S/MIMEによるトラストなメール環境の実現 (3)
5. S/MIMEの利用パターン
S/MIMEを利用する場合には、大きく以下の3つのパターンがあります。
① S/MIME証明書を個々のメールクライアントに登録
これが基本的なS/MIMEの利用方法になります。S/MIME証明書を入手し、それを各自が使用しているメールクライアントに自分で登録する方法です。S/MIMEが利用できる典型的なメールクライアントはOutlook, Thunderbirdなどです。
個人で設定・管理を行わなければならないという問題がありますが、それほど難しい手順ではないので、慣れてしまえば大丈夫です。S/MIMEに詳しい人が、設定画面付きの利用ガイド等を作成すれば問題なく運用できると思われます。
② ネットワークゲートウエイにS/MIME証明書を登録
これは、メールゲートウェイとして動作するゲートウェイ側で、一括して証明書の付与を行うものです。ゲートウェイ側で処理することで、個々のメールクライアントに証明書を登録する手間を省くことができます。また、証明書の管理もゲートウェイ側で一括して行えるため、運用、管理が容易になります。
③ S/MIME証明書のメールアカウントへの登録を一括して実施・管理
これは、証明書の発行・失効、メールクライアントへの設定を、データ連携ツールによる従業員情報との紐づけやRPAソフトを活用し自動化するものです。大きな企業・組織においてメールクライアントごとにS/MIMEの設定・管理を行うことは非常に難しく、S/MIMEの普及を妨げている大きな要因になっています。この方法を採用することで、管理者の負担軽減に役立っています。
現在この方法を提供しているのは、九電ビジネスソリューションズが提供している「CertCONNECT(サートコネクト)」があります。詳細は、以下のURLを参照してください。
https://www.qdenbs.com/solution/certconnect.html
④ そのほかのソリューション
Gmailは、Google Workspaceの有料版で対応可能です。
学校向けには、UPKI電子証明書発行サービスというのがあって、学術機関(大学、短大等)に、非常に安価に提供されています。
6. S/MIMEの企業/組織での導入方法
S/MIMEを使って、自分が送信するメールがなりすましメールでないことを証明したいと考えている人は多いでしょう。しかしながら、なかなかその一歩が踏み出せない人も多いのではないかと考えています。特に、企業や組織で使用しているメールアドレスは、基本的に情報システム部門の管轄であるため、S/MIME化をすることができないものと考えているのではないでしょか?
しかし、S/MIMEは企業/組織が全体として取り組まないとできないというものではありません。いわゆる、スモールスタートが可能です。以下の図4では、「企業/組織におけるS/MIME化の成熟度評価シート」として作成してみましたが、成熟度というよりは導入ステップと考えていただいた方が理解しやすいと思われます。それでは、この図で書かれている5つのステップについて説明します。
① 企業/組織の外部配信用メールアドレスの真正性を証明
これは、顧客向けの情報発信、マーケティング・メッセージに電子証明書を付与する方法で、すでに金融機関などから受け取るメールに電子証明書が付与されているのを気づくことも多いかと思います。この方法をとることで、企業/組織が発信するメールがなりすましメールでないことを証明します。
企業/組織がこの対応をとることで、最近多くみられる「XXXからの緊急連絡。パスワードが漏洩していますのですぐに対応してください」というようなフィッシングメールに対して、電子証明書が付与(正しい電子証明書かどうかも含めて)されているかを確認することで、受信者側の対応がとりやすくなります。
この方法の問題点としては、メール配信サービスを使用する場合、それがS/MIMEに対応していないものがあることです。したがって、メール配信サービスを選択する場合には、S/MIME対応が可能かどうかを確認する必要があります。
② 企業/組織の重要人物、社内外に影響のある人のメールアドレスの真正性を証明
最初から、企業/組織の全社員のメールアドレスをS/MIME化することは難しいです。このステップでは、企業/組織の中で外部との重要な情報のやり取りを行う人からS/MIME化を始めましょうというものです。S/MIMEはあくまで送信側が自分であることを証明しているので、電子証明書がついているメールは信用できますが、電子証明書のついていないメールはなりすまされている可能性があるという判断ができます。もちろん、電子証明書が付いていないからといってそれがすべてなりすましメールだということではありません。正当なメールの可能性はありますし、現状はこれを暗黙の内に信用しているということです。
このステップは、上記のような重要人物に限りません。企業/組織の中で、S/MIMEの重要性を認識している人が、まず自分から始めることができる方法になります。もちろん、事前にIT部門や上司に連絡し承認を得ることは必要ですが、企業/組織の全員が一斉に開始しないとできないということではありません。志のある人から進めることが可能です。その際、無料の電子証明書を取得してお試しとして始めて、うまくいくようであれば有料の電子証明書に変更するというようなステップアップのやり方もできますので、まず初めて見るというのが肝心です。
③ 企業/組織およびその取引先との間で機密情報等のやり取りを行う人のみ、双方のメールアドレスの真正性の保証および暗号化通信の実施
このステップは、S/MIMEの真正性だけでなく暗号化機能を使用するものです。これは、3番目のステップとしていますが、これ自体は単独で進めることが可能です。
真正性と異なり暗号化は双方がS/MIME対応を行う必要があります。暗号化には、お互いが証明書をやり取りし、相手方の公開鍵を使って暗号化を行う必要があるからです。一度設定すると、それ以降のメールのやり取りを暗号化で行うことが自動的にできますし、メールの本文だけでなく添付ファイルなどメールの中味すべてが暗号化できるので非常に有効です。また、メールのやり取りから標的型メールを作成するエモテットのような攻撃に対しても、メールそのものが見られてしまうことがないため有効になります。機密性の高い文書のやり取り、PPAPの代替策の1つの有効な選択肢としてS/MIMEを使用することは、メールでのやり取りを継続するという観点で非常に重要な技術になります。
④ 企業/組織ドメインに属するメールアドレス(全従業員・契約社員など)の真正性を証明
このステップ④からは、企業/組織全体としての取り組みになります。メールアドレスとして、企業/組織が使用しているドメイン名を持つ従業員、契約社員等のアカウントにはすべて電子証明書を付与します。例えば、以下の防衛装備庁のウェブページに記載されているように、外部とのやり取りに使用するすべてのメールに対し電子証明書を付与することで、受信されたメールに電子証明書が付いていない場合は、なりすましたメールの可能性があることを宣言できます。
https://www.mod.go.jp/atla/smime.html
⑤ 企業/組織のドメインのメールアドレスを持つすべてのメールアドレス(自動送信メールなどを含む)の真正性を証明
ウェブ上のフォームから自動的に配信されるメールなどは、そのメールアカウントに直接電子証明書を付与することが難しい場合があります。ステップ⑤では、そのようなメールアドレスにも電子証明書を付与し、企業/組織が使用しているドメイン名を持つアカウントにはすべて電子証明書を付与します。
図4: 企業/組織におけるS/MIME化の成熟度評価シート
