メールセキュリティのコラム

ビジネスでは当たり前に使っているメールですが、そのメールにセキュリティリスクがあることをご存じでしょうか。

しっかりと対策しなければ情報漏洩につながり社会的信頼を損なう可能性が高くなります。最近では手口が巧妙化しており、従業員への教育だけでは不十分です。

より安全に取引先とメールのやり取りをするなら、メールの暗号化をしておきたいところです。本記事では、ビジネスにおけるメール暗号化の重要性とその方法について解説します。

インターネットのセキュリティリスクで話題にあがることが多い「なりすまし」「盗聴」「改ざん」ですが、メール対象となることをご存じでしょうか？

メールはその特性から宛先以外の人は見ることができないと思われがちですが、暗号化されてなければ誰でも見ることが可能です。

そのため、悪意を持った第三者が常に狙っており、攻撃対象にされて送受信していた個人情報や機密情報が盗まれる被害が後を経ちません。

場合によっては加害者となり訴訟問題に発展するケースもあります。そのトラブルを避けるためにも、メールの暗号化が必要になってきます。

メール暗号化とは、メールの本文や添付ファイルを暗号化して第三者によってメールにアクセスされないようにすることです。

暗号化ソフトを導入すれば通常通りメールの送受信をするだけで自動的に暗号化されて、第三者による盗聴や改ざんを防ぎます。

メールは一般的に鍵を使って暗号化されます。その鍵を使ったメール暗号化には「公開鍵暗号方式」と「秘密鍵暗号方式」と呼ばれる2つの方式があります。

どちらも鍵を使うという意味では同じですが、暗号化したデータを読めるように復元化する時に、「公開鍵」と「秘密鍵」どちらを使うかというところが異なります。

それぞれの方式について詳しく解説します。

公開鍵暗号方式は、「公開鍵」と「秘密鍵」と呼ばれる2つの鍵を利用してデータのやり取りを行う方法です。

公開鍵暗号化方式の流れは次の通りです。

1. 秘密鍵を使って公開鍵を作成する
2. メール相手に公開鍵を送付する
3. 公開鍵を受け取った側がその公開鍵を使ってメールを暗号化する
4. 暗号化されたメールを受信し、公開鍵を作るときに使った秘密鍵で復号する

秘密鍵は他者に公開しません。暗号化されたメールを復号できるのは秘密鍵を持った人だけになります。

暗号化されたメールがやり取りされる上、暗号化する時に使う鍵と復号するときに使う鍵が完全に異なるため、第三者に漏えいするリスクが大幅に減ります。

秘密鍵暗号方式は「共通鍵」のみでデータを暗号化・復号します。

暗号化する側・復号する側で同じ鍵を共有するため、鍵の管理が重要です。暗号化する工程が少ないので、公開鍵暗号方式よりも低コストで運用できるところが特徴になります。

続いて、実際に暗号化する方法（技術）を解説します。

メールの暗号化には次の２つのプロトコル（通信手順）が用いられます。

● PGP・S/MIME
● SSL・TLS

PGP・S/MIMEはメールの暗号化と電子署名に使われており、「秘密鍵暗号方式」「公開鍵暗号方式」を使っています。

メールを暗号化することで、悪意を持った第三者の攻撃から情報を保護しています。

PGPとS/MIMEの違いはメールの暗号化・復号する際に使われる「公開鍵」の扱いです。

PGPは既になんらかの方法で本人確認ができていて、公開鍵は信用できるものとして正当性を証明します。一方S/MIMEは、公開鍵の正当性を信頼のおける第三者機関を使って証明します。

PGPよりもS/MIMEの方がより信頼度が高いですが、コストもかかってきます。

SSL・TLSはインターネット上でやり取りされる通信を暗号化する技術のことです。「秘密鍵暗号方式」「公開鍵暗号方式」を使っています。

SSLとTLSは表記が違うだけで機能は同じです。開発される過程で名称がSSLからTLS変わりましたが、SSLが広く認知されているため、SSL/TLSと表記されることが多いです。

SSL/TLSを使うためには、信頼のおける第三者機関＝認証局が発行するサーバー証明という電子証明書が必要です。SSL/TLSによって送信した内容が第三者によって通信途中で書き換え（改ざん）されていないか検出できます。

ここまで、暗号化の方式と実際の暗号化技術を解説してきました。これらのことを自前で行うのは専門性がないと難しいですし、正直非効率です。

そこで登場するのがメール暗号化ソフトです。ソフトを使うことで、手間を掛けずメールを暗号化できます。

メール暗号化ソフトの基本機能は「メール本文の暗号化」と「添付ファイル」の暗号化です。

添付ファイルの暗号化は耳にすると思いますが、実は本文の暗号化も大切です。メール本文に機密情報が含まれていることは多いですよね。

メール本文を暗号化することで、万一第三者に盗聴されたとしても中身が正しくみえず、情報流出のリスクが減ります。

メール暗号化ソフトを導入するメリットは次の３つです。

● 電子署名が標準で含まれている
● 誤送信を防止できる
● 添付ファイルを自動で暗号化

それぞれについて解説します。

電子署名とは、受信したメールが正式な送信元から送られたことを証明するものです。

この電子署名を使うことで、「メールの内容が途中で改変されてないこと」「送信者が偽りでないこと」が確認でき、標的型メールやフィッシング詐欺を防ぐことができます。

電子署名のみを導入しようとすると、証明書の配布や管理等運用が大変です。メール暗号化ソフトを使うことで一元管理でき手軽に運用できます。

メールの誤送信もセキュリティリスクの一つです。

「A会社の佐藤さんに送るはずだった機密扱いの資料を間違えてB会社の佐藤さんに送ってしまった」こういった事例や寸前で気づいて事なきを得たというヒヤリハットは多いですよね。

1人のミスで会社の信頼をなくすことも珍しくありません。どんなに気を付けていたとしても、起こり得る人的ミスです。

このミスを減らしたいならメール暗号化ソフトの誤送信防止機能を使いましょう。「上司がチェックしてからでないと送付できない」「相手への送信を一定時間保留にする」ことができ、メール誤送信のリスクを減らします。

社外の方へ添付ファイル付きのメールを送信する際は添付ファイルを暗号化することというルールを設けている企業様は多いと思います。

しかし、1日数十通というメールのやり取りをしている社員にとって、そのルールは大変ですよね。添付ファイルがあるために、1分で終わるはずの返信が5分かかることも珍しくありません。作業効率という面で見た場合、非効率で生産性も落ちます。

メール暗号化ソフトなら、添付ファイルを自動で暗号化する仕組みが備わっているので、社員は何も気にせず、通常通り返信することができます。各自が暗号化するよりも生産性が上がります。

以上、メール暗号化の重要性とその方法について解説してきました。

メールは見ようと思えば宛先以外の人も見ることができるため、悪意を持った第三者に狙われています。

暗号化されてない状態で個人情報や企業の機密情報をやり取りし、サイバー攻撃を受け情報流出となったら、その被害の大きさははかりしれません。社会的な信用を失う可能性もあるでしょう。

弊社では、メール暗号化のサービスを提供しております。添付ファイルの暗号化や電子署名の付与、上司承認後にメールを送信するといった機能があります。

メール暗号化を効率的に行うなら、ツールが最適です。弊社のCipherCraft/Mail 7ならお客様の環境に合わせたご提案をさせていただきます。無料評価版もあるのでぜひお問い合わせください。