課題が多いZIPによる暗号化の利用を続けてもよいのか?

さらに、メールの暗号化の導入を妨げているものに「ZIPを用いたメールの暗号化」があるという。

ZIPを用いたメールの暗号化とは、メールに添付するデータをZIPによってパスワードを付けた上で暗号化し、パスワードは後からメールで送るというものだ。メール自体が暗号化されるわけではないので、正確には「メールの暗号化」と言えないかもしれない。

日本PGP 情報セキュリティスペシャリスト 寺田大地氏

情報セキュリティスペシャリストの寺田大地氏は、ZIPによるメール暗号化の問題点として、「パスワードの問題」を挙げる。「まず、平文のメールでパスワードを送っている時点で、セキュリティとしては脆弱だ。また、基本的にパスワードは暗号化をするたびに変更する必要があるが、受け手にとって複数のパスワードを管理するのは非常に厄介。管理が煩雑であるため、"パスワードを決めてしまおう"ということになり、結局、何のための暗号化かわからなくなるケースもある」

また、Windows XPでは、ZIPによる暗号化機能が標準装備されていたが、後継のWindows VistaとWindows 7ではセキュリティの観点から同機能が外されている。

「Windows XPがクライアントOSとして主流である今は受け手も送り手もZIPの暗号化機能を標準で利用できるからいいが、Windows 7が普及してきたら、暗号化のために別のツールをインストールする必要がでてくる」(寺田氏)

さらに、ZIPで暗号化されたファイルは、J-SOXの監査を行う際に解読できずに障害となり可能性があるという。J-SOXでは、監査時に必要なデータがすぐに検索・利用できることが求められている。今年はJ-SOX1年目ということで、そこまで踏み込んで監査結果が報告されていないが、2年目以降は解読できない暗号化されたメールが不備として指摘されるかもしれない。

北原氏は、「J-SOXの対策として、メールやログのアーカイブが注目を集めていたが、その保存状態のセキュリティにまで配慮されていない。データの保管先が安全に保護されていなければ、データの信頼性は保証されない」と指摘する。

情報漏洩対策として「リムーバブルデバイス」は基本使わない

これまで暗号化製品に特化してきた同社だが、今年10月、エンドポイントセキュリティ製品「PGP Endpoint Device Control」を発表した。北原氏は、「顧客からの"クライアントPCで利用されるデバイスをコントロールしたい"という要望を受けてできた製品」と話す。

暗号化製品ではないが、ネットワークのエンドポイントであるクライアントPCからの情報漏洩を防ぐという点では、同じ趣旨の製品と言える。

同製品は、利用可能なデバイスをリストに設定する「ホワイトリスト方式」を採用している。まず、バスごとに利用の許可を設定することができるが、特定の製品を制御することも可能だ。その際、ログに収集されたユニークなIDを用いて、特定の製品を指定する。そのほか、デバイスに格納されているアプリケーションも制御できる。

例えば、基本的にはアプリケーションのインストールプログラムの利用は禁止したいが、技術者のグループに限定して許可したいといった場合に、同機能は有効だ。

ただ、利用可能なデバイスをすべて登録しなければならないホワイトリスト方式は面倒にも思うが、北原氏は「情報漏洩を防ぐには、リムーバブルデバイスは使わせないのが基本。だから、あえて利用可能なデバイスだけ指定する」と語る。

PGP Endpoint Device Controlで設定可能なデバイス

特定のアプリケーションの利用を許可することも可能

実のところ、メールの重要性がこれだけ叫ばれているにもかかわらず、暗号化の導入が進まないのは意外だ。メール自体を保護しておけば、メールが奪取されたとしても、中身までは漏洩しないはず。

北原氏は「今は、メールのセキュリティ対策として暗号化が普及する"前段階"と言える。これから、暗号化が本格的に普及していくのではないか」と語る。企業における大規模な情報漏洩はいまだに耐えることがない。メールの暗号化がその有効策として活躍することを願う。