電子メールの暗号化と運用のポイント:IT資産を守る根幹対策
電子メールは企業の日常的なコミュニケーションツールだが、重要な情報でも平文のままやり取りされ、情報漏えいの原因になる可能性が高い。利便性を確保したまま適切に保護するポイントを解説する。
電子メールは、インターネットを介し、ネットワーク上のどこかの経路を通って相手に届けられます。しかし、その経路をあらかじめ指定することはできません。また、多くの電子メールが、平文と言われる誰にでも判別できる文字列で書かれていいます。このような電子メールの特性から、以下の4つの脅威が生じることになります(図を参照)。
電子メールは、インターネット上のあらかじめ指定できない経路を伝達していくように設計されています。情報を平文で送信している場合、もし電子メールのパケットをキャプチャされてしまえば内容は誰にでも見られてしまいます。これは極めて危険かつ重要な事実です。
盗聴されてもその痕跡は残りません。例えば、顧客にかかわる個人情報やクレジットカードの情報、決算や新製品にかかわる機密情報などが、何ら対策を施さないまま送信されているとします。それが知らないうちに第三者に渡っている可能性を排除することはできず、極めて危険と言わざるを得ません。
さらに電子メールで送信した内容が、途中で書き換えられてしまうことを「改ざん」と言い、本人とは別の人物を名乗り、電子メールを送信・受信することを「なりすまし」、電子メールを出した本人が「そんな電子メールは送信していない」として、それを認めないことを「否認」といいます。
これら4つの脅威に対処する手段が、「暗号化」と「電子署名」です。盗聴については、電子メールの本文や添付ファイルの暗号化が有効な対策となります。何らかの方法で電子メールが見られても内容は意味不明となります。
改ざんは、電子署名で防ぐことができます。電子署名は、送信者が持つ暗号鍵とハッシュ関数を使って電子メールの文章からハッシュ値として生成されます。このハッシュ値は、電子メールの文章が書き換えられると変化します。この特徴を利用し、添付された電子署名と受信した電子メールの本文から生成されたハッシュ値を比較することで、電子メールが書き換えられたかどうかを判断することができます。
なりすましと否認についても、電子署名で本人確認を行うことで有効な対策となります。以上の対策を実現する手段では、PGPの場合、「PGP Desktop Email」と「PGP Universal Gateway Email」という2つの製品があります。
PGP Desktop Emailは、クライアントPCで電子メールを暗号化するもので、送信相手が対応する製品を導入していれば、電子メールが送信される全経路において、データを保護します。もう一つのPGP Universal Gateway Emailは、インターネットと社内ネットワークの間にゲートウェイとして設置し、暗号化した後に送信されます。
もし相手が特別にツールを導入していない場合でも、Webメール形式やPDFファイル形式で暗号化されたセキュアな電子メール交換が可能です。ゲートウェイレベルで暗号化するため、ユーザーに特別なソフトを導入や教育は必要がなく、既存のウイルス対策などのセキュリティソフトと共存します。
暗号化の運用
多くのユーザーを抱える企業では、暗号の運用管理は大変手間のかかる業務です。例えば、クライアント製品の導入や設定、暗号鍵の管理、運用監視やトラブルへの対応など、その業務は広範にわたります。これらを個々のユーザーに任せてしまうことは、ユーザーの運用負担を増やすとともに、運用レベルのバラツキや運用ポリシーの不徹底から来る問題を起こしかねません。
このような状況に対応するために、暗号化でも運用管理ツールが存在しており、PGPでは「PGP Universal Server」というものがあります。運用管理ツールを使う理由は大きく2つあります。1つは、管理者の視点から全社での暗号化ポリシーの徹底を図ることであり、もう1つは、暗号化ソリューションを利用する際の導入・運用不可を低減させるということです。
具体的には、まず暗号化環境を構築するに当たってカスタムインストーラを作成することにより、クライアントへの導入展開する作業の工数を削減します。インストール時に自動的にディスク暗号化を行う設定も可能で、暗号化ポリシーの徹底を容易に行えます。
この際、セキュリティ対策全般に言えることですが、全社で定めたポリシーは可能な限り強制すべきで、ユーザー任せにすべきではありません。例えばUSBメモリに情報を書き込む際は、「強制的に暗号化する」というポリシーを実行していれば、もし、USBメモリを帰宅途中で紛失しても内容を読まれることはありません。
暗号化の運用管理で一番工数が掛かるのはエンドユーザーの問い合わせ対応だと言われます。各クライアントの暗号化状況把握、ユーザーがパスフレーズを失念した際のリカバリ機能の提供も重要です。
最後にバックアップについて触れましょう。当然ながら、読者の皆様は企業として大切な情報のバックアップを取り、サーバなどへ厳重に保管されていると思います。ただし、ノートPCやUSB、メールなどに比べて外部流出のリスクは低いものの、重要な情報が大量に限られた場所へ集中保管されているのが一般的です。万が一漏えいしてしまった場合の被害の大きさは計り知れません。ぜひバックアップデータの暗号化も検討することをお勧めします。
セキュリティ対策に100%の安全はあり得ませんので、情報漏えい対策は事故が起きることを念頭に検討すべきです。事故が起きてしまった場合でも、IT資産の根幹となる情報を守るため、必要な範囲の暗号化対策をぜひ実施していただきたいと思います。
関連記事
エンドポイントに適用する暗号化とは?
情報漏えいの主な原因となるが、エンドポイントと呼ばれるPCやリムーバブルメディアの盗難・紛失。エンドポイントの暗号化はデータの悪用を防ぐ最終手段でもあり、使い勝手を考慮した適用方法を考えよう。
法令順守に向けた暗号化対策を適用する方法
ISMSとPCI DSSなどの基準や法令は、重要データを適切に保護する手段の1つとして暗号化技術の利用を求めている。今回は暗号化対策を適用する上での具体的なポイントを紹介しよう。
法律や基準で求められる暗号化対策
重要なデータを保護する技術的な対策の1つに暗号化がある。情報保護関連の法令や基準でも暗号化の活用が推奨されているが、具体的にどのようなものかをみていこう。
法令や基準から考える情報漏えい対策の“勘所”
企業での情報漏えい事件が絶えない昨今、機密データをいかにして守るかが重要なテーマとなっている。今回は、企業を取り巻く法令やさまざまな基準からデータ保護への取り組みを再確認していこう。
情報漏えいの対応費用は1件200ドル超に
2008年に起きた情報流出に関してかかったコストは1件あたり平均665万ドルで、年々上昇している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。