 害 しないという 保 証 を 否 認 します 本 書 は 本 書 の 読 者 に 対 し 本 書 の 内 容 に 従 って 作 成 された 機 器 または 製 品 の 作 成 使 用 または 販 売 を 行 うライセ ンスを 与 えるものではありません 最 後 に 本 書 に 記 述 されているすべての 知 的 所 有 権 に 関 連 するすべての 権 利 と 特 権 は 特 許 商 標 またはサービス マークの 所 有 者 に 属 するものであり それ 以 外 の 者 は 特 許 商 標 またはサービス マークの 所 有 者 による 明 示 的 な 許 可 承 認 またはライセンスなしにはそのような 権 利 を 行 使 することができません 合 同 会 社 シマンテック ウェブサイトセキュリティは 本 書 に 含 まれるすべての 情 報 を 事 前 の 通 知 なく 変 更 する 権 利 を 持 ちます 2
CONTENTS 1 概 要 4 2 インターネットにおける 電 子 メールシステムの 現 状 5 はじめに 5 電 子 メールの 仕 組 み 5 電 子 メールにおけるセキュリティの 問 題 6 企 業 の 電 子 メールセキュリティ 取 り 組 み 状 況 7 3 電 子 メールにまつわる 通 信 のSSL 化 8 メールサーバへのSSLサーバ 証 明 書 導 入 による 暗 号 化 8 SSLについて 9 SSLサーバ 証 明 書 について 10 メールサーバ(MTA POPサーバ)の 設 定 方 法 10 4 電 子 証 明 書 によるメールサーバへのログイン 11 個 人 用 電 子 証 明 書 (クライアント 電 子 証 明 書 ) 12 5 S/MIME 13 S/MIMEとは 13 S/MIMEの 働 き: 暗 号 13 S/MIMEの 働 き: 電 子 署 名 14 企 業 が 配 信 するメールで 利 用 されるS/MIME 電 子 署 名 14 S/MIMEの 導 入 について 15 6 導 入 事 例 利 用 シーン 16 社 団 法 人 金 融 先 物 取 引 業 協 会 (S/MIME) 16 某 国 内 ISP 事 業 者 (POP over SSL / SMTP over SSL) 16 シマンテック (S/MIME) 17 7 最 後 に 17 3
1 概 要 いまや 一 日 に 掛 けあう 電 話 の 本 数 をはるかに 上 回 る 電 子 メールのやりとり 日 常 的 に 使 われているが 故 に 重 要 な 情 報 を 気 軽 に 送 りあってい ませんか? 以 前 当 社 が 取 材 に 協 力 したテレビ 番 組 1 で 司 会 の 方 が 電 子 メールって 暗 号 化 されていないんですか? と 驚 いているのが 紹 介 されましたが 再 度 現 状 を 確 認 してみる 必 要 があります 電 子 メールを 安 全 に 利 用 するには 電 子 メールの 送 信 から 受 信 までの 各 ポイントにおいて 包 括 的 な 対 策 が 必 要 です 電 子 メールのセキュ リティ 対 策 には 電 子 メールの 暗 号 化 などによる 誤 送 信 時 の 情 報 漏 洩 防 止 盗 聴 防 止 と コンピュータウィルスやスパム 型 攻 撃 からメールサー バを 守 るための 対 策 とに 大 きく 分 けられます 2 メールセキュリティの 分 野 では ウィルス 対 策 やスパム 対 策 はかなり 進 んでいる 一 方 で 暗 号 化 などの 対 策 は 十 分 に 進 んでいるとはいえま せん メールへの 攻 撃 は 多 様 化 し かつ 複 雑 になってきていますので 従 来 よりも 多 段 的 な 対 策 を 施 す 必 要 があります 本 ホワイトペーパーではこうした 現 状 を 鑑 み 幾 つかのアプローチによって 電 子 メールのセキュリティを 考 察 していきたいと 思 います 1: 2009 年 NHK 教 育 IT ホワイトボックス http://www.nhk.or.jp/itwb/programme/ 2: IPA 電 子 メール 利 用 時 の 危 険 対 策 のしおり 参 照 http://www.ipa.go.jp/security/antivirus/documents/7_mail_v1.pdf 4
2 インターネットにおける 電 子 メールシステムの 現 状 はじめに 個 人 情 報 保 護 法 の 施 行 や 個 人 情 報 の 漏 洩 事 件 などの 増 加 に 伴 い 重 要 情 報 を 入 力 させるウェブサイトの SSL 化 はかなり 進 んできていま す 当 社 が 実 施 するセキュリティに 関 する 意 識 調 査 3 でも ウェブサイトにおいて ID+ パスワードや 個 人 情 報 を 入 力 させる 際 には SSL 化 が 必 須 であると 考 えるユーザが 増 加 しており こうした 意 識 の 高 まりによりインターネットのセキュリティ 自 体 は 底 上 げされてきていると 考 え ます 一 方 で 電 子 メールに 関 するセキュリティ 意 識 はウェブサイトに 関 するそれと 比 較 して 十 分 ではないようです 極 端 な 例 では 自 分 の 使 っ ている PC と ISP(インターネットサービスプロバイダ)のメールサーバの 間 は 暗 号 化 されていると 勘 違 いしている 例 も 見 受 けられます 今 回 はこうした 電 子 メールシステムの 現 状 を 確 認 し セキュリティ 上 の 問 題 点 解 決 策 を 探 ります 電 子 メールの 仕 組 み インターネットにおける 電 子 メールのやり 取 りは 下 図 のようにメールサーバ 同 士 が 通 信 を 行 いメール 配 送 する 仕 組 みになっています 例 えば 会 社 から 友 人 などのメールアドレスにメールを 送 ったとすると 以 下 のような 手 順 でメールが 配 送 されます 1 2 3 送 信 者 の 会 社 パソコンから メールクライアントアプリケーション(メーラー)が 社 内 メールサーバにSMTPでメールを 送 信 社 内 メールサーバは SMTPでメールを 送 信 インターネット 上 のメールサーバを 経 由 し 受 信 者 のメールサーバに 保 存 受 信 者 が 自 宅 パソコンのメーラーを 立 ち 上 げ 受 信 者 のメールサーバにPOPもしくはIMAPで 接 続 しメールを 受 信 この 手 順 において 1~3の 通 信 は 特 に 設 定 を 行 なわない 限 り 暗 号 化 されることはありません メールを 受 信 するときにアカウントとパスワー ドを 入 力 しますが これも 暗 号 化 されずにネットワーク 上 を 流 れます もし 家 庭 内 でネットワークに 接 続 する 際 に 暗 号 化 されていない 無 線 LAN などを 介 して 行 った 場 合 には 盗 聴 のリスクは 極 めて 高 いといえます 3については 仮 に 社 内 環 境 であったとしてもパケットキャプチャ などによって 容 易 に 盗 聴 ができます 最 近 多 く 使 われているウェブメールについても 同 様 です ウェブメールを 使 う 場 合 その URL が https:// から 始 まっていることを 必 ず 確 認 しましょう 最 近 では Google 社 が Gmail のデフォルト URL を http から https に 変 更 するなど 暗 号 化 されていないウェブサイト 上 でのウェブメールの 閲 覧 に 対 する 危 険 性 が 認 知 され 対 策 が 打 たれ 始 めています 3: インターネットセキュリティに 関 する 意 識 調 査 (2010 年 12 月 実 施 ) 5
電 子 メールにおけるセキュリティの 問 題 電 子 メールはさまざまなセキュリティ 上 の 問 題 を 抱 えています 電 子 メールは 上 述 したようにメールサーバがメールをやり 取 りする 仕 組 みに なっており 本 人 確 認 を 行 なわずにメールを 送 信 出 来 るようになっています 例 えて 言 うと 郵 便 物 の 送 信 者 欄 の 記 載 は 特 に 本 人 確 認 をし ていない 情 報 が 書 き 込 まれているのと 同 じと 考 えるとよいかと 思 います こうした 仕 組 みに 依 存 していることによるリスクをその 種 類 によっ ていくつかに 類 型 化 し それぞれのリスクに 有 効 と 考 えられる 対 策 を 簡 単 にまとめると 下 表 のようになります リスク 対 策 例 対 策 箇 所 メール 誤 送 信 即 時 送 信 せずに 送 信 前 に 宛 先 確 認 BCCの 活 用 誤 送 信 防 止 ソフト 1 送 信 メールの 盗 聴 SMTP over SSL * S/MIME * PGP 添 付 ファイル 暗 号 化 パスワード 付 圧 縮 1/2 ウィルス 入 りメール 送 信 送 信 ウィルスチェック 2 私 用 メール 機 密 情 報 メールの 送 信 メールフィルタリング メール 監 査 2 メール 不 正 リレー SMTPリレー 禁 止 設 定 SMTP Auth POP before SMTP OP25B(サブミッションポート587の 利 用 ) 2 内 部 統 制 対 応 メールアーカイブ メール 監 査 検 索 機 能 2 SPAMメールや 迷 惑 メールの 受 信 ウィルス 入 りメール 受 信 受 信 メールの 盗 聴 不 審 なメールは 開 かない メーラーの 迷 惑 メール 設 定 (セーフ 設 定 ) SPAMフィルタリング 送 信 ドメイン 認 証 受 信 ウィルスチェック 怪 しい 添 付 ファイルは 開 かない メーラーのプレビュー 機 能 をOFF HTMLメールを 極 力 受 信 しない POP over SSL * * ウェブメール(SSL)での 受 信 POPパスワード 暗 号 化 パスワードポリシー 強 化 * POPアクセス 時 にクライアント 証 明 書 を 活 用 3 3 3 フィッシングメール 不 審 なメールは 開 かない 不 審 なリンクはクリックしない * 署 名 付 メールで 送 信 者 を 確 認 3 標 的 型 攻 撃 (スピア 型 メール) 不 審 なメールは 開 かない 怪 しい 添 付 ファイルは 開 かない * 署 名 付 メールで 送 信 者 を 確 認 3 *: 電 子 証 明 書 により 対 策 可 能 6
企 業 の 電 子 メールセキュリティ 取 り 組 み 状 況 それでは 実 際 企 業 のシステムでこれらの 電 子 メールセキュリティ 対 策 はどの 程 度 導 入 されているのでしょうか ITpro の 調 査 によると 4 ウィルス / スパイウェア 対 策 は 82% が 導 入 し 迷 惑 メール 対 策 は 73% が 導 入 していることがわかりました ウィルス / スパイウェアや 迷 惑 メールは インターネットの 黎 明 期 からその 問 題 を 指 摘 されていたため 非 常 に 関 心 が 高 く 企 業 としては 導 入 するのが 当 たり 前 の 状 況 であったと 考 えられます 一 方 受 信 メールの 迷 惑 メール 対 策 は 39% アーカイブ( 長 期 保 存 )は 37% 送 信 メールの 暗 号 化 / 電 子 署 名 は 16% と 導 入 は 進 ん でいません 現 在 は 企 業 活 動 において 社 内 の 報 告 連 絡 相 談 の 手 段 として また 取 引 先 との 連 絡 手 段 として 電 子 メールは 欠 かせま せんが 情 報 漏 えい 対 策 のための 暗 号 化 / 電 子 署 名 をはじめとした 各 種 対 策 は 遅 れていると 言 えます 0% 20% 40% 60% 80% 100% メール サーバ 側 で 実 施 しているセキュリティ 対 策 の 実 態 調 査 出 典 :ITpro (2009 年 1 月 13 日 ~ 1 月 20 日, 母 数 :2001 人 ) 基 本 的 なメールセキュリティ 対 策 例 えば 送 信 前 の 宛 先 確 認 や 不 審 なメールの 添 付 ファイルは 開 かないなどの 対 策 は 簡 易 で 手 間 が 掛 からな いと 思 われがちですが 社 員 への 周 知 徹 底 と 意 識 の 向 上 によりこれらを 防 ぐのは 非 常 に 困 難 で かつ 対 策 を 怠 ると 顧 客 情 報 の 漏 洩 や 社 会 的 信 頼 の 喪 失 につながります これらの 対 策 は 社 員 への 徹 底 が 難 しいからこそ 対 策 ツールが 必 要 になります 次 の 章 では メーラーとメールサーバ 間 通 信 の SSL 化 および S/MIME など 主 に 電 子 証 明 書 を 使 った 暗 号 化 や 電 子 署 名 によるセキュリティ 対 策 についてそれぞれ 解 説 します 4:http://itpro.nikkeibp.co.jp/article/Research/20090123/323308/ 7
3 電 子 メールにまつわる 通 信 の SSL 化 まずは 第 2 章 の 冒 頭 で 見 たように メーラーとメールサーバ 間 の 通 信 について 考 えます 一 般 的 にはメールの 送 受 信 には SMTP と POP が 使 われます SMTP/POP の 通 信 は 通 常 の 設 定 では 暗 号 化 されずに 平 文 でやり 取 りをされることになります メールや 添 付 ファイルを 暗 号 化 したとしても メールサーバに 接 続 するための ID+ パスワード 自 体 が 暗 号 化 されずにやり 取 りされるので たとえそれが 社 内 などの 閉 じられた 環 境 内 での 電 子 メールのやりとりであったとしても クライアント PC とスイッチなどの 間 にパケットキャ プチャを 挟 み 込 めば 盗 聴 可 能 です 仮 に 社 員 もしくは 社 内 の 環 境 にアクセスできる 悪 意 のある 第 三 者 が 盗 聴 を 行 おうとすれば 防 ぐ 手 立 てはありません また 過 去 に 多 く 利 用 されていた POP 上 で ID+ パスワードを 暗 号 化 する 方 法 として APOP が 挙 げられますが すでに 脆 弱 性 が 発 見 され ており POP over SSL の 利 用 が 推 奨 されています http://www.ipa.go.jp/security/vuln/200704_apop.html メールサーバへの SSL サーバ 証 明 書 導 入 による 暗 号 化 この 問 題 を 解 決 する 手 段 として メールサーバに SSL サーバ 証 明 書 を 導 入 し 通 信 を 暗 号 化 することが 挙 げられます メーラーとメールサー バ 間 を SSL で 暗 号 化 します 電 子 メールの 受 信 時 に メーラーとメールサーバ 間 の 通 信 に SSL を 使 って 暗 号 化 する 機 能 のことを POP over SSL といい 電 子 メールの 送 信 時 にメーラーとメールサーバ 間 の 通 信 に SSL を 使 って 暗 号 化 する 機 能 のことを SMTP over SSL といいます メーラーの 設 定 で メーラーとメールサーバ 間 のデータを 暗 号 化 (SSL)する というチェックボタン 5 や SSL 通 信 のポー トが 指 定 できるものはそこで SSL の 設 定 を 行 ないます 利 用 しているメールサーバの 管 理 者 にメールのやり 取 りが SSL 上 で 行 なえるか どうか 確 認 してみてください SMTP over SSL/POP over SSL 5:メーラーの 設 定 の 例 8
ウェブメールはこのメールサーバのユーザ 側 にウェブサーバを 配 置 し ユーザからはブラウザベースでアクセスさせるようにした 仕 組 みです この 場 合 のセキュリティは 通 常 のウェブサーバにアクセスする 場 合 と 同 様 にウェブサーバに SSL 証 明 書 が 導 入 され SSL 通 信 が 可 能 になっ ているかどうかが 問 題 になります そうでなければ 送 受 信 者 のメールアカウント パスワード メールの 内 容 は 暗 号 化 されずにネットワーク 上 を 流 れることになります ウェブメールで 受 信 するメールを 暗 号 化 する 場 合 SSL について ここで SSL について 簡 単 におさらいします SSL(Secure Sockets Layer) は Netscape 社 が 提 唱 し Netscape Navigator に 実 装 した ウェブサーバとクライアントの 間 でセキュアな 通 信 を 行 なうためのプロトコルです SSL の 特 徴 は サーバ(ウェブサーバ メールサーバ)に 身 元 を 証 明 する 電 子 的 な 証 明 書 を 発 行 し SSL 通 信 を 開 始 するときにクライア ントにこれを 確 認 させることによって 正 しいサーバと 通 信 を 行 なうことを 明 示 的 に 示 し その 後 の 通 信 を 暗 号 化 することによってデータの 盗 聴 や 漏 洩 などを 防 ぐところにあります 次 の 図 にウェブサーバと 通 信 を 行 なう 場 合 の 簡 単 なイメージを 示 します メーラーとメールサーバ 間 の 通 信 についても 同 様 です SSL 通 信 が 開 始 されるときに 行 なわれる 処 理 9
SSL サーバ 証 明 書 について これまで 見 てきたようにサーバとクライアントがセキュアな 通 信 ( 暗 号 通 信 )を 行 なうためには SSL サーバ 証 明 書 が 必 要 となります では この SSL サーバ 証 明 書 はどこから 入 手 できるのでしょうか? 実 は 証 明 書 発 行 依 頼 を 受 けてその 企 業 の 実 在 性 などを 検 証 し SSL サー バ 証 明 書 の 発 行 管 理 を 行 っているのがシマンテックなどの 認 証 局 認 証 事 業 者 と 言 われる 企 業 です 企 業 とはいっても 上 記 のような 企 業 を 認 証 する 行 為 を 行 うため 信 頼 される 第 三 者 であることが 必 要 とされ 一 般 的 には 財 務 的 な 健 全 性 や 特 定 の 企 業 に 依 存 しない 中 立 性 が 求 められます シマンテックはこうした 認 証 事 業 者 の 中 でも 最 も 古 い 歴 史 と 発 行 枚 数 実 績 を 誇 る 企 業 です 詳 しくは 以 下 のリンクをご 覧 ください http://www.symantec.com/ja/jp/products-solutions/families/?fid=ssl-certificates メールサーバ(MTA POP サーバ)の 設 定 方 法 POP over SSL SMTP over SSL を 実 装 するためには SSL サーバ 証 明 書 をメールサーバへインストールすることと クライアント におけるメーラーの 設 定 変 更 が 必 要 です シマンテックでは 以 下 のメールサーバで 動 作 確 認 を 行 い POP over SSL / SMTP over SSL が 動 作 することを 確 認 しています(2008 年 10 月 現 在 ) 以 下 のメールサーバに 関 する 設 定 方 法 のマニュアルは 次 項 でご 案 内 の POP over SSL/SMTP over SSL: 技 術 ガ イド(サーバ 編 ) として 入 手 することができます Postfix 2.5.2 Sendmail 8.14.3 Exchange Server 2007SP1 Dovecot 1.1.1 qpopper 4.0.14 10
4 電 子 証 明 書 によるメールサーバへのログイン 第 3 章 では ID+ パスワードおよびメール 本 文 の 暗 号 化 のための SSL の 利 用 について 触 れました この 際 にはログイン 認 証 のために ID+ パスワードを 前 提 としてしましたが この 章 では より 強 固 なログイン 認 証 のための 電 子 証 明 書 の 利 用 について 触 れたいと 思 います メールサーバへのアクセスを ID+ パスワードで 行 った 場 合 何 らかの 手 法 で 第 三 者 が ID+ パスワードを 取 得 し メールサーバにある 情 報 について 盗 聴 改 ざん なりすましなどを 自 由 に 行 うことができます 前 述 の POP/SMTP over SSL や SSL によるウェブメールの 暗 号 化 は その ID+ パスワードを 知 られないための 手 法 ですが ひとたび ID+ パスワードが 漏 洩 してしまった 場 合 は 知 らないうちに 他 の 端 末 からなりすましのアクセスを 許 してしまいます こういった 事 態 へのより 強 固 な 対 策 として 電 子 証 明 書 を 用 いたメールサーバへのログイン があります メールサーバにアクセスするメーラーにあらかじめクライアント 電 子 証 明 書 を 設 定 し そのクライアント 証 明 書 をインストールした PC から のみアクセス 可 能 とすることによって 不 正 アクセスを 防 ぐことができます 特 にウェブメールでは ブラウザ 上 で 入 力 する URL と ID+ パスワードが 漏 洩 すれば なりすましのアクセスを 許 してしまう 不 安 がありますが Outlook Web app などのウェブメールでは クライアント 証 明 書 を 利 用 したアクセスコントロールによって 不 正 アクセスを 防 止 することが 可 能 です 11
個 人 用 電 子 証 明 書 (クライアント 電 子 証 明 書 ) ここで クライアント 電 子 証 明 書 について 簡 単 に 触 れます 限 られた 枚 数 単 位 で 導 入 することができる 個 人 用 電 子 証 明 書 と 企 業 などで 全 社 員 に 配 布 して 利 用 するのに 最 適 な Symantec Managed PKI などのサービスがあります Symantec PKI Class 2 Certificate は 1 枚 からでも 利 用 可 能 な 組 織 内 個 人 向 けのクライアント 証 明 書 です お 客 様 独 自 の 認 証 局 を 構 築 するなどの 初 期 投 資 が 不 要 で 利 用 者 の 電 子 証 明 書 を 管 理 する 管 理 者 を 置 く 必 要 もないので 手 軽 に 導 入 できます 企 業 や 団 体 など 日 本 で 法 人 登 記 している 組 織 に 属 する 個 人 であれば 誰 でも 利 用 できます 電 子 証 明 書 の 取 得 に 必 要 なのは インターネットへの 接 続 環 境 有 効 な 電 子 メールアドレス 電 子 メールが 受 信 できる 環 境 のみです また より 多 くのクライアント 証 明 書 を 発 行 するにはより 利 便 性 の 高 い Symantec Managed PKI もあります 12
5 S/MIME 前 章 まで 見 てきたのは サーバとメーラーの 通 信 を 暗 号 化 する 手 段 についてでした この 手 段 を 用 いると 少 なくとも 自 分 の 近 くのサーバま では 暗 号 化 されていることが 確 認 できますが その 先 も 暗 号 化 されているとは 限 らず ISP や 相 手 側 の 環 境 によってはセキュリティ 上 の 問 題 が 発 生 する 可 能 性 が 残 ってしまいます 一 般 的 な 企 業 で 会 社 のメールを 個 人 のメールアカウントに 転 送 するのを 認 めないのはこうした 理 由 もあります この 問 題 は 送 信 者 が 暗 号 化 したメールを 受 信 者 のみが 復 号 化 できれば 解 決 できます いくつかの 仕 組 みが 提 案 されていま すが デファクトスタンダードとして 一 番 普 及 している 仕 組 みが S/MIME です この 章 では S/MIME について 解 説 します S/MIME とは S/MIME(Secure / Multi part Internet Mail Extention)は エスマイム と 発 音 するインターネット 上 の 電 子 メールを 署 名 暗 号 化 してやり 取 りするための 仕 様 です IETF で 標 準 化 され 多 くのメーラーに 搭 載 されるデファクトスタンダードとなっています S/MIME では 公 開 鍵 暗 号 方 式 と 電 子 証 明 書 を 用 いています S/MIME の 働 き: 暗 号 S/MIME は 二 つの 機 能 を 提 供 します 一 つがメールの 暗 号 化 もう 一 つが 署 名 です 暗 号 化 は PKI の 仕 組 みの 上 で 行 なわれます 送 信 者 は あらかじめ 受 信 者 の 公 開 鍵 をメール 等 の 方 法 で 入 手 し その 公 開 鍵 を 含 む 電 子 証 明 書 をあらかじめメーラーに 設 定 しておきます 送 信 者 か ら 暗 号 化 メール 送 信 する 際 メーラーは 受 信 者 の 公 開 鍵 によってメールの 本 文 を 暗 号 化 して 受 信 者 へ 送 付 します それにより 対 となる 秘 密 鍵 を 持 つ 受 信 者 本 人 以 外 には 復 号 化 できない 暗 号 メールをやり 取 りすることが 可 能 です 前 章 で 見 たメールサーバを SSL 化 する 手 段 と は 異 なり 通 信 経 路 が 暗 号 化 されていなくても 情 報 を 暗 号 化 してやりとりすることが 可 能 です 逆 にサーバでも 解 読 することができないため メールサーバでウィルスチェックや 内 容 のチェックなどを 行 なっている 場 合 S/MIME で 暗 号 化 されたメールについては 処 理 を 行 なえませ んが 一 般 論 として S/MIME を 用 いたメールが SPAM である 可 能 性 は 現 状 低 いといえます 13
S/MIME の 働 き: 電 子 署 名 S/MIME が 実 現 するもう 一 つの 機 能 が 電 子 署 名 です 署 名 といっても 電 子 メールの 文 末 につける 自 分 の 名 前 や 部 署 名 などを 指 すのではな く 自 分 の 秘 密 鍵 を 用 いてメール 本 文 に 数 学 的 な 処 理 を 行 なったある 値 を 添 付 することを 指 します 電 子 署 名 を 付 与 すると 仮 に 万 が 一 受 信 者 に 届 くまでの 間 にメールの 本 文 が 一 字 でも 変 更 ( 改 ざん)された 場 合 には 受 信 者 側 のメーラーでこれを 検 知 することが 出 来 ます 同 時 に ここで 使 われる S/MIME 用 の 証 明 書 に 記 載 されたメールアドレスが 送 信 者 のアドレスと 一 致 するか 合 わせてチェックされます S/MIME を 利 用 することで 確 かに 送 信 者 がそのメールを 作 成 していることと 通 信 途 中 でメール 本 文 が 改 ざんされていないかどうかを 確 認 できます 企 業 が 配 信 するメールで 利 用 される S/MIME 電 子 署 名 最 近 では 多 くの 金 融 機 関 が 口 座 保 持 者 宛 に 送 付 するメールに 電 子 署 名 をつけ 金 融 機 関 の 名 をかたってフィッシングサイトに 誘 導 するなり すましメール(フィッシングメール)への 対 策 を 図 っています また ますます 多 様 化 するメールマーケティングにおいて 発 信 メールの 購 読 率 向 上 やクリック 率 向 上 の 効 果 を 狙 った 企 業 が 電 子 メールへの 署 名 ソリューションを 導 入 する 事 例 が 増 えてきています 昨 今 多 くのメー ラーが S/MIME をサポートしており 消 費 者 の 多 くは 特 に 意 識 しなくともメールにおける 電 子 署 名 を 確 認 することができます 電 子 署 名 の 表 示 例 署 名 メール 開 封 組 織 名 が 表 示 されます 14
フィッシング 対 策 協 議 会 のガイドラインにおいても 容 易 に 判 別 しにくいフィッシングメールへの 対 策 として 消 費 者 に 対 してメールを 配 信 す る 事 業 者 は メールに S/MIME による 電 子 署 名 を 付 与 する 必 要 があるとしています フィッシングメールの 事 例 http://www.antiphishing.jp/database/index.html フィッシング 対 策 ガイドライン 2013(フィッシング 対 策 協 議 会 ) http://www.antiphishing.jp/report/pdf/antiphishing_guide.pdf S/MIME の 導 入 について これらは S/MIME 用 の 電 子 証 明 書 をご 利 用 いただくことによって 可 能 となります こちらの 電 子 証 明 書 につきましても 第 4 章 で 触 れた Symantec PKI Class 2 Certificate や Symantec Managed PKI などによって 簡 単 に 導 入 可 能 です また 企 業 から 配 信 されるメールマガジンのように 送 信 元 のメールアドレスが 組 織 団 体 の 代 表 メールアドレスとなるようなメールへの 署 名 用 途 においては メール 送 信 元 組 織 団 体 の 実 在 性 を 確 認 する シマンテック セキュアメール ID がより 適 しています 用 途 に 応 じた S/MIME 用 電 子 証 明 書 送 信 者 適 したS/MIME 用 電 子 証 明 書 認 証 対 象 暗 号 化 署 名 個 人 Symantec PKI Class 1 Certificate メールアドレスの 到 達 性 組 織 内 個 人 の 在 籍 法 人 所 属 個 人 Symantec PKI Class 2 Certificate 組 織 内 個 人 の 在 籍 法 人 シマンテック セキュアメールID 組 織 団 体 の 実 在 性 15
6 導 入 事 例 利 用 シーン 社 団 法 人 金 融 先 物 取 引 業 協 会 (S/MIME) 課 題 外 国 為 替 証 拠 金 取 引 (FX 取 引 ) 等 の 規 制 の 見 直 し 等 が 行 われる 中 で 会 員 との 情 報 連 携 に 関 するシステムでコストダウンを 実 現 し かつ 会 員 に 対 してセキュアな 電 子 報 告 機 能 を 提 供 したい 導 入 したセキュリティ 対 策 シマンテック セキュアメール ID 某 国 内 ISP 事 業 者 (POP over SSL / SMTP over SSL) 課 題 メールホスティングサービスの 付 加 価 値 として 経 路 暗 号 化 サービスを 提 供 することにより 顧 客 の 情 報 漏 えいリスクを 軽 減 し 顧 客 満 足 度 を 高 めたい 導 入 したセキュリティ 対 策 シマンテック グローバル サーバ ID 16
シマンテック (S/MIME) 課 題 社 外 向 けの 電 子 メールに 対 して フィッシングメールではなく 間 違 いなくシマンテックから 送 信 したことを 保 証 することで 顧 客 や 株 主 の 信 頼 を 維 持 向 上 させたい 社 内 の 電 子 メールに 対 して 情 報 漏 えいの 防 止 と 送 信 者 の 本 人 性 の 担 保 ( 否 認 の 防 止 )を 行 い 業 務 の 確 実 性 向 上 やコンプライアン ス 向 上 を 図 りたい 導 入 したセキュリティ 対 策 Symantec Managed PKI シマンテック セキュアメール ID Symantec Managed PKIを 用 いた 暗 号 電 子 署 名 メール シマンテック セキュアメールIDを 用 いた 電 子 署 名 メール 7 最 後 に 電 子 メールはまだインターネットが 黎 明 期 の 段 階 から 非 常 に 多 く 使 われてきたサービスです 初 期 の 頃 は 電 話 回 線 をつかった バケツリレー 方 式 で 配 送 が 行 なわれており 一 日 メールが 届 かないこともありました しかしながら 時 代 は 変 わり 今 や 多 くの 企 業 の 業 務 のみならず 友 人 との 連 絡 や 企 業 から 個 人 宛 のお 知 らせにも 電 子 メールが 使 われるようになりました その 内 容 も 多 岐 にわたり また 最 近 では HTML を 使 ったメールや 大 きな 添 付 ファイルをつけたメールも 珍 しくなくなりました 電 子 メールが 普 通 に 使 われるようになるのと 共 に 電 子 メー ルに 関 するセキュリティ 意 識 は 薄 れ 重 要 なデータをメールに 添 付 したり メールの 中 に 個 人 情 報 や 秘 密 情 報 を 書 いて 送 ったりするようなこ とも 多 いのではないかと 思 います 本 ホワイトペーパーではこうした 状 況 を 前 提 としながら 電 子 メールの 問 題 点 について 意 識 を 持 っていただき その 解 決 策 を 提 示 すること を 目 的 として 解 説 を 行 ないました 普 段 は 意 識 しない 問 題 かもしれませんが ユーザの 方 は 自 分 の 電 子 メールの 設 定 を 見 直 し 例 えば 届 いたメールを 見 る 際 に なりすましや 改 ざんがされていないか 電 子 署 名 の 有 無 を 確 認 することから 始 めてはいかがでしょうか また サー ビスを 提 供 する 側 の 方 は 本 ホワイトペーパーを 参 考 にしていただき より 高 いメールセキュリティを 実 現 していただければと 思 います 17 Copyright 2014 Symantec Corporation. All rights reserved. シマンテック(Symantec) ノートン(Norton) およびチェックマークロゴ(the Checkmark Logo)は 米 国 シマンテック コーポ レーション(Symantec Corporation)またはその 関 連 会 社 の 米 国 またはその 他 の 国 における 登 録 商 標 または 商 標 です その 他 の 名 称 もそれぞれの 所 有 者 による 商 標 である 可 能 性 があります 製 品 の 仕 様 と 価 格 は 都 合 により 予 告 なしに 変 更 することがあります 本 カタログの 記 載 内 容 は 2014 年 4 月 現 在 のものです 合 同 会 社 シマンテック ウェブサイトセキュリティ https://www.jp.websecurity.symantec.com/ 104-0028 東 京 都 港 区 赤 坂 1-11-44 赤 坂 インターシティ Tel : 0120-707-637 E-mail : websales_jp@symantec.com