「コミュニケーションに対する不信の念を取り除く」とVoltage CTO

米Voltage Securityの創設者兼CTOを務めるギド・アペンセラ氏が来日し、暗号化メールの役割について語った。

[高橋睦美，ITmedia]

　「コンシューマーの分野においては、コミュニケーションに対する信頼が損なわれつつある。Webにしてもメールにしても『いったい何を信じればいいのか？』と、信用が失われている。企業の側も、どうすれば顧客と安全に連絡を取れるのだろうと頭を悩ませている」――米Voltage Securityの創設者兼CTOを務めるギド・アペンセラ氏は、今のインターネットが抱えるセキュリティ問題をこのように指摘した。

　Voltage Securityは、電子メールアドレスなどの文字列を公開鍵として利用する「IBE（Indentiy-Based Encryption）」方式を採用したセキュリティ製品を開発、提供している。その第一弾である電子メール暗号化ソフト「Voltage SecureMail」「Voltage IBE Gateway Server」が、国内では三井物産セキュアディレクションを通して発売済みだ。

　情報の盗み見やフィッシング詐欺、架空請求を見破る上で、公開鍵暗号方式（PKI）に基づく暗号化と電子署名は有効だ。しかしながら今のところ、PKIおよびS/MIMEベースの暗号化メールはほとんどといっていいほど普及していない。

　というのも、「PKIに基づく暗号メールを導入するには面倒な鍵の管理が求められるし、複雑なバックエンドインフラが要求される。エンドユーザーにとっても管理者にとっても使いやすいものとはいえない」（アペンセラ氏）。これに対しIBE方式は、同じく公開鍵方式をベースとしながら、あらかじめ鍵を登録しておく必要がなく、メールアドレスなど分かりやすい文字列を公開鍵として利用できるため、非常にシンプルだという。

失われた信頼の回復を手助けしたい、と述べたアペンセラ氏

　一方でアペンセラ氏は、同社の狙いは、既存のPKIベースのシステムすべての置き換えではないとも述べた。大事なのは、用途や環境に応じて使い分けていくことだという。

　「互いに見知った人どうしの小さな組織ならば、PKIベースの暗号システムで厳密にセキュリティを管理すればいいだろう。しかし、システムが大規模になればなるほど運用が難しくなり、TCOが増大してしまう。パートナーや顧客など広範囲な人々と安全にコミュニケーションを取りたい場合には、事前の鍵登録や管理が不要なIBEが適している」（同氏）。

コンプライアンスの観点からも

　アペンセラ氏によれば、企業にとってはコンプライアンスの観点からも、電子メールの暗号化が必須になってくるという。

　現に米国では、医療機関に対しカルテなどの医療情報の適切な取り扱いを求める「HIPPA（Healthcare Insurance Portability and Accountability Act）」が定められており、うちセキュリティ規則は4月25日に発効する。そして日本では周知のとおり、4月1日より個人情報保護法が全面施行となる。

　個人情報保護法に関しては、経済産業省が企業向けにガイドラインを公開した（関連記事参照）。ここでは、技術的安全管理措置の1つとしてメールの暗号化が挙げられている。これを踏まえ、プライバシーマーク取得の一環としてVoltage製品を導入した企業もあるということだ。

　Voltageでは今後、電子メールのみならずIP電話やインスタントメッセンジャー、さらにはWebサービスにもIBEを適用していく計画だ。「あらゆるコミュニケーションのセキュリティを強化していく」（同氏）。

　さらに、GSM携帯電話では必須のSIMカードを開発しているジェムプラスとも協力していくという。

　「PKIは携帯電話に実装するにはやや重い。IBEを携帯電話に実装すれば、相手の電話番号を用いてショートメッセージや電子メールを暗号化し、安全にやり取りできるようになる」（アペンセラ氏）。

　もっとも、Voltage一社だけがIBEを推進しても意味がない。やり取りの相手となるデバイスやアプリケーション側のサポートが広まらない限り、適用範囲が限られるからだ。そこで現在、IEEE内に調査グループを設立するなど、標準化の動きを進めている。並行して、さまざまなアプリケーションにIBE暗号方式を取り込んでもらうための手段も用意していく計画という。