多くの企業が、情報漏洩に対する危機感を持ちさまざまな対策をしています。
電子署名付きメールの導入も、そのひとつといえるでしょう。
ここでは、電子メールに潜むリスクや、電子署名付きメールの仕組みなどを解説します。
電子メールが抱えるリスクとは?
ビジネスシーンでも頻繁に利用される電子メール。
取引先や顧客への情報発信、コミュニケーションツールとして活用されています。
便利なツールであることは間違いありませんが、実はさまざまなリスクを抱えていることをご存じでしょうか。
メール内容の盗聴・改ざん
ハッキングやクラッキングの技術を持つ者にとって、特定の電子メールを追跡し内容を見ることは難しくありません。
そのため、秘匿性の高い情報や重要事項を、第三者に盗聴されるリスクがあります。
取引先やクライアントに関する情報が流出し、明るみに出れば企業としての信頼は地に墜ちます。
取引先や顧客が離れてしまい、事業継続が困難になる可能性も否めません。
また、機密情報を悪用され、金銭的な被害を受けるおそれもあります。
さらに、内容を改ざんされるリスクも考えられます。
見積もりや契約の金額、納期などを改ざんされると、やはり甚大な被害を被るおそれがあるのです。
フィッシング詐欺
送信者を詐称して不特定多数の人にメールを送り、クレジットカード番号や電話番号、アカウント情報などを盗み取る手口を、フィッシング詐欺と呼びます。
実在する大手金融機関や通販サイトなどを詐称し、フィッシングメールを送りつける手口がいまなお横行しています。
悪意を持つ第三者に顧客や取引先のメールアドレスを取得され、フィッシングメールを送信されたらどのようなことが起きるでしょうか。
もし、フィッシングメールにより顧客や取引先が被害を受けた場合、企業としての信頼は間違いなく失墜します。
一度地に墜ちた信頼を取り戻すのは容易ではないため、企業はリスクを理解したうえで対策を施さねばなりません。
メールを暗号化+電子署名でセキュリティ対策
メールの盗聴やフィッシング詐欺を防ぐには、電子証明書を用いたメールの暗号化が効果的です。
暗号化されたメールなら、第三者にアクセスされても内容を知られません。
受け取り側が暗号のロックを解除しない限り中身を見られないため、安全性を高められます。
さらに、電子署名を付加したメールを利用すればフィッシング詐欺の被害を回避できます。
電子署名付きのメールには特定のマークが付与されるため、受信者は本物かどうかを判断できるのです。
メールの暗号化や電子署名の導入は、企業としての信頼だけでなく取引先や利用者の保護にもつながります。組織と顧客、取引先を守るためにも、導入を検討すべきではないでしょうか。
暗号化技術S/MIMEの仕組み
ITに詳しくない方なら、暗号化技術や電子署名と聞いてもピンとこないかもしれません。
ただ、今後これらの技術やシステムを導入しようと考えているのなら、仕組みについて理解しておく必要があります。
S/MIMEとは
Secure / Multipurpose Internet Mail Extensionsを短縮してS/MIMEと表記しています。
暗号化方式の一種であり、電子メールのセキュリティを向上させられるシステムです。
メールの暗号化と電子署名の付与が可能で、セキュリティを高められる仕組みではあるものの、双方がS/MIMEに対応した電子メールソフトを利用していなくてはなりません。
暗号化の仕組み
まず、メールの送信者は受信者との共通鍵を生成しなくてはなりません。
次に、メールを共通鍵で暗号化し、受信者となる方から受け取った公開鍵で共通鍵を暗号化します。
送信者は、暗号化されたメールと共通鍵を受信者へ送信します。
メールを受け取った方は、秘密鍵を使用して暗号化された共通鍵を復号し、それを使いメールのロックも解除する流れです。
メールそのものと鍵、どちらも暗号化するダブルロックにより、強固なセキュリティを実現しています。
電子署名の仕組み
送信者は、圧縮されたデータに秘密鍵を使用して電子署名を行います。
受け取り側は公開鍵を用いて、暗号化されたメールのロックを解除します。
公開鍵と秘密鍵はペアになっているため、復号できなければ送り主が異なると判断できるのです。
受信した電子署名付きメールの確認方法
電子署名付きのメールを受信したとき、どのように確認すればよいのでしょうか。
まずは、S/MIMEに対応したメール受信用ソフトが必要です。
ここでは、具体的な確認の手順についても解説します。
S/MIMEに対応したメール受信用ソフトを用意
現在では、さまざまなメールソフトがS/MIMEに対応しています。
ただ、中には対応していないメールソフトもあるため注意が必要です。
対応していないと、電子署名の確認ができません。
iPhoneやiPadのメールソフト、Outlookなどは対応しています。
一方、携帯大手キャリアの携帯電子メールは対応していません。
電子署名付きメールの確認手順
電子署名付きのメールを受信したときの、具体的な確認手順を把握しておきましょう。
まずはセキュリティ警告が出ていないかを確認し、送信者のメールアドレスもチェックしてください。
最後に電子証明書の発行元も確認する流れです。
セキュリティ警告が出ていないか確認
警告が出ている場合、メールの偽造や改ざんなどの可能性があります。
悪意のある第三者に中身を書き換えられている、偽の証明書を取得して送信されているといったおそれがあるため、注意が必要です。
送信者の名前に憶えがあっても、セキュリティ警告が発せられているのなら信用できません。
いったん開封は控えましょう。
送信者のメールアドレスを確認
送信者の指定したメールアドレスになっているか、確認しましょう。
電子署名付きのメールである場合、あらかじめ送信者のメールアドレスを知らせているケースがほとんどです。
送信者によってメールアドレスは異なりますが、@マーク以降が所定のものかどうかチェックしてください。
電子証明書の発行元を確認
メールの送信元を保証する証明書発行機関はいくつかあります。
送信者によって利用している証明書発行機関は異なるため、注意が必要です。
基本的には、送信者の指定した発行元になっていれば問題はありません。
電子署名付きメールの仕組みと確認方法まとめ
電子署名付きメールを導入すれば、組織はもちろん取引先や顧客を守ることにもつながります。
被害に遭い、企業としての信頼を失ってから対処しても手遅れです。
IT化がますます進む時代に対応するためにも、電子署名付きメールの導入を検討してみてはいかがでしょうか。