S/MIMEでメールを暗号化してメールのセキュリティを高めよう
緊急事態宣言が明けて半月が経ちました。
感染者数は減ってきていますが、まだまだ以前の生活に戻るには時間がかかりそうです。
コロナウイルスの流行で在宅勤務になった方など、出かけたり人と会う機会が減ったという方も多いのではないでしょうか。
仕事上でメールを利用する機会も増え、重要なやり取りをメールで行うこともあるかと思います。
そこで、今回はメールの暗号化についてご紹介します。
ぜひお仕事でメールのやり取りを行う際にお役立てください。
1. メールにおけるリスクについて
一昔前までは、連絡手段としてメールを使うのが一般的でした。
現代では、LINE でメッセージをやり取りしたり、Instagram や Twitter 等の SNS で連絡を取るという方も多いのではないのでしょうか。
しかしながら、ビジネスシーンではメールを用いられることが多く、まだまだメールを利用する機会はあるかと思います。
メールを使うことが当たり前になっており、メールにおけるリスクについてあまり考えず利用していませんか?
メールにおけるリスクは以下のリスクが考えられます。
・フィッシング詐欺被害
フィッシング詐欺は、送信者を区別しづらく、偽装して利用者にメールを送信しメール本文のウェ
ブサイトにアクセスさせるように誘導します。
誘導先のウェブサイトも本物そっくりに作られていることが多く、偽物と見抜くのが難しくなって きています。
心当たりのないアドレスからのメールや、心当たりがあるアドレスでも怪しい点がないか注意しま しょう。
・マルウェアの感染
メールの添付ファイルからマルウェアに感染することがあります。
マルウェアに感染すると、利用者が気が付かないうちに別の相手にマルウェアを添付しているメールを
送信してしまうこともあるので注意が必要です。
・メールの盗聴
メールを送信してから受信するまでの経路を監視することで、メールの中身が盗聴されることが
あります。
・メール誤送信
メールを送信する際に宛先の設定ミスや内容を間違えて送信してしまうことです。
BCC で送信するべきアドレスを CC で送信してしまったり、添付ファイルやメール本文の URL を
間違えてしまったりする行為もメール誤送信に含まれます。
メールを送る前に、宛先、本文、添付ファイルに誤りがないかきちんと確認しましょう。
・標的型攻撃
標的型攻撃とは、特定のターゲットを狙って重要なデータや個人情報を盗もうとする攻撃のことです。
フィッシング詐欺は不特定多数のユーザーをターゲットとしていますが、標的型攻撃は攻撃相手の
ことを予め詳しく調査し、知り合いや取引先のふりをしてウイルスのあるファイルを添付したり
URL を貼り付け、端末をマルウェアに感染させようとする攻撃です。
2. メールの暗号化とは
メール暗号化とは、メールの内容を第三者に知られないようにするための処理です。
暗号化されていない状態のメールは、悪意を持った第三者から狙われ、重大な情報が漏えいする危険性が挙げられます。
また、昨年少し話題になりましたが、「PPAP」を耳にされた方も多いのではないでしょうか。
「PPAP」は、パスワード付きZIPファイルを送信し、その後、パスワードを別送するメール送信手法です。
日本国内では広く浸透している方法ですが、昨今ではセキュリティ上の課題があることから廃止する動きが各企業で広まっています。
これまで以上にセキュリティーに重点が置かれる中で、特に外部とのやりとりが多い
メールの暗号化は今やとても重要だと考えられます。
しかしながら、通常のメールツールだけでは、暗号化はできかねますため、
メールツールに加え、システムの導入が必要になってきます。
今回は Google で利用できるメール暗号化サービス、” S/MIME” についてご紹介していきます。
3. S/MIMEとは
S/MIME(Secure / Multipurpose Internet Mail Extensions)は、
電子証明書を用いてメールの暗号化、メールへの電子署名をおこなうことができる機能です。
Google の S/MIME を有効にすると、次のことができます。
・送信者が本人であるかを証明し、暗号化することで情報を守る
・送信メールに対して S/MIME による暗号化を必須にするルールを設定することができる
・送信メールに対して S/MIME を使用した署名や
暗号化を必須にするコンプライアンスルール、ルーティングルールを設定することができる
・S/MIME を適用、メールを送受信する双方で S/MIME を適用させる必要がある
なお、S/MIME を利用できる Google Workspace エディションは以下の通りです。
・Google Workspace Enterprise Plus
・Google Workspace Education Fundamentals
・Google Workspace Education Standard
・Google Workspace Teaching and Learning Plus
・Google Workspace Teaching and Learning Upgrade
4. S/MIME でメールを暗号化する
なりすまし防止にもなる S/MIME ですが、これを利用することでメールを暗号化し、本人確認をした上で安全に通信を行なうことができます。
暗号化をする過程で、受信者、送信者ともにペアの公開鍵と秘密鍵を持っていることが前提となり、互いに「鍵」を交換することで、暗号化されたメールの判読が可能になります。流れとしては、公開鍵でメールの文章を暗号化して、秘密鍵で復号し、再度、秘密鍵で暗号化したのちに、自身の公開鍵で復号します。
実際にメールを暗号化するために行なわれる鍵の交換方法は、以下のいずれかがあります。
・S/MIME 形式で署名されたメールを受信者に送信する
メールにはデジタル証明書が付き、その署名にはユーザーの公開鍵が含まれます。
メールの受信者はこの公開鍵を使って、相手に送信するメールを暗号化できるようになります。
・受信者からメールを送信してもらう
届いたメールは S/MIME 形式で署名されており、暗号化に使われた鍵は自動的に保存されて今後
も使用できるようになります。その後も、こちらの受信者宛てのメールは S/MIME で暗号化され
ます。
これらの仕組みを抑えたところで、Google の S/MIME の基本的な設定手順について、以下にご紹介いたします。
ステップ1
ホスト型 S/MIME を有効にする方法
1.管理コンソールから[アプリ]にアクセスします。
2.[Google Workspace] > [Gmail] > [ユーザー設定]にアクセスします。
3.画面左項目の[組織]で、設定するドメインまたは組織を選択します。
4.[S/MIME]までスクロールして、[メール送受信で S/MIME 暗号化を有効にする] チェック
ボックスをオンにします。
5.[独自証明書のアップロードをユーザーに許可する] チェックボックスをオンにします。
6.[特定のドメインに関する追加のルート証明書を受け入れてください]の横にある[追加]をクリッ
クします。
a.[ルート証明書をアップロード]をクリックし、ルート証明書をアップロードします。
証明書に問題がある場合はエラーメッセージが表示されます。
b.[暗号化レベル]のプルダウンより、アップロードした証明書で使用する暗号化レベルを選択
します。
c.[アドレスリスト]に、通信時にルート証明書を使用するドメインを 1 つ以上入力します。
d.[完了] をクリックします。
7.ドメインや組織でSHA-1(Secure Hash Algorithm1)を使用する必要がある場合にのみ、
[SHA-1をグローバルに許可する(非推奨)]チェックボックスをオンにします。
8.[保存]をクリックします。
ステップ2
上記でご紹介したホスト型 S/MIME 暗号化を使用するには、エンドユーザーの S/MIME 証明書をGmail にアップロードすることで、Gmail に S/MIME の署名ルールを適用することができます。
Google の要件を満たす CA 認証局のうち、今回ご紹介するのはイタリアの認証局「Actalis」が発行する証明書を取得する場合の手順をご紹介いたします。
証明書をアップロードする
1.Gmail を開き、受信トレイの設定アイコン > [設定]を選択します。
2.[アカウント]タブをクリックします。
3.[名前]の[情報を編集]をクリックします。
4.[個人証明書をアップロード]をクリックします。
※管理コンソールで S/MIME と[独自の証明書のアップロードをユーザーに許可する]が有効になっ
ていない場合は、当該のオプションは表示されません。
5.証明書を選択してクリックすると、パスワードを入力するように求められます。
パスワードは、証明書を発行した際にメモしたものを入力します。証明書パスワードを入力したら
[証明書を追加]をクリックします。
6.正常なファイルは、以下のように証明書の名称と有効期限が表示されます。S/MIMEに使用する証
明書を選択します。
7.[変更を保存]をクリックします。
これで、Gmail に S/MIME の設定が完了します。
実際にメールを相手と交換することで、署名に公開鍵が付き、暗号化されたメール文を相手側でしっかり確認できるようになります。
ここまで S/MIME についてご紹介してまいりました。
記事を読んでもなかなか理解できないと思うほど、S/MIMEについて複雑だなと感じる方もいらっしゃるかもしれませんが、今回の内容が少しでも参考になれば幸いです。
他にも S/MIME で必要な証明書のインポートの方法や、詳細な設定方法についてご不明点やご質問がありましたら、Cloudstep も含め、Google Workspace サービスの運用をサポートしているカスタマーサクセスチームまで、以下のページより是非お問合せ下さい!
皆様のお力添えができるよう、精一杯サポートいたします。