会社でS/MIMEを始める方法

S/MIMEを使ってなりすましでないことを証明してメールを送信したいと考えている人は多いでしょう。しかしながら、なかなかその一歩が踏み出せない人も多いのではないかと考えています。特に、企業や組織で使用しているメールアドレスは、基本的に情報システム部門の管轄であるため、S/MIME化をすることができないものと考えているのではないでしょか?S/MIMEは、決して組織全体で始めないとできないというものではありません。一人一人がS/MIME化を始めるスモールスタートを行うことが可能です。ここでは、このスモールスタートの方法について記述します。これにより、自らS/MIME化を始めることで、組織全体、ひいては社会全体のS/MIME化に貢献することができます。ぜひ、一人一人が先陣を切ってS/MIME化を行い、それを周りに広めていき同士を増やしていき、それを会社全体に広めるように啓蒙活動を行っていくことで、ひいては社会全体に真正性の文化を築いていきましょう!

スモールスタート・ステップ

1. 事前準備

  • メールソフト(Outlook, Thunderbird等)の利用を認めているか。

S/MIMEは、ウエブメールではサポートされていないのがほとんどです。したがって、POPあるいはIMAPを使ってメールソフトでメールの処理を行う必要があります。まず、IT部門に確認し、自分が会社で使用しているPCやスマホでメールソフトの利用が認められているか、また、POP,IMAPの使用が認められているかを確認します。 あるいは、Gmailを使用している場合には、Google Workplaceの有償版を使用しS/MIMEが利用可のであるかの確認。

  • メールサーバーで、送受信メールに特殊な処理を行っていないかどうか。

会社によっては、メールサーバーにおいて、添付ファイルを削除したり、電子署名を削除したり、また、メールそのものを書き換える(送信前にメールにフッター情報を追加するなど)を行っています。これが行われていると、送信メールの完全性がなくなったり(電子署名が無効になってしまう)、S/MIME用の電子証明書が正しく扱われなかったり、場合によっては、メールが未達になったりします。IT部門に確認し、メールサーバーで何か操作を行っているかどうかを確認します。なお、これは、後で述べるS/MIMEを使った送信テストにおいて問題を見つけることができるので、その時に確認するというのでもOKです。

  • メール利用ポリシーの確認。

会社のメール利用ポリシーで、明確にS/MIMEの利用が禁止されている場合があります。ポリシー違反をすることはできないので、ここも要確認事項になります。


2. 組織の関係者への連絡と合意の取り付け
組織のメールアドレスに対するS/MIME化を始めるとしても、関係者への連絡、合意は必要になります。以下の点をまず行ってください。

  • 上司にS/MIMEを使用したい旨の連絡および承認の取りつけ。S/MIME証明書購入の承認(稟議)。

「S/MIMEって何?」と聞かれたら、このウエブページの内容や、3の内容を参考にして説明を行ってください。また、自分のメルアドのみに証明書を付与するだけなので、組織や他の人には迷惑をかけないことを説明する。

  • IT部門に連絡し、S/MIME利用の許可を得る。あくまで、メールソフトでの証明書付与だけなので、組織のメールサーバ等には影響を与えない旨説明する。

  • IT部門と話をするときに、組織の正式名称および英語の名称を確認し合意を取る。今後、同じ組織の他の人がS/MIME利用を始める時に、認証機関に登録する組織名に違いが出ないように、あらかじめIT部門と調整しておく。


3. 上司およびIT部門に説明する時の内容(参考まで)

上司およびIT部門に了解を取る必要があります。その時の説明として、以下の内容を含めれば良いと考えます。

    • S/MIME化は、送信メールの真正性を示すものであり、そのメールの受信者は、そのメールを送っているのが送信者本人であることを証明します。したがって、受信者にとっては、なりすましメールでないことを電子証明書を確認することでできますので、Emotet等の問題の解決につながります。これにより、当社が情報セキュリティのレベルの高さを保っており、信頼できる会社であることを相手方に示すことができます。

    • S/MIMEで電子証明書を付与するのは、自分のメールアドレスだけであり、これが付与されていることで、IT部門やほかの人に迷惑をかけることはありません。

    • メールの受信者にとっては、電子証明書が付与されていてもされていなくても特段違いはありません。したがって、電子証明書が付与されたメールを送信することで、相手方からクレームが来ることはありません。

    • もし、S/MIMEの利用により問題が発生した場合には、メールソフトの設定で送信メールに電子証明書を付与しないようにできます。したがって、問題が発生すれば、すぐに使用を停止できます。


4. 無料の証明書によるテストの実施

S/MIME化がうまくいくか、問題ないかどうかを無料の証明書を使ってテストします。このステップスキップして次に行ってもかまいません。

無料の証明書の取得方法および設定方法については、こちらを参照してください。 こちらの資料では、さらに暗号化でのやり取りの方法を記載していますが、その前のところまでが取得および設定方法になります。また、メールソフトとしてThunderbirdを使っています。他のメールソフトを使う場合にはこちらを参照してください。

5. 証明書発行機関から証明書を購入

4の無料の証明書によるテストがうまくいったら、いよいよ有料の証明書を購入して設定します。設定は、無料の証明書の設定方法と同じです。

なお、購入にあたっては、以下の2点を注意してください:

  • 組織、法人として申請する(1つのメルアドであっても、組織のドメインでの申請となるので、申請は組織として行う)

  • l組織、法人としての本人証明の提出(機関によって提出書類は違ってきますので確認してください)。これが本人確認になります。


5. 証明書発行機関から送られてくる証明書をメールソフトに登録する。

メールソフトで電子証明を付与するための設定を行う。後は、テストしてみて、証明書付きでメールが送られればOKです。

(暗号化通信を行う場合には、相手との間で証明書の交換を行う必要があります。これは、相手と相談の上進めてください)。

スモールスタート事例


1. IT関連事業会社

① 導入ステップ

i. 無料の証明書を発行している会社の証明書を個人のメールアドレスに入れて使用
やっぱり自分で使ってみないと、許可を得るために関連部門に話をして、色々聞かれた時に答えられないこともあるかもと思ったため。

ii. スモールスタートとして、事業部内の有志(6人)で3ヶ月間のトライアルを実施(現在のステージ)

iii. 今後のステージとして、まず、自分自身が所掌する組織(事業部120名程度)に導入することにして、IT部門の了解を得る。

iv. ゴールとして、社員と協力会社社員をあわせると3,000人規模に導入。


② 課題

i. S/MIMEを導入することに関する技術的な課題や懸念は、IT関連を事業としている会社なので、障壁とならなかったが、証明書導入のための予算確保を経営陣にどのように説明するかに苦労している

ii. S/MIMEが普及して、お互いに使っている状態であれば、秘匿化のメリットも出てくるが、自分たちが使っている状態だけであれば、本人性の証明だけになってしまう。今は、導入のメリットに関して、説明するための知恵があまりなく無く腐心中。