PGP や S/MIME によって電子メールを暗号化することは、情報漏洩の危険性を減らすうえで有効です。しかしながら、暗号化電子メールの誤った使用は、情報漏洩につながる恐れがあります。そこで、メールを暗号化する際の注意点を、以下に示します。
(1) 送信先の公開鍵情報は事前に入手し、真正であることを確かめておく
送信先の公開鍵情報 (PGP の場合は公開鍵、S/MIME の場合は電子証明書) は事前に入手し、真正であることを確認しておく必要があります。
公開鍵情報の真正性を確認する方法としては、公開鍵情報自身のフィンガープリントを照合する、あるいは予め信頼している別の鍵情報によって施された電子署名を検証するといった方法があります。具体的な確認方法の詳細については、各ソフトウェアのドキュメントを参照してください。
なお、フィンガープリントによって公開鍵情報の真正性を確認する場合は、鍵保持者に、鍵情報を送った際に使用した通信手段と異なる信頼できる通信手段で公開鍵のフィンガープリントを問い合わせることをお勧めします。
(2) Bcc に注意
暗号化したメールの中には、暗号化に使った公開鍵情報の一部が含まれていることがあります。結果として、To や Cc で送信した相手に、Bcc で送信した相手が誰であるか知られてしまう可能性があります。
(3) 宛先 (To・Cc) や差出人 (From) 、件名 (Subject) などのメールヘッダは通常、暗号化されないことに気をつける
参考文書(日本語)
-
JPCERT/CC イラストでわかるセキュリティ
情報セキュリティの脅威に対する対策 11.電子メールは必要に応じて暗号化する
http://www.jpcert.or.jp/magazine/security/illust/part1.html#11
-
JPCERT/CC REPORT 2007-02-07号 [今週の一口メモ]
電子メールは必要に応じて暗号化する
http://www.jpcert.or.jp/wr/2007/wr070502.html#Memo
-
JPCERT/CC REPORT 2004-09-29号 [今週の一口メモ]
電子署名
http://www.jpcert.or.jp/wr/2004/wr043801.txt
-
JPCERT/CC REPORT 2004-06-30号 [今週の一口メモ]
PGP 公開鍵の取得方法
http://www.jpcert.or.jp/wr/2004/wr042501.txt
Weekly Report 2007-02-15号 に掲載
前
コメント
共 有
