Comments
Description
Transcript
安心・安全のための第一歩 暗号化ガイド
0110101010100111110000000000011101100101001111111001001001001000100111100101000101010001111010000000100101001010010100 01010101001111100000001100001110110010100111111100100100100100010011110010100010101000111101000110000100101001010010100 0101001111100000001100001110110010100111111100100100100100010011110010100010101000111101000110000000100101001010010100 01001111100000001100111001110110010100111111100100100100100010011110010100010101000111101000110000000100101001010010100 0110101010100111110000000000011101100101001111111001001001001000100111100101000101010001111010000000100101001010010100 01010101001111100000001100001110110010100111111100100100100100010011110010100010101000111101000110000100101001010010100 安心・安全のための第一歩 暗号化ガイド 0101001111100000001100001110110010100111111100100100100100010011110010100010101000111101000110000000100101001010010100 01001111100000001100111001110110010100111111100100100100100010011110010100010101000111101000110000000100101001010010100 0110101010100111110000000000011101100101001111111001001001001000100111100101000101010001111010000000100101001010010100 01010101001111100000001100001110110010100111111100100100100100010011110010100010101000111101000110000100101001010010100 0101001111100000001100001110110010100111111100100100100100010011110010100010101000111101000110000000100101001010010100 01001111100000001100111001110110010100111111100100100100100010011110010100010101000111101000110000000100101001010010100 0110101010100111110000000000011101100101001111111001001001001000100111100101000101010001111010000000100101001010010100 01010101001111100000001100001110110010100111111100100100100100010011110010100010101000111101000110000100101001010010100 0101001111100000001100001110110010100111111100100100100100010011110010100010101000111101000110000000100101001010010100 01001111100000001100111001110110010100111111100100100100100010011110010100010101000111101000110000000100101001010010100 0110101010100111110000000000011101100101001111111001001001001000100111100101000101010001111010000000100101001010010100 011000 01010101001111100000001100001110110010100111111100100100100100010011110010100010101000111101000110000100101001010010100 0101001111100000001100001110110010100111111100100100100100010011110010100010101000111101000110000000100101001010010100 00 0100 01 0010 0010 1001 0100 01 0010 00 1000 10 00110 00 1001 01001111100000001100111001110110010100111111100100100100100010011110010100010101000111101000110000000100101001010010100 00 01001 0100 0 10010001 00 0100 0011 0110101010100111110000000000011101100101001111111001001001001000100111100101000101010001111010000000100101001010010100 00 010010010 00100 01010101001111100000001100001110110010100111111100100100100100010011110010100010101000111101000110000100101001010010100 0101001111100000001100001110110010100111111100100100100100010011110010100010101000111101000110000000100101001010010100 00 0100 01001111100000001100111001110110010100111111100100100100100010011110010100010101000111101000110000000100101001010010100 「カタチだけの暗号化」から脱却する方法を教えます! ●PGP Univ 受信側がPG また受信側に メールの盗聴・改ざんに負けない 正しい電子メール暗号化 とは 電子メールセキュリティといえば迷惑メール対策、 アーカイブ、 フィルタリングが真っ先に頭に浮かぶが、 「暗号化」 も重要な対策の 1つとして認知されつつある。あなたの企業のWebサイトはSSLできっちり作っていても、個人情報を平文のメールで送っていない だろうか。 日本PGPが提供するソリューションのゴールは 「正しいメール暗号化」 だ。 「平文」 で世界中様々な経路を 「中継」 する仕組み あなたの会社はどこまで 電子メール性善説を信じられますか? 環境が悪意のあるものだったら? もし途中で誰かが盗聴していた ら? 電子メールを「性悪説」で考えたとき、真っ先に浮かぶ対策 は「暗号化」だろう。 ●メールを暗 近年、セキュリティ意識の高まりから企業の業種、規模を問わず 「情報漏えい対策」が進んでいる。情報漏えいの事件はニュースと して大々的に取り上げられ、どの企業でもすでに「USBメモリの使 パスワードさえ付ければ安心? その電子メール暗号化、 中途半端になっていませんか 用禁止」「ファイルサーバのアクセス管理の厳密化」などの対策が 行われているのではないだろうか。しかし、これら「情報が記録され 安全な電子メール環境を目指すには、暗号化を行うことは必要不 たエンドポイント」への対策は進んでいても、情報の通信経路、具 可欠になりつつある。しかし、「カタチだけの暗号化」による見せか 体的には「電子メールの盗聴・改ざん対策」はどうだろうか。 けの安全で満足してしまっているケースも多く見受けられる。例え 身近になったインターネットのショッピングを考えてみよう。クレ ば、下図のような「暗号化されたメール」を受け取ったことはないだ ジットカード番号、本名、住所、電話番号などの個人情報をブラウ ろうか。 ザで入力するときにはSSL通信の伴のマークを確認するだろう。そ ・添付ファイル付きのメール①が届く の後送られる「発注確認メール」は同じような個人情報が書かれて ・添付ファイルを開こうとすると、パスワードが付いていて開けない いるが、このメールはインターネットの世界を「平文」の状態で送ら ・しばらくして、パスワードが書かれたメール②が別に届く れてくる。 ・そのパスワードで添付ファイルを開く 電子メールの仕組みはバケツリレーのようなものである、という ことは聞いたことがあるだろう。例えば日本からアメリカにメールを 問題は「パスワードが書かれたメール②」だ。電子メールに平文 送った場合、送信先のサーバに届くまで世界中の様々な経路を通る で記載されたパスワードは、悪意のある攻撃者による盗聴のリスク ことになる。その経路を指定することはできず、どこを中継するかは を抱えている。添付ファイルにどんなに強力な暗号化が施されてい PGPの メールを 分からない。 ようが、パスワードが盗聴されれば楽々と開くことができてしまう。 つまり、どのようなメールでも「平文」で、誰が管理しているか分 また、送信側も受信側も「暗号化された安全なメール」と認識して 正しい電 からない経路を「中継」する。このように表現すると、いかに電子 いるものが、実は非常に危ういということに気がついていないとい ターネット メールが性善説にのっとったものかが分かるだろう。もし経由した うことも大きな問題だ。 つ相手先で ていること ●パスワードが書かれたメール②は「平文」で送られている 日本PG メール① 重要なファイルは暗号化して送付。 「パスワードは後で送付します。」 暗号化を実 として設置 る。このと 用でき、電 タリングな Internet メールサーバ メールサーバ 受信側に 子メール環 メール② 先ほどのメールのパスワードは 「password」 です。 電子メール ントのデー ます! ●PGP Universal Gateway Emailの構成例 受信側がPGPのゲートウェイを使用していればシームレスな暗号化が可能。 また受信側にゲートウェイを使用しない場合でも、Webメールインターフェイスを利用し安全にメール暗号化を実現できる。 受信側 メールサーバ ゲートウェイソリューションを 使用している ・PGP Universal Server 送信側 DMZ 暗号化 メールサーバ 重要な対策の 送っていない PGP Universal 内部メールサーバ ・Exchange ・Notes ・SMTP/POP/IMAP 外部メールサーバ ・SMTP ・メールフィルタなど 案内メール Internet 暗号化 HTTPSで Webメール閲覧 PKI/LDAP が盗聴していた ゲートウェイソリューションを 使用していない ・PGP Universal PDF Messenger ・PGP Universal Web Messenger 先に浮かぶ対策 ●メールを暗号化したPDFファイルとして送ることも可能だ うことは必要不 」による見せか けられる。例え たことはないだ ていて開けない に届く 子メールに平文 る盗聴のリスク 化が施されてい PGPのソリューションは メールを受け取る側に負担をかけない暗号化 ができてしまう。 境でも、暗号化された電子メールをシームレスに扱える。 もし受信側にそういった環境がなくても、セキュリティを確保し ながら情報を伝える手段を用意している。オプションとして提供さ ル」と認識して 正しい電子メール暗号化は、盗聴のリスクがある公衆回線(イン れるPGP Universal Web Messengerでは、メール受信者には最初 いていないとい ターネット)上に平文のデータを流さないよう暗号化が行われ、か にURLのみのメールが送信される。受信者がそのURLを開き、受信 つ相手先であるメール受信側が無理なく復号できる環境が用意され 者が作成したパスフレーズを登録することで、以後ブラウザ上で ていることだ。 Webメールとして電子メールを読むことが可能だ。このとき、ブラ 日本PGPの「PGP Universal Gateway Email」はこの 理想的な ウザのSSLを利用した通信となるので、経路暗号化が行われた状態 暗号化を実践するための各種機能を提供する。メールゲートウェイ となり、盗聴の危険性はない。 として設置することで、送信されるメールをシームレスに暗号化す また、メール本文を含めた内容すべてを、受信者が登録したパス る。このとき、すでに企業が持っているメールサーバはそのまま利 フレーズで暗号化したPDFファイルとして送信するオプションもあ 用でき、電子メール暗号化との共存に苦労するアーカイブやフィル り、どのように配信すべきかは受信側が選ぶよう設定できる。 タリングなどのシステムとも親和性が高いのも特長の1つだ。 電子メールの暗号化はまだ完全に浸透していないのが現状である 受信側にもPGP Universal Gateway Emailがあれば、現状の電 が、セキュリティ対策は何かが起きてからでは打てる手も打てない 子メール環境の運用と同様の手法で暗号化が行われた状態となり、 場合が多い。 電子メールによる送信データの安全が確保できる。また、クライア 「事件が起きるまで動かない」ではなく、まずは電子メール暗号 ントのデータを暗号化するPGP Desktop Emailが導入されている環 化ソリューションをもう一度チェックすることから始めよう。 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011000 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011001110 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000 0010 00 100 10 00 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011 00 010 01100 0 0000 0 安 暗 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011000 0100000 01110 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011001110 000 000 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011000 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011001110 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011000 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011001110 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011 101 010 00 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011000 010 010 010 1010 1000 10 0000 00 0 1 00 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011001110 010 010 1010 1000 0000 001101 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000 010 010 01 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011000 0100100101000001110101010001010100101010100000101001010010111010011010101010011111000000011001110 ●関連リンク ・日本PGP http://www.pgp.com/jp/ ・PGP Universal Gateway Email http://download.pgp.com/pdfs/datasheets/PGP_Universal_Gateway_DS_JP.pdf ・PGP Desktop Email http://download.pgp.com/pdfs/datasheets/PGP_Desktop_Email_DS_JP.pdf 〒107-6012 東京都港区赤坂1-12-32 アーク森ビル12階 TEL:03-4360-8308 FAX:03-4360-8201 E-mail:[email protected] ※本記事は、@IT (http://www.atmarkit.co.jp/) へ2008年10月に掲載されたコンテンツを再構成したものです。 http://www.atmarkit.co.jp/ad/sflash/0810encryption/pgp/at081007.html