IT ライブラリー − 注目の「ITニュース」(2018.11)

SSL/TSL

−“盗聴”リスクに曝される電子メールを守る方法

□ 電子メールでのコミュニケーションは、今や、仕事上はもとより、我々の日常生活では欠かせない通信手段となっています。
 さて、最近、受信した電子メールに“赤い解錠された鍵のアイコン”が表示されているのにお気付きでしょうか? これは、盗聴、盗み見のリスクに曝されていることを表しています。
 今回は、“盗聴”リスクに曝される電子メールを守る暗号化について、説明します。

□ 電子メールの暗号化

(1)「PGP」「S/MIME(Secure Multipurpose Internet Mail Extensions)」:古くから存在している方法で、官公庁のような機密性を重んじる一部の機関では、これらの方式を用いてメールを暗号化しています。
 しかし、この方法では、対応するメールクライアント(PC)が限定されている上、予め電子証明書をクライアントにインストールしておく必要がある。導入作業が煩雑であり、ユーザー側の操作手順にも変更が必要なことから、運用ストレスが大きく、一般的に普及していません。

(2)「POP over SSL」&「SMTP over SSL」:WEB通信の暗号化に用いられるSSLサーバ証明書を用いた方法です。認証局より発行された証明書をメールサーバにインストールするだけで導入できるため、事前準備の煩わしさもなく、確実にメールを暗号化することができます。

□ 電子メールに銀行口座やクレジットカード情報などの個人情報が含まれていた場合、これを盗取されれば、不正使用やなりすましなどに悪用される危険性があります。重要な情報が含まれた添付ファイルに、パスワードをかけて利用する人がいますが、その復号に必要なパスワードをテキストで電子メール送信していれば、何の対策にもなりません。
 未だ、対策をされていない方は、至急の対応をお願い申し上げます。

<参考「 SSLとTSLについて」>:SSL(Secure Sockets Layer)とTLS(Transport Layer Security) は、インターネット上で通信を暗号化し、第三者による通信内容の盗み見や改ざんを防ぐ技術です。
 SSLは「Netscape Navigator」というWebブラウザを開発したアメリカのNetscape社が開発したものです。SSLがバージョンアップを重ねて「SSL3.0」となり、その後、インターネット技術の標準化を推進する団体IETF(Internet Engineering Task Force)が、SSL3.0を標準化してバージョンアップさせることでTLS1.0を開発しました。現在は、インターネットの技術仕様「RFC2246」として公開されています。
 なお、SSLの名称はインターネットユーザ間で広く普及しているため、TLSを指していても、SSLまたはSSL/TLSと表記することが多くなっています。暗号化通信の技術自体を指す場合は「SSL/TLS」、SSL/TLS技術を利用した電子証明書の呼称は一般のネットユーザに分かりやすいよう「SSLサーバ証明書」と記載されているケースが多く見られます。

◎ LEGAL NETでは、SSL/TSL化、及び、Flash終了問題への対応サポートをしております。お気軽にお問い合わせ下さい。