S/MIME宣言
趣旨
標的型メールなど、電子メール(以下メールと記述)を使った攻撃が拡大し続けている。そのベースにあるのが、送信者を偽ることができる(いわゆる、なりすましが可能)という現在のメール環境の問題である。S/MIMEは、送信者のメールに電子署名を付けることにより、受信者側でなりすましかどうかを確認できる有効な手段であるが、認証局を利用するためのコストがかかるなどによりなかなか広まっていない。ここでは、「S/MIME宣言(S/MIME Manifest)」のもと、メールアカウントにS/MIMEを使用することを個人レベルで行うことで、社会全体にわたってなりすましメールを撲滅するための活動になっていくものと考えている。また、各自が企業あるいは組織に本趣旨の提案を進めていくことで、日本全体としてのなりすましメールの撲滅につなげていきたい。なお、本活動は特定の組織や企業に属するものではなく、あくまで個人的は活動である。S/MIMEの輪を広げていくことに貢献していきたい。
概要
LINE, Skype, Slackなどのコラボレーションツールが広まっている中、まだまだメールが幅広く使われているのが現状である。これは、ビジネスシーンにおいても同様であり、これが標的型メールなどのセキュリティ上の問題を引き起こしている。最大の問題は、送信者をなりすますことができることであり、これに対する対策として、組織のメールインフラでSPF/DKIM/DMARCの対応を行うことでドメイン名およびメールサーバのレベルでの対策が取られている。しかしながら、なりすましメールを防ぐためにはメッセージレベルで本当に本人が出したメールであるかどうかを確認できるようにする必要がある。これを実現しているのがS/MIMEおよびPGPであり、なりすまし防止の観点から非常に重要な技術である。
それでは、メッセージレベルで本人であることを証明することが必要な理由は何であろうか。メールでのセキュリティ対策として、メールに添付されたファイルをダウンロードしないとか、メールの中のURLをクリックしないとかの対策として様々なトレーニングが行われている。しかしながら、あるレポートによると、どれだけトレーニングを行ったとしても6%の人は危険な添付ファイルをダウンロードしてしまうということである。人的な対策では限界があり、技術的な対策が必要である。S/MIMEを導入することで、大きな技術的対策とすることができる(なお、ここでPGPではなくS/MIMEを推奨している理由は、PGPに対応しているメールソフトが少ないためである)。すでに、情報処理推進機構(IPA)や日本情報経済社会推進協会(JIPDEC)などがS/MIMEの普及に向けた取り組みを行っているが、なかなか浸透していないのではないかと思われる。
それでは、今までなぜS/MIMEが広まっていないかというと以下の問題からである:
認証局を利用することが必要であり、お金がかかる(ただし、無料のものも出てきている)
S/MIMEによる恩恵を得るのは受信者である(なりすましかどうかを判断できる)。実際にS/MIMEの設定を行うのは送信者(電子署名により正しい送信者であることを示す)であるにもかかわらず、送信者には直接的なメリットがない。
このような状況を受けて、ここでは、自分で発信するメールを全てS/MIMEにすることを行う人たちを増やしていくことで、日本社会全体にS/MIMEを浸透させることを目的とした活動を行いたい。これを、「S/MIME宣言」とし、個人レベルからの草の根運動として広めていきたい。一人でも多くの人がS/MIMEを利用することで、安全・安心なメール環境を社会全体に広めるべく「S/MIME宣言」に協力していただきたい。
なお、本ウエブページのサブページに、利用可能な認証局やS/MIMEの設定方法の情報を記載するので、参照していただきたい。