メールを利用する企業にとって、メールによって情報漏えいなどの被害が発生するリスクを避けることはできません。情報漏えいなどによる被害を防ぐためには、対策が必要となります。
メール暗号化は、メールによる情報漏えいを防ぐため第一に行うべき対策です。管理者はメール暗号化の概要や仕組みについて、把握しておかなくてはなりません。
この記事では、メール暗号化とは何かやその仕組み、方法までわかりやすく解説しています。本記事の内容を理解すれば、自社がメール暗号化に対応するためにどうすればよいか把握できるでしょう。
目次
メール暗号化とは | メールを暗号化し漏えいや改ざんを防ぐ仕組み
メール暗号化とはメールの本文や添付ファイルを暗号化し、情報漏えいや改ざんといったセキュリティリスクを予防することです。
メールをはじめインターネット上でやり取りされるデータは、盗聴や改ざんなどの脅威にさらされています。そのため暗号化のような、防御の仕組みが必要となるのです。
メールには個人情報や取引先とのビジネスに関するやり取りなど、漏えいした場合のリスクが高いデータが多く含まれると考えられます。何も対策をせず自社メールの内容が漏えいすれば、顧客や取引先からの信頼を失うことになりかねないでしょう。
メール暗号化が必要となる理由
メールを利用する場合、メール暗号化は必須といえます。以下、メール暗号化が必要となる理由をみていきましょう。
メール暗号化をしなければ、メールは誰でも読める状態で送受信される
インターネットへ流れるデータは、何もしなければ平文といって誰でも読める状態になっています。メールも例外でなく、暗号化をしないと平文でインターネットに流れることになるのです。
誰もがアクセスできるインターネットは、公道のようなものと言えます。公道上でおこなわれる会話は、耳を傾けさえすれば誰にでも聞かれる可能性があるでしょう。
それと同じことでインターネット上に流れるメールも暗号化しなければ、誰でも簡単に読める状態となるのです。インターネット上へ平文のまま流れるデータを傍受するのに、高い技術力や設備は必要とされません。
メール暗号化をすることで、情報の漏えいなどのセキュリティリスクを未然に防げる
メールが暗号化されず平文のままインターネット上に送信されると、悪意のある第三者が簡単にアクセスできてしまいます。その結果、盗聴による情報漏えいや改ざんといったセキュリティリスクにさらされることになるのです。
メールを暗号化すれば、悪意のある第三者からアクセスされてしまうのを防ぐことができます。メールを安全に使いたいのであれば、暗号化は必須の第一条件といっても過言ではありません。
顧客や取引先からの信用を確保できる
自社でしっかりメール暗号化をしていれば、顧客や取引先も情報漏えいなどの心配をすることなく安心してメールの送受信ができます。
メールには個人情報はもちろんのこと、社外秘の機密情報が含まれることも少なくありません。これらのデータが漏えいしたり改ざんしたりするのを防ぐのは、企業が当然に対策すべき事項といえます。
事故が発生していなかったとしても、メール暗号化による対策をしていなければ、企業は「リスクを放置している」とみなされるのです。メールを安全に使えることをアピールして顧客や取引先からの信用を確保するためにも、メール暗号化は必須といえます。
メール暗号化の仕組み
メール暗号化が必要とされる理由をみてきました。それでは、メール暗号化はどのように実現されるのでしょうか。ここでは、一般的に使われているメール暗号化の仕組みについて、方式とプロトコルにわけて解説します。
メール暗号化で使われる2つの方式
メールは一般的に、公開鍵・秘密鍵・共通鍵によって暗号化されます。ドアに鍵をかけて鍵を持たない第三者が入れないようにするように、メールにも鍵をかけて不正にアクセスされないようにするのです。
以下、公開鍵・秘密鍵・共通鍵を使いメール暗号化を実現する2つの方式をみていきましょう。
共通鍵暗号方式 | 暗号化・復号化に同じ鍵を使う暗号化方式
共通鍵暗号方式は、暗号化・復号化に共通鍵と呼ばれる同じ鍵を使うのが特徴です。
共通鍵暗号方式は後述する公開鍵暗号化方式に比べ暗号化する工程が少なく、コストが安くすむというメリットがあります。一方で共通鍵が流出すると、それを使い第三者に復号化されてしまうので注意が必要です。また送信先ごとに別々の共通鍵を用意しなくてはならず管理する鍵の量が膨大になる点もデメリットとしてあげられます。
公開鍵暗号方式 | 暗号化・復号化に異なる鍵を使う暗号化方式
公開鍵暗号方式は、公開鍵・秘密鍵を組み合わせて使う暗号化の方式です。
受信者が公開鍵を送り、送信者はその公開鍵で暗号化をします。
一方で公開鍵により暗号化されたメールを復号化できるのは、受信者がもつ秘密鍵だけです。受信者はメールを受け取ったら、秘密鍵によって復号化します。
公開暗号方式では仮に公開鍵が漏えいしても、受信者の秘密鍵でしかメールを復号化できないのでセキュリティを確保しやすい点がメリットです。その反面、暗号化の工程が共通鍵暗号方式より多く、コストがかかる点がデメリットといえます。
メール暗号化で使われる2種類のプロトコル
ここではメール暗号化で使われる、SSL/TLSとS/MIMEという2つのプロトコルについてみていきましょう。メール暗号化をおこなうためには、これらプロトコルの概要と違いを把握しておくことが必要です。
SSL/TLS | メール送受信の経路を暗号化するプロトコル
SSL/TLS※は、Webページを参照する際の暗号化プロトコルとしてもよく使われますが、メール送受信の経路を暗号化するプロトコルとしても使われています。
「https://~」からはじまるWebページへアクセスする際は、SSL/TLSによる暗号化が行われていることを知っている方は多いでしょう。メールの暗号化でも、SSL/TLSが使われているのです。
SSL/TLSでは、共通鍵暗号化方式と公開鍵暗号化方式の両方が使われています。SSL/TLSが使われるメール暗号化の種類は以下の通りです。
- httpsによるWeb暗号化(Webメールの通信暗号化)
- POP over SSL(POPにてメールサーバーからメール受信をする際のSSL暗号化)
- SMTP over SSL(メールサーバーに対してメール送信をする際のSSL暗号化)
- IMAP over SSL(IMAPにてメールサーバーからメール受信をする際のSSL暗号化)
※SSL/TLSで暗号化するのは、メールソフトとメールサーバー間の通信のみです。メールサーバー間の通信を暗号化する際は、後述するSTARTTLSという技術が使われます。
SSL/TLSによる暗号化では、共通鍵暗号化方式・公開鍵暗号化方式の両方が使われます。一例として、httpsで暗号化する際の流れはおおよそ以下の通りです。
- ブラウザからWebサーバーに対し、SSL/TLSによる通信をリクエストする
- Webサーバーからブラウザに対し、サーバー証明書と公開鍵を送信する
- ブラウザは受け取ったSSLサーバー証明書と公開鍵で、共通鍵を暗号化しサーバーへ送信する
- Webサーバーは受け取った共通鍵を、秘密鍵によって復号化する
- Webブラウザ・Webサーバー間で、共通鍵を使った暗号化通信が開始される
「SSL/TLS」は、正確には「TLS」と呼ばれるプロトコルです。SSLは重大な脆弱性が見つかりSSL3.0を最後に更新されていません。代わりにSSLに代わる新しいプロトコル「TLS」が登場したのです。
SSLと言ったりSSL/TLSと言ったりする場合、実際にはほとんどの場合でTLSが使われています。しかしSSLという用語が普及していたことから、分かりやすいように「SSL/TLS」という用語が新たに定着したのです。
またメールサーバーの対応表などで表記される「TLS」とは、本記事でいう「SSL/TLS」と同じものと考えて間違いありません。
PGP・S/MIME | メールそのものを暗号化するプロトコル
PGP・S/MIMEは、メールそのもの(本文・添付ファイル)を暗号化するプロトコルです。
PGPとS/MIMEの違いは、公開鍵の正当性をどのように証明するかにあります。PGPでは、公開鍵の正当性を証明するのは自分自身です。一方でS/MIMEでは、認証局が公開鍵の正当性を証明します。
そのためS/MIMEの方が、PGPより信頼性は高いです。その代わり、S/MIMEの方がコストはかかります。
共通鍵暗号化方式・公開鍵暗号化方式の両方を使う点は、SSL/TLSとPGP・S/MIMEはかわりません。PGP・S/MIMEでは、以下のような流れでメール暗号化が実現されます。
- 送信者は共通鍵を生成し、メールを暗号化する
- 送信者は受信者から公開鍵を入手し、共通鍵を暗号化する
- 送信者は受信者に対し、暗号化したメールと上記で暗号化した共通鍵をあわせて送信する
- 受信者は暗号化されたメールと共通鍵を受信する
- 受信者は自分の公開鍵で暗号化された共通鍵を、自分の秘密鍵にて復号化する
- 復号化された共通鍵にて、メールを復号化する
また、PGP・S/MIMEでは、電子署名によってメールが改ざんされていないか確認する機能もあります。PGP・S/MIMEにて、電子署名によりメール改ざんを防ぐ流れは以下の通りです。
- 送信者は送信メールに対し、ハッシュ関数を使いハッシュ値を計算する
- 送信者はハッシュ値を自分の秘密鍵で暗号化し、電子署名とする
- 送信者は電子署名を付与したメールを受信者へ送信する
- 受信者は暗号化されたハッシュ値を、送信者の公開鍵にて復号化する
- 復号化が成功すれば、公開鍵と対になる秘密鍵を持つ送信者により送られたものと確認できる
- 元のメールのハッシュ値と、復号化されたハッシュ値を比べて同じ値であれば、メールが改ざんされていないことも証明できる
SSL/TLSとPGP・S/MIMEの主な違い | 暗号化する対象
SSL/TLSとPGP・S/MIMEは、「メール暗号化をおこなうプロトコルである」という点はかわりません。両者の違いは、暗号化する対象です。
SSL/TLSではメールが送受信される経路を暗号化します。一方でPGP・S/MIMEが暗号化するのは、メール本文や添付ファイルといったメールそのものです。
SSL/TLSとPGP・S/MIMEは、どちらか一方を使えばよいというものではありません。両者を併用することによって、セキュリティを強化することができます。
非暗号化通信を暗号化通信に切り替えるSTARTTLSが普及している
STARTTLS (スタート・ティーエルエス) は、暗号化されていない通信をSSL/TLSによる暗号化通信に切り替える技術です。
SSL/TLSによる暗号化通信をおこなう場合、本来は専用のポート番号を割り当てなくてはなりません。たとえばメール送信であれば、SSL/TLSによる暗号化をおこなうためには、専用の465番ポートが割り当てられます。しかしSTARTTLSなら、従来からSMTP通信で使われていた25番ポートや587番ポートでも暗号化通信が可能です。
またSTARTTLSは、メールソフトとメールサーバー間だけでなく、メールサーバー同士の通信でもSSL/TLSによる暗号化通信を実現します。昨今ではSTARTTLSに対応し、メールサーバー間の通信もSSL/TLSによる暗号化を実現する企業やサービスが増えている状況です。
STARTTLSの詳細については、以下記事も参照ください。
【図解】メールの暗号化で使われるSTARTTLSとは?仕組みと利用方法を解説します
Gmailで受信したメールに、もし赤い鍵のアイコンが付いていたらどうしますか。これはメールが「暗号化」されていないときの表示ですが、何に気をつけたらいいのでしょうか。この記事ではメールの「暗号化」で使われる技術のうち、「STARTTLS」の大切な理由や仕組み、注意点をわかりやすく解説しています。これで安心してメールが利用でき、情報セキュリティが向上してお客様からの信頼にもつながります。 Pick …
対応するメールソフトを使えばS/MIMEでの暗号化が可能
対応するメールソフトを使うことによって、PGPやS/MIMEでのメール暗号化を実現できます。ここでは一例として、主要なメールソフト(Outlook・Gmail)でS/MIMEを使いメール暗号化を実現する方法をみていきましょう。
OutlookでS/MIMEによりメール暗号化をする方法
OutlookはS/MIMEに対応していますが、バージョンにより設定方法が異なります。ここでは参考までに、Outlook on the webでS/MIMEを使う方法をみていきましょう。
①S/MIME証明書の取得
あらかじめ管理者からS/MIME証明書を取得し、インストールしておく
②S/MIME コントロールのインストール
- 「設定(歯車マーク)」→「メール」→「S/MIME」へ移動する。
- 「S/MIME を使用するには S/MIME コントロールをインストールする必要があります。・・・・」というメッセージが表示される。指示に従い「ここをクリック」を選択する。
- ファイルの「実行」、もしくは「開く」を選択しインストールを実行する
③S/MIME コントロールを使用する Outlook on the web ドメインの許可
EdgeやChromeなどでOutlook on the webへ移動すると、以下のメッセージが表示される。
「S/MIME は現在のドメインで機能するように構成されていません。 ブラウザの設定の S/MIME 拡張オプション ページでドメインを追加できます。」
画面の指示に従い操作をすすめ、職場や学校のドメインでS/MIMEを使用できるよう許可する。
④送信メッセージを暗号化・デジタル署名する
- 「設定(歯車マーク)」→「メール」→「S/MIME」へ移動する。
- 「すべての送信メッセージの内容と添付ファイルを暗号化する」 「すべての送信メッセージにデジタル署名を追加する」 「デジタル署名に最適な証明書を自動的に選ぶ」にチェックを入れる
GmailでS/MIMEによりメール暗号化をする方法
Gmailでは、標準でS/MIMEの機能が組み込まれています。そのため管理者がS/MIME証明書を使える状態にしていれば、S/MIMEによる暗号化が利用可能です。
送信メールにてS/MIMEによる暗号化を利用する際は、以下の手順を参照ください。
- 「作成」ボタンをクリックする
- メール作成画面にて、受信者の右側に表示された錠前マークをクリックする。
- 「詳細を表示」をクリックすると以下いずれかのカラーコードより、S/MINEの設定を変更できる
※緑のカラーコードを選択したままにすれば、S/MINEによる暗号化がおこなわれる。
カラーコードの種類 | 概要 |
---|---|
緑 | S/MINEにより暗号化され、秘密鍵がないと複合化されない |
グレー | 送信側・受信側ともに対応している場合のみ、TLSによる暗号化をおこなう |
赤 | 暗号化がおこなわれない |
対応するメールサービスを利用すればSSLでの暗号化が可能
SSL/TLSでメール暗号化をおこなうためには、メールサーバーがSSL/TLSに対応している必要があります。自社サーバーがSSL/TLSに対応しているか分からない場合は、管理者に問い合わせましょう。
もし、自社でSSL/TLSの導入が難しい場合は、SSL/TLSに対応しているメールサービスを利用するという選択肢もあります。メールの乗り換え作業は発生しますが、SSL/TLSだったり他のセキュリティ機能やDKIM,DMARCといった送信ドメイン認証なども同時に利用できるという利点があります。
※メールサービスの中には送信ドメイン認証に対応していないサービスもあります。
もちろん、KAGOYAのメールプランではSSL/TLSだけではなく、送信ドメイン認証や脱PPAPを実現できる機能を搭載していますので、ビジネス用途でのメール運用には最適なサービスとなっております。
※1 KAGOYAメールプランでは、メールサーバー間でSSL/TLSによる暗号化通を実現する「STARTTLS」に対応しています。(共用タイプR2では受信のみ、他プランは送受信ともに対応)
※2 KAGOYAメールプランの公式サイトではメール送信時の暗号化として「STARTTLS」に、メール受信時の暗号化として「TLS」に対応していると表記しています。前述のとおり、本記事でいうところの「SSL/TLS」は、TLSと同じプロトコルと考えて間違いありません。
まとめ
メール暗号化とは、メールの本文や添付ファイルを暗号化し第三者が参照できないようにすることです。
メール暗号化をしないと、メールは誰にでも読める状態でインターネットを経由することになります。メールの盗聴や改ざんを防ぐためには、メール暗号化はまずおこなうべき対策といえるのです。
メール暗号化のプロトコルとしてSSL/TLSとPGP・S/MIMEがあげられます。SSL/TLSはメールが送受信される経路を暗号化する技術です。一方、PGP・S/MIMEはメールそのものを暗号化します。両方を活用することで、メールの情報漏えい対策を強固にすることが可能です。
KAGOYAのメールプランにはメールサーバー1台を専有できるだけではなく、ビジネス利用には必須となっているSPF/DKIM/DMARCがすべてコンパネから簡単設定が可能なタイプを取り揃えています。
さらにメールアドレス数は無制限で高い法人利用率をほこる高コスパなプランとなっています。