■ 電子メールの掟(技術編)
技術編では、電子メールに関してより知識を広げてもらうことを目的にしている。
最近は、電子メール関連のサービスが複雑化し、必要とされる基礎知識も多くなっているため、それを補完できれば幸いである。
技術編では、電子メールに関してより知識を広げてもらうことを目的にしている。
最近は、電子メール関連のサービスが複雑化し、必要とされる基礎知識も多くなっているため、それを補完できれば幸いである。
○SSL・TLSとは何?
Secure Socket Layer の略。直訳すると「安全なソケット層」となる。まともに説明すると基礎知識から始めて、本が1冊くらいの分量が必要なのでここでは割愛するが、通常のインターネット通信は、通信回線上で通信内容を第三者が覗き見しようとすれば可能なのである。(実際は特定の長さで分割されながら送付されるので、完全な覗き見は相応の技術を要する)
それを防ぐ手段の一つが通信内容そのものを通信回線上に載せる前に暗号化するという方法が取られ、これを実現するのがSSLという訳である。Web サーバでは、「SSL電子証明書」の名前で知られているから、名前だけは聞いたことがある方々も多いだろう。
TLSは、Transport Layer Security の略で、直訳すると「伝送層(安全)保護」といった感じになる。SSLの改良版がTLSである。
ここで言う「安全・保護」とは、第三者から通信内容を覗き見される脅威を取り除くことを意味する。
つまり、当事者間で安全な秘匿通信が出来るようにする通信の仕組みをSSLまたはTLSと言う。
SSLとTLSの違いは、暗号通信の始め方にある:
実際の手順はこれとは少し異なるが、ここでは考え方を示しているに過ぎないことに留意していただきたい。
Web サイトで暗号化通信する際は、https:// で始まる URL が多用される。これは左記の SSL 方式であり、いきなり暗号通信を始める方法がとられている。
しかし、その方法では、今やhttp:// で当たり前のように行われているバーチャルホストが安価に出来ないため、TLS 方式へ移行する動きがあるが、対応するWeb ブラウザが無いため遅々として進んでいない。
暗号化通信は、Web サイトの閲覧に関わる HTTP で先行し、バーチャルホスティングの問題も出ていることから、電子メール送受信に関する SMTP,POP,IMAP ではどちらかというと、TLS 方式の方が主流である。
しかしながら、電子メールにおける暗号化通信は、2003年頃から徐々に採用するメールサーバが増えてきた程度で、まだ一般的な域ではない。筆者が管轄するメールサーバでも暗号化通信を 2003年に開始したが、今でもセキュリティ対策の先進的業者でしか暗号化通信を行うメールサーバを見かけない。
SSL・TLSでは、暗号化通信を行うため、公開鍵(Public Key)と秘密鍵(Private Key)の組を用いる。
この2つは一見不可解な電子的なデータの羅列である。
これらは、左から秘密鍵、公開鍵の一例である。
(これらは実際には利用不可です)
これらを用い、数学的な理論の基で送信側で暗号化、受信側でそれを元に戻す復号化が行われ、暗号化通信が実用化されている。
さて、いかにSSLやTLSで通信回線を暗号化してセキュリティ対策を強化したとしても、筆者はかねてから、「人間が最も大きなセキュリティホール」であると主張している。
SSLやTLSは、上記の秘密鍵、公開鍵がモラルのある人間によって適切に管理されていることを前提としている。
そのため、特に秘密鍵が外部に漏れることで、その前提が崩れるため、第三者に暗号解読され通信が覗き見される危険が出てくるのである。
また、総当り戦術で暗号解読を試みる不届き者もいる。暗号解読は、現在のコンピュータの能力では 100年かかるとも 200年かかるとも言われているが、偶然も起き得るし、コンピュータの能力は現在もなお向上を続けている。
だから、SSLやTLSも 100% 安全なものではないことに留意されたい。
また、やみくもにメールサーバでSSLやTLSを導入しても、その効果は限定的であることにも留意したい:
左の図において、送り手から受け手まで、電子メールが完全に暗号化通信されるのは、どの相手とどの相手か判るだろうか。
答えは、「送り手1と受け手2」と「受け手3と受け手4」だけである。
それ以外は、どの相手であっても、通信経路のどこかで、暗号化されずに電子メールが流れる。
電子メールを送り手から受け手まで完全に暗号化通信で届けるには、メールサーバでのSSL/TLS 対応は勿論のことだが、送り手もしくは受け手自身が普段使うコンピュータのMUAの設定も必要である。
例えば送り手1が受け手1に電子メールを送っても、受け手1とメールサーバ2間は、受け手1が暗号化通信の設定を怠っているため、受け手1が電子メールを受信するときは、暗号化されずに受信対象の電子メールが通信回線上を流れる。
また、メールサーバ3で、受け手3と受け手4が相互に電子メールのやりとりをする場合は暗号化されるが、例えば、受け手4から送り手1に返信をする場合、メールサーバ3のSSL/TLS対応が中途半端なために、メールサーバ1へは暗号化せずに電子メールが転送されるという例である。
メールサーバ3のようなメールサーバは実際にかなりの割合で存在する。
現存のメールサーバ全てが暗号化通信に対応するのも現実としては難しい話であり、さらに普段使うコンピュータのMUAの設定を暗号化通信に対応するのも、結局は各個人のセキュリティ意識に依存せざるを得ない状況である。
だからといって、SSL/TLS化は無意味ではない。セキュリティ意識の高い事業所や会社なら、信用を維持するためにも積極的に活用を考えるだろう。特に同じ組織なら、普通はメールサーバも同じであり、強制的に SSL/TLS 対応するのは大いに意味のあるセキュリティ対策になるであろう。
Secure Socket Layer の略。直訳すると「安全なソケット層」となる。まともに説明すると基礎知識から始めて、本が1冊くらいの分量が必要なのでここでは割愛するが、通常のインターネット通信は、通信回線上で通信内容を第三者が覗き見しようとすれば可能なのである。(実際は特定の長さで分割されながら送付されるので、完全な覗き見は相応の技術を要する)
それを防ぐ手段の一つが通信内容そのものを通信回線上に載せる前に暗号化するという方法が取られ、これを実現するのがSSLという訳である。Web サーバでは、「SSL電子証明書」の名前で知られているから、名前だけは聞いたことがある方々も多いだろう。
TLSは、Transport Layer Security の略で、直訳すると「伝送層(安全)保護」といった感じになる。SSLの改良版がTLSである。
ここで言う「安全・保護」とは、第三者から通信内容を覗き見される脅威を取り除くことを意味する。
つまり、当事者間で安全な秘匿通信が出来るようにする通信の仕組みをSSLまたはTLSと言う。
SSLとTLSの違いは、暗号通信の始め方にある:
実際の手順はこれとは少し異なるが、ここでは考え方を示しているに過ぎないことに留意していただきたい。
Web サイトで暗号化通信する際は、https:// で始まる URL が多用される。これは左記の SSL 方式であり、いきなり暗号通信を始める方法がとられている。
しかし、その方法では、今やhttp:// で当たり前のように行われているバーチャルホストが安価に出来ないため、TLS 方式へ移行する動きがあるが、対応するWeb ブラウザが無いため遅々として進んでいない。
暗号化通信は、Web サイトの閲覧に関わる HTTP で先行し、バーチャルホスティングの問題も出ていることから、電子メール送受信に関する SMTP,POP,IMAP ではどちらかというと、TLS 方式の方が主流である。
しかしながら、電子メールにおける暗号化通信は、2003年頃から徐々に採用するメールサーバが増えてきた程度で、まだ一般的な域ではない。筆者が管轄するメールサーバでも暗号化通信を 2003年に開始したが、今でもセキュリティ対策の先進的業者でしか暗号化通信を行うメールサーバを見かけない。
SSL・TLSでは、暗号化通信を行うため、公開鍵(Public Key)と秘密鍵(Private Key)の組を用いる。
この2つは一見不可解な電子的なデータの羅列である。
これらは、左から秘密鍵、公開鍵の一例である。
(これらは実際には利用不可です)
これらを用い、数学的な理論の基で送信側で暗号化、受信側でそれを元に戻す復号化が行われ、暗号化通信が実用化されている。
さて、いかにSSLやTLSで通信回線を暗号化してセキュリティ対策を強化したとしても、筆者はかねてから、「人間が最も大きなセキュリティホール」であると主張している。
SSLやTLSは、上記の秘密鍵、公開鍵がモラルのある人間によって適切に管理されていることを前提としている。
そのため、特に秘密鍵が外部に漏れることで、その前提が崩れるため、第三者に暗号解読され通信が覗き見される危険が出てくるのである。
また、総当り戦術で暗号解読を試みる不届き者もいる。暗号解読は、現在のコンピュータの能力では 100年かかるとも 200年かかるとも言われているが、偶然も起き得るし、コンピュータの能力は現在もなお向上を続けている。
だから、SSLやTLSも 100% 安全なものではないことに留意されたい。
また、やみくもにメールサーバでSSLやTLSを導入しても、その効果は限定的であることにも留意したい:
左の図において、送り手から受け手まで、電子メールが完全に暗号化通信されるのは、どの相手とどの相手か判るだろうか。
答えは、「送り手1と受け手2」と「受け手3と受け手4」だけである。
それ以外は、どの相手であっても、通信経路のどこかで、暗号化されずに電子メールが流れる。
電子メールを送り手から受け手まで完全に暗号化通信で届けるには、メールサーバでのSSL/TLS 対応は勿論のことだが、送り手もしくは受け手自身が普段使うコンピュータのMUAの設定も必要である。
例えば送り手1が受け手1に電子メールを送っても、受け手1とメールサーバ2間は、受け手1が暗号化通信の設定を怠っているため、受け手1が電子メールを受信するときは、暗号化されずに受信対象の電子メールが通信回線上を流れる。
また、メールサーバ3で、受け手3と受け手4が相互に電子メールのやりとりをする場合は暗号化されるが、例えば、受け手4から送り手1に返信をする場合、メールサーバ3のSSL/TLS対応が中途半端なために、メールサーバ1へは暗号化せずに電子メールが転送されるという例である。
メールサーバ3のようなメールサーバは実際にかなりの割合で存在する。
現存のメールサーバ全てが暗号化通信に対応するのも現実としては難しい話であり、さらに普段使うコンピュータのMUAの設定を暗号化通信に対応するのも、結局は各個人のセキュリティ意識に依存せざるを得ない状況である。
だからといって、SSL/TLS化は無意味ではない。セキュリティ意識の高い事業所や会社なら、信用を維持するためにも積極的に活用を考えるだろう。特に同じ組織なら、普通はメールサーバも同じであり、強制的に SSL/TLS 対応するのは大いに意味のあるセキュリティ対策になるであろう。