splash

PGP 暗号化ソリューション

ネットワークを移動する情報の保護 (電子メール)

 今や、ビジネスに必須のツールとなった電子メール。皆さんも日々、いろいろな情報を社外のお客様や社内の関係者とやりとりされておられると思います。しかし、電子メールには大きな危険が潜んでいるのをご存じでしょうか?

 インターネット上を流れる電子メールは、テキストそのままの形(平文)で送られており、ネットワーク監視や解析ツールを使うと、簡単に内容を読むことができます。郵便にたとえるなら、はがきにあたるとお考え下さい。

 郵便を使ってお客様に重要な情報を届ける場合、例えば見積書や提案書、個人情報などを、はがきで送ることはしないでしょう。しかし、同じことを、電子メールでは知らず知らずのうちにしてしまっているのです。送る内容が重要であったり機密事項であれば、最低限封筒、できれば書留で送りたいものです。電子メールでは、これは暗号化や電子署名にあたります。

電子メールにプライバシーは無い?

 インターネットはもともと、オープンで自由なものとして設計され、現在のように、悪意の参加者が他の人の秘密を盗み見たりすることは想定されていませんでした。しかし、インターネットの商業利用が始まってからは、ビジネス的に価値のある(=お金になる)情報がネットワーク上を流れるようになり、それを狙う人が出てきました。初期のハッカーは金銭的見返りを期待しませんでしたが、今ではハッキングはビジネスなのです。

 こういった脅威が懸念される中、ネットワーク セキュリティは進化を遂げてきましたが、電子メールの保護を含む情報漏洩の防止は、現在最も注目されている分野の一つです。それは、一つには、電子情報の漏洩は非常に気づきにくいこと、漏洩してもすぐには直接的な被害が表面化しないことが大きな理由と考えられます。

メール配信

 しかし、皆さんが日々電子メールでやりとりしている情報の内容を思い出してみてください。人事情報、会社の業績予測、営業フォーキャスト、顧客情報、見積、提案書、経営情報等がライバル会社に流れたとしたらどうでしょうか?しかも、何の痕跡も残さずに。漏洩の痕跡が残らないと言うことは、最も恐ろしいことと言えるのです。

電子メールの配信はバケツ リレー

 電子メールの配信は、よく「バケツ リレー」にたとえられます。送信元のメール サーバーから受信サーバーへ送られる際に、世界中様々な経路を通って「中継」されるのです。

メール配信

 電子メールの配信でもう一つ重要なことは、「送信者が配信経路を選ぶことはできない」ということです。

 送信元から受信者へ、2箇所か3箇所のサイトやサーバーを経由するだけで届くこともありますが、時には10箇所以上を経由する場合もあります。日本国内へメールを送るのに、いったん日本から出て、いくつかの国を経由してから戻ってくることもあるのです。

 電子メールが送られる課程で、どこをどう通っていくかわからないということは、メールの安全性に重大な問題を投げかけます。

電子メール漏洩のポイント

  • メールが受信サーバーに保存されているとき

    電子メールは、受信者がメールを取得するまでの間、あるいは方式によっては取得後も、受信サーバーに保存されます。このサーバーに脆弱性があれば、ハッキングされる恐れがあります。また、システム管理者であれば、自由にメールの内容を見ることができます。

  • サーバーからサーバーに転送されている間

    ネットワーク上を流れるパケットを解析するツールは数多くあり、それらを使えば、サーバーのパスワードを知らなくとも、電子メールの内容を盗み見ることができます。

メール配信

 このように、電子メールの配信経路には様々な脅威が潜んでおり、平文のまま重要な情報をメールで送ることは非常に危ないことがおわかりいただけるでしょう。そこで、何らかの方法で情報を保護する必要がでてくるわけです。具体的には、添付ファイルをパスワードで保護したり、暗号化を検討することになります。

電子メール保護の種類

  • メッセージや添付ファイルにパスワード保護をかける

    現在、多くの会社で導入が始まっているのが、重要な情報にはパスワード保護をかけて送信する、というものです。しかし、一見安全に見えるこの方法も、厳密に見ると、いろいろと問題が多いことがわかります。まず、よく使われているパスワード付きの ZIP 圧縮ですが、ZIP 圧縮時のパスワード保護のアルゴリズムは極めて簡単なもので、短いパスワードであれば、数十秒から数分で解除できてしまいます。そのためのツールも数多く流通しています。

    また、パスワード保護につきまとうのが「パスワードをどうやって送るか」という問題です。パスワード保護したフィルを添付して、本文中にパスワードを書く。。。というのは論外ですが、パスワードを別メールで送る、というのはよく見かけることです。
    しかし、これも(同じメールに書くよりは良いでしょうが)メール サーバに保存されている時を狙われた場合には効果がありません。この問題を解決するために、パスワードを電話で伝えたり、Fax を使うなどのルールを設定している会社もありますが、運用上ユーザーに多大な負担を強いるため、ルールを徹底するのが難しいという問題があります。

  • 共通鍵暗号方式

    ファイルやメッセージの保護に暗号化技術を使うことで、ZIP 暗号などよりも高いセキュリティを実現することができます。暗号化では、パスワードではなく暗号鍵を使いますが、共通鍵暗号方式は、暗号化と復号化に同じ暗号鍵を使う方法です。しかし、パスワード保護のパスワードと同様、暗号化にとっても、「鍵」をどう送るか、ということは長年に渡っての大きな問題でした。どんなに堅固な暗号化アルゴリズムを使っても、鍵が漏れれば何の役にも立たないのです。共通鍵暗号方式とっては「鍵の受け渡し経路」が最も脆弱なポイントなのです。

  • 公開鍵暗号方式

    鍵の受け渡しの問題を解決したのが、秘密鍵と公開鍵の 2 つの鍵を使う「公開鍵暗号方式」です。公開鍵は文字通り公開されており、送信者はこの公開鍵を使ってメッセージを暗号化し、送信します。受信者はこのメッセージを、自分の秘密鍵を使って復号化する、というものです。公開鍵には誰でもアクセスできますが、秘密鍵は受信者しかもっておらず、誰にも教える必要がありませんから、鍵が漏洩するリスクも劇的に少なくなります。

PGP の 2 つの暗号化ソリューション

 1991 年に Phil Zimmermann によって発表された PGP (Pretty Good Privacy) は、公開鍵暗号方式を使った電子メールの暗号化システムの草分け的存在で、現在では世界で最も普及している方式です。PGP の開発を引き継いだ PGP コーポレーションでは、電子メール暗号化のための 2 つのソリューションを提供しています。

  • クライアント PC にインストールしてエンド ツー エンドの暗号化を実現する PGP Desktop Email

    デスクトップ PC や、ノート PC 等にインストールして、クライアント PC 上でメールの暗号化および復号化を行います。PC から出るときにすでに暗号化されていますから、受信者に届くまで、情報は安全に送られます。

    メール配信

  • クライアント PC へのインストールを行わず、ゲートウェイで暗号化する PGP Universal Gateway Email

    エンド ツー エンドの暗号化は、セキュリティ面ではより安全ではありますが、運用管理の視点から見ると、

    全てのクライアント PC にインストールする必要がある

    メール サーバーでアーカイブを行っている場合に、アーカイブの意味が無くなる

    ゲートウェイでのウイル スチェックなどが行えない

    といった問題があります。

    PGP Universal Gateway Email は、メール サーバーのプロキシとして動作し、あらかじめ設定されたポリシーに従ってメールの暗号化および復号化を行います。ポリシーは、特定のキーワードを含むメッセージや、特定の宛先のメッセージなど、柔軟に設定することができ、エンド ユーザーが特別な操作を行わなくとも、自動的に適用されます。

  • メール配信

    もちろん、PGP Desktop Email と PGP Universal Gateway Email の間での暗号メッセージのやりとりも可能です。

    メール配信

エンド ユーザーにとって操作は完全に透過的で導入が容易

 公開鍵暗号方式は、セキュリティ強度が高い反面、仕組みが複雑で、メールを利用するエンド ユーザーへのトレーニングに時間がかかるという問題がありました。PGP では、鍵の管理や暗号化を自動的に行うことで、エンド ユーザーへの負担を減らし、導入・運用にかかるコストを最小に抑えることができます。一度鍵の交換と設定を行えば、その後は従来通りのメール送受信の操作を行うだけで、自動的に暗号化および復号化が行われます。

PGP Univesal Server を使って鍵やポリシーを集中管理することが可能

 PGP Universal Server は、PGP の暗号化製品を統合して集中管理するサーバー製品です。PGP Universal Gateway Email は、PGP Universal Server の上で動作しています。PGP Universal Server は LDAP 経由で既存のディレクトリ サービスと連携することができ、グループやユーザーの管理を簡素化することができます。

 PGP Universal Server を使って、クライアントにインストールした PGP Desktop Email を管理することも可能です。社内のクライアント PC にインストールされたすべての PGP Desktop Email に共通のポリシーを適用することができ、運用管理を簡素化することができます。また、鍵の管理を集中化することも可能で、万一鍵の紛失やパスフレーズを忘れたりした場合でも、簡単に復旧することができます。

 さらに PGP Universal Server は、PGP Whole Disk Encryption や PGP NetShare などを統合管理することが可能で、全ての製品間でポリシーを共有したり、鍵の管理を統合化することができます。

送信相手が暗号化ソリューションを持っていない場合のオプション - PGP Universal Gateway Email

 PGP の製品は、相手が OpenPGP や S/MIME のソリューションを持っている場合でも問題なく暗号化通信を行うことができます。また、受信者側に暗号化ソリューションが無い場合でも、PGP Universal Gateway Email ならば、いくつかのオプションを使って、安全にメッセージを送ることができます。

  • PGP Universal Web Messenger

    PGP Universal Server は、メッセージの送信時に、データベースや公開の鍵サーバーを検索し、自動的に鍵を取得して暗号化を行います。受信者の鍵が見つからない場合には、受信者側に暗号ソリューションが無いことが考えられますが、その場合でも、PGP Universal Web Messenger を使えば、安全にメッセージを届けることができます。

    PGP Universal Server はまず、受信者に対し、重要なメッセージがあることを伝える電子メールを送ります。電子メールには、安全にメッセージを受け取ることができる Web メールの URL が書かれており、受信者はその URL にアクセスすることにより、SSL 通信を介してメッセージを読むことができます。(受信者は初回に一回だけパスフレーズを登録する必要があります)

  • PGP PDF Messenger

    PGP PDF Messenger は、PGP Universal Server が持っているもう一つのオプションです。受信者が暗号ソリューションを持っていない場合に、メッセージと添付ファイルを一緒に暗号化 PDF に変換して受信者に送信するものです。

    PGP Universal Web Messenger と同様に、最初に送られるメッセージにはパスフレーズ登録用の URL が書かれており、受信者はまずその URL にアクセスしてパスフレーズを登録します。その後、PGP PDF Messenger はメッセージを暗号化 PDF に変換して受信者に送ります。受信は、登録したパスフレーズを使ってメッセージを復号化します。2 回目以降は案内メッセージは送られず、暗号化 PDF のみが送られ、その後は同じパスフレーズを使って復号化を行います。

  • PGP Universal Satellite

    PGP Universal Satellite は、PGP Universal Gateway Email に付属するクライアント PC 用の暗号化ソフトウェアです。クライアント PC にインストールすることで、特定の PGP Universal Gateway Email との間の電子メールを暗号化することができます。

お問い合わせ
顧客事例

SMBC logo

三井住友銀行 (SMBC) の「パソコンバンクWeb21」では、顧客企業内部での改ざん・漏えいのリスクを回避するため、PGP Command Line を使って業務プロセス中に暗号化機能を埋め込むことにしました。

詳しく読む


Yonden logo

四電ビジネス株式会社は、全社規模でのメール暗号化に取り組むことになり、PGP Universal Gateway Email を導入しました。四電ビジネスでは、それまでの経験から、ユーザー操作に依存した方策では実効性がないことを認識していたのです。

詳しく読む


その他の事例 (海外) も、こちらからご覧いただけます。

詳しく読む