メール暗号化とは
まずは、メールの安全性を高めるための技術である「メールの暗号化」がどのようなものか見ていきましょう。
第三者に内容を把握されないようにする処理
メール暗号化は本文や添付ファイルの内容を、他者に知られないように加工・処理することです。また、一般的にメール暗号化は本文や添付ファイルなどを含めて全てを暗号化することを意味します。
特殊な技術を使えば、メールが送信される通信間で内容の盗聴や改ざんができてしまいます。これにより、被害に遭うケースも少なくありません。そこで、メールの暗号化を実施すれば内容を他人に把握されなくなります。
メールの暗号化は手紙に鍵をかけることに似ており、受信者側は鍵を使って内容を復元します。鍵を持っていなければ内容が見れないため、誤送信した場合の対策としても有効です。
暗号化しないとセキュリティリスクが大きい
メールの暗号化を実施していない場合、メールの情報が漏えいする恐れがあります。情報漏えいすることで個人情報の悪用やなりすましの被害に遭う可能性が高くなります。
また、企業間で重要な情報をやり取りしていれば、情報漏えいにより発生する損害は大きいです。自社の責任で情報漏えいを起こした場合は、自社だけでなく取引先にも被害が出ることもあります。
また、情報漏えい事故の情報は公開されるため、企業の信用にも大きく関わります。現在取引をしている企業からの信用を失えば、事業を継続するのも難しくなる場合もあるでしょう。
また、重要な内容が記載されている添付ファイルも、誤送信により情報漏えいしてしまいます。そこで添付ファイルも暗号化することで、社内の機密をより一層守れるようになります。
専用ツールで暗号化することが可能
専用のツールを導入するだけで、誰でも簡単にメールを暗号化できます。
特にメール本文は最初に設定すると自動で暗号化されるため便利です。暗号化のシステムを利用すれば、元のデータを全く違う形式に変換され、盗み見られても内容までは分かりません。
最近では、自動で暗号化されるメールサービスも増えています。メーラーを決めるときの参考にしましょう。しかし、添付ファイルの暗号化には対応していないケースもあるため、暗号化の機能を意識して選ぶことが大切です。
メール暗号化の方式
メール暗号化には大きく分けて「共通鍵暗号方式」と「公開鍵暗号方式」の2種類があります。どのような方式なのか特徴を見ていきましょう。
共通鍵暗号方式
共通鍵暗号方式とは、暗号化するときの鍵と、復号するときの鍵が共通である方式です。使用する鍵は1種類だけであり、送信者が暗号化した鍵を使って受信者が復号します。この共通鍵を持たなければメールの内容を見ることはできません。
そのため、比較的安全性が高い暗号化の方式ですが、送信者は共通鍵を安全に受信者へ送る必要があります。また、暗号化する鍵は受信側と1対になっており、送信先の数だけ鍵が必要で管理が難しいです。共通鍵が流出してしまえば、暗号化の効果がなくなるため注意してください。
公開鍵暗号方式
公開鍵暗号方式は公開鍵と秘密鍵という2種類の鍵を使います。公開鍵は受信者が公開している誰でも取得可能な鍵であり、メールを暗号化できますが、復号には対応していません。秘密鍵は受信者だけが持っている鍵で、暗号化されたメールを復号します。
メールを送るときは、送信者は受信者が公開している公開鍵を取得して、メールを暗号化します。受信者側は自身が持っている秘密鍵を使って復号する、という仕組みです。2者間でやり取りする鍵は公開鍵のみで、これだけではメールを閲覧できません。
したがって、漏えいしても問題ありません。また、どのような相手でも同じ公開鍵を渡すことが可能なため、鍵の管理もしやすいです。
メール暗号化の技術
メールを暗号化する技術も大きく分けて「SSL・TLS方式」と「PGP・S/MIME方式」の2種類あります。どのような技術で暗号化を実現しているのか見ていきましょう。
SSL・TLS方式
SSL・TLS方式はSSL(Secure Sockets Layer)とTLS(Transport Layer Security)の2つの暗号化技術を使った暗号化方式です。名前は異なりますが、両者とも同じ機能を持ちます。
このSSL・TLS方式を利用するためには、サーバにSSL証明書を導入しなければなりません。SSL証明書は第三者機関である認証局が発行しており、利用している通信の安全性を証明しています。
また、このSSL・TLS方式はメールの暗号化だけでなくインターネット通信の暗号化に利用されています。このSSL・TLS方式を利用していると、URLの「http://」が「https://」になります。したがって、通信が暗号化されているかどうかの確認が可能です。
メール以外でもWebサービスを利用するときは、URLを見て暗号化が実施されているかチェックしましょう。
PGP・S/MIME方式
PGP・S/MIME方式は、通信ではなくメールや添付ファイルのデータを暗号化する技術です。SSL・TLS方式は利用している通信は暗号化できても、保管されているデータは暗号化されません。PGP・S/MIME方式はメールやファイル自体を暗号化するため、より安全性が高い仕組みです。
このPGP・S/MIME方式は「PGP」と「S/MIME」の2種類の技術で成り立っています。
- PGP
- 「Pretty Good Privacy」の略であり、ファイルやメールなどのデータを暗号化します。認証局はなく、ユーザー自身が復号する鍵を管理する必要があります。
- S/MIME方式
- 「Secure / Multipurpose Internet Mail Extensions」の略。SSLと同様に認証局から発行される証明書を利用して暗号化を行います。
メール暗号化を実施する際の注意点
メールを暗号化することでメールのセキュリティ対策を実施できますが、同時に注意点もあります。安全にメールを利用するために、メール暗号化の注意点を見ていきましょう。
添付ファイルの暗号化も必要
メール自体や通信を暗号化しても誤送信をしてしまえば、添付ファイルの内容が漏えいする危険性があります。そのため、添付ファイルも暗号化し、本来送信する相手以外には見られないようにしなければなりません。
一般的には添付ファイルを圧縮してパスワードを設定して送信するケースが多いです。また、設定したパスワードを別のメールに記載して送ることで、より安全性が増します。
添付ファイルの暗号化を行うことで、情報漏えい対策以外にも取引先からの信用を得られる効果もあります。近年では、情報漏えい対策を意識する企業が増えているため、暗号化への対応は有効です。情報セキュリティに関する意識が高い企業として、良い印象を与えるでしょう。
また、IS027001やISMSといった情報セキュリティの資格を取得する際には、このような対策を行う必要があります。
社員のセキュリティ意識が低下する恐れがある
メール暗号化システムを利用すれば、自動的にメールを暗号化することが可能です。
つまり、従業員は意識することなく暗号化したメールを送信できるでしょう。従業員の負担が軽減するメリットがありますが、同時にセキュリティに対する意識が低下するデメリットもあります。
システムによって自動的に処理されることで、メールを確認せずに送信するケースが増える可能性が高いです。このような状態であれば、暗号化していてもヒューマンエラーによって情報漏えいすることもあり得ます。
このような意識の低下はメールに限ったことではなく、セキュリティ対策全般に当てはまります。情報セキュリティの安全性を高めるという意識を持たせるためにも、定期的に研修を行うのがおすすめです。
導入・運用には別途コストが発生する可能性がある
メール暗号化はシステムを導入するため費用が発生しますが、導入費用以外のコストも必要になる場合もあります。
暗号化するシステムと通常のメールシステムは別のものです。そのため、メール暗号化システムは既存のメールサーバやセキュリティと連携して利用します。
しかし、全ての暗号化システムがメールサーバやセキュリティと相性が良いわけではありません。したがって、連携させるために設定を変更するなど、手間やコストが発生する可能性も低くないです。
また、費用を抑えるためには無料版の暗号化ツールの利用も1つの手段です。しかし、既存のシステムに対応していない場合や、対応しているアカウント数が少ないケースもあります。したがって、結局有料ツールを導入しなければならないことも多いです。
このような事態になれば、発生した手間の分、始めから有料版を導入した方が良かった、と後悔するでしょう。
まとめ メール暗号化を活用してセキュリティ強度を高めよう
メール暗号化とは、メールの内容を第三者に知られないようにする処理のことです。
暗号化していない状態のメールは悪意を持った第三者から狙われ、重大な情報が漏えいする危険性があります。また、メールや通信を暗号化するだけでなく、添付ファイルも暗号化してください。メールの暗号化を実現するためには、システムの導入が必要です。
自社に合ったメール暗号化システムを導入してセキュリティ強度を高めましょう。