[「S/MIME」で実現するトラストなメール環境]

2021年12月27日(月)諸角 昌宏

S/MIMEが必要とされる背景

　［前編］なりすましメールに根源的な対策を─S/MIMEの概要と現況では、電子メールセキュリティの標準規格「S/MIME（エスマイム）」が現在どのような状況にあるかを紹介した。今回は［中編］として、S/MIMEの技術的な仕組みと、利用を始め方について説明する。

　提唱から20年以上が経過したものの普及には至っていないS/MIMEだが、ここにきて俄に注目が集まっている。その前に、なぜ今この技術が企業・組織で必要とされるのか。その背景から述べていこう。

なりすまし／標的型メールの猛威

　図1は、独立行政法人 情報処理推進機構（IPA）が2021年8月に発表した「情報セキュリティの10大脅威 2021」である（IPAのレポート）。各所で参照されているので見慣れていることと思うが、この中で、右側の「組織向けの脅威」を見ていただくと、赤い枠で囲んだようにトップ5のうち、3つに対して、なりすましメールあるいは標的型メールに起因していることがわかる。脅威はメールにかぎらないが、メールが大きな割合を占めている。

　また、金銭的被害として大きいのがビジネスメール詐欺（BEC：Business Email Compromise）が挙げられる。これもIPAのレポートによると、FBI（米連邦捜査局）のデータとして、2016年6月から2019年7月までに、ビジネスメール詐欺の発生件数は全米50州・177カ国で16万6349件、被害総額は約262億米ドル（約3兆円）に上ったという。1件あたりの平均被害額は約16万米ドル（日本円では約1700万円）で、甚大な被害をもたらす脅威となっている。また、2017年12月に日本航空（JAL）がビジネスメール詐欺に遭い、約3億8000万円をだまし取られたというニュースは記憶に新しいところだ。

　それに対して守る側の対策は、事故が発生した後のインシデント対応に頼らざるをえず、予防的な対策としては「不審なメールの添付ファイルをダウンロードしない」といった社員に対する教育・トレーニングを行うレベルに終始しているのではないだろうか。教育・トレーニングは非常に重要であるが、これらだけでは防ぎ切れず、有効な対策が取れていないというのが現状だ。

なかなか廃れないPPAPの問題

　PPAP（ピーピーエーピー）という用語をここ数年よく耳目にする。メールメッセージにパスワードを施したZIP形式圧縮ファイルを添付して送信し、直後に解凍用パスワードを別のメールメッセージで送るデータ送受方法の通称である。Password付きZIPファイル／Passwordを送る／Angoka（暗号化）する／Protocol（プロトコル）の頭文字を取ったものだ（図2）。

　PPAPはメールの送り手と受け手の双方でやり取りが煩雑になるうえ、セキュリティ上問題がある方法だ。悪名高いマルウェア「Emotet（エモテット）」による攻撃に使われたことで一気に悪名が広まった。代替手段としてファイル共有サービスを使用するなどの動きはあるが、アクセス権の設定が面倒であったり、企業によっては利用を制限していたりなどで利用が浸透していかない。結局、PPAPによるメールでのやり取りに戻ってしまうのである。

テレワークの常態化で電子署名・電子契約が本格普及へ

　コロナ禍でテレワークが広範に普及したことに伴い、電子署名・電子契約の重要性も急速に高まることとなった。企業がこれらを導入するには電子証明書を利用する必要がある。「お送りした書類に捺印して、PDFで送付してください」といったこと時々依頼されるが、この方法は実のところまったく信頼できないものである。なぜならば、印鑑のイメージをスキャンして画像ファイルにし、それをWordなりExcelなりに貼り付けてPDFにしてしまえば、捺印した書類としていくらでも作成できるからだ。もちろん、他人の印鑑イメージでも同じことができてしまう。

　したがって、電子署名・電子契約には、商用の電子署名サービスないしは電子証明書を利用することが不可欠である。S/MIMEに用いる電子証明書の場合、メールに使われるだけでなく、電子署名としても利用できる。例えば、電子契約に必要となる電子署名、議事録などの重要資料の電子署名など、今後、個々人が電子証明書を持つシーンが増えていくと想定される。電子証明書をS/MIMEだけの利用と捉えるのではなく、幅広く利用できる電子証明書としてとらえることが大切である。

何がS/MIMEの普及を妨げているのか？

　上述の電子証明書のケースを含めて、S/MIMEは有用なセキュリティ対策として、今後ますます利用が増えていってしかるべきなのだが、現状はそうなっていない。ここでは、S/MIMEの普及を妨げている理由について、コスト、ユーザー利便性、製品実装の3つの観点から考察してみる。

コスト面の課題

　S/MIME用の電子証明書は、メールアドレスごとの購入が必要になる。現在はだいぶ価格も下がってきており、年間3000円台で電子証明書を購入できる。それでも、例えば年間3500円とし、従業員数が1000人とすると年間で350万円のコストがかかる。一概にこれを高い／安いと言うことはできないが、投資対効果で考えると、多くの場合、十分なメリットを得られないだろう。この点が、企業内でS/MIMEの導入を推進する担当者が直面する壁となる。そのほか、S/MIME対応のゲートウェイ製品やメール配信サービスの利用を行う場合には、当然そのための追加費用が発生する。

ユーザー利便性の課題

　S/MIMEを利用するには、基本的にメールクライアントが必要になる。GmailなどWebブラウザベースのメールを利用しているユーザーは、PCやスマートフォンにメールクライアントをインストールして設定しなければならない。WebメールでS/MIMEを利用できるものもあるが、まだ一般的ではなく今後の広がり次第ということになる。

　また、S/MIMEの電子証明書は、個人が自身のPCやスマートフォンに登録・設定する必要がある。メールクライアントでPOP/IMAPの設定を行ったことがあれば、さほど難しい設定ではないが、ユーザーによっては簡単ではないかもしれない。

　電子証明書の有効期限のことも少し面倒である。電子証明書では、有効期限が来る前に新たに電子証明書を取得して登録することが必要になる。また、過去のメールを読みにいったとき、付与されている電子証明書が有効期限切れのため無効と表示されてしまう。過去に一度は読んでいるメール（その時点では有効期限内）であるので問題にはならないが、メール整理のときなどに気になる点ではある。

製品実装面の課題

　「Microsoft Outlook」や「Mozilla Thunderbird」といったS/MIME対応メールクライアントソフトウェアの利用が前提となる。メジャーな両ソフト以外でもS/MIME対応をしているメールクライアントがあり、S/MIME対応かどうかの確認が必要だ。「Gmail」もS/MIMEに対応しているが、無料版ではS/MIMEの検証（電子署名検証）のみ対応で、電子署名が行えず、それには有料の「Google Workplace」の導入が求められる。

　以上のようにいくつかあるが、S/MIMEが普及に至らない最大の理由は、「自社・自組織にとって直接的でわかりやすいメリットがないこと」と考えている。電子証明書は、自身を証明するものであって、その恩恵を受けるのは受信者になる。受信者にとっては、なりすましでないメールが来ていることが証明されているのでメリットは大きいが、送信者にとってはいわば自己満足ということになってしまう。ここをクリアするためには、やはりS/MIMEが広範に普及してインフラ化することが必要である。

●Next：S/MIMEの仕組み、そして「実際に使ってみる！」