S/MIMEの調査研究結果と 今後の活用に向けて 立命館大学 情報理工学部 情報システム学科 教授 上原 哲太郎 そもそも何故これを始めたか ¾ 標的型攻撃をはじめとする サイバー攻撃の深刻さと回避の困難さ ¾ 「怪しいメールは開かないように」?! ¾ これに対抗するために 暗号化・認証を含む通信規格の普及を推す ¾ 必要に応じて新規開発→標準化 ¾ 従来存在する規格に関しては普及の後推し ¾ S/MIMEは何故普及しないのか? どうすれば普及の一助になるのか? S/MIME普及シンポジウム2013 2 「標的型攻撃に対抗するための 通信規格の標準化動向に関する調査」 ¾ いくつかの規格に関し動向調査 ¾ HTTP周辺(HTTP Authなど) ¾ メール周辺(S/MIME, DKIMなど) ¾ メールについては なりすまし防止の規格は複数成立 →普及状況やその問題点を整理 ¾ いくつかの事業者にヒアリング ISP,証明書事業者,学術有識者と討議 ¾ 調査結果はこちら http://www.soumu.go.jp/main_sosiki/joho_tsusin/hyojun/02ts ushin04_03000122.html または上記タイトルで検索 S/MIME普及シンポジウム2013 3 S/MIME普及シンポジウム2013 4 調査の概要 ¾ S/MIMEを中心に運用にかかる問題点を整理 ¾ なりすまし防止に力点 暗号化を主眼にしていない ¾ DKIMやSPFとの住み分けを意識 ¾ ドメイン認証 vs アドレス認証 ¾ S/MIMEは「認証だけなら」スモールスタート可能 ¾ 狙いは「運用のベストプラクティス」の抽出 ¾ 意外と「ありそうでない」 ¾ 出口として国際標準規格での補助的文書を目指す S/MIME普及シンポジウム2013 5 調査前に考慮した点 ¾ 署名付きメール受信者への対応 ¾ S/MIME非対応環境はむしろ増加傾向 既運用者は利用者対応にどんな知見が? ¾ 証明書の運用 ¾ 送信者の証明書運用コスト ¾ 受信者の証明書運用ポリシー ¾ Webメールへの対応 S/MIME普及シンポジウム2013 6 目次 1. はじめに 2. S/MIMEの概要と標準化動向 1. S/MIMEの概要 2. S/MIME以外のなりすまし防止技術 3. S/MIMEでなりすましの被害を防ぐ 1. 2. 3. 4. 電子メールにおけるなりすまし攻撃がもたらす影響 必要なのは、客観的に本物かどうかを検証できる手段 S/MIMEの普及を阻んできた原因とその解決策 S/MIMEによる電子署名をどのように導入すべきか S/MIME普及シンポジウム2013 7 (続)目次 4. S/MIMEによる電子署名の導入手順 1. 2. 3. 4. 電子証明書の購入 組織の状況に適した電子署名環境の導入 電子署名ポリシーの策定と遵守 受信側での対応 1. 2. 3. 運用時の留意点 期限切れ電子証明書の扱い 想定されるトラブルと対策 1. 2. 3. 4. なりすまし防止に向けた国内外の取り組み 「よくある質問への回答」(FAQ)の雛形 関連情報源 用語集 5. 運用とトラブル対策 6. 参考資料 S/MIME普及シンポジウム2013 8 普及阻害要因とその緩和 ¾ 有料の電子証明書が必要 ¾ コストダウン 個人なら無料の時代 ¾ 受信側の非対応 ¾ かつてより改善された ¾ ただし…ケータイ Android Windows8 WebMail ¾ 署名付きメールを受け取らない環境 ¾ アプリケーション上でのわかりにくさ S/MIME普及シンポジウム2013 9 調査の結果 ¾ 当初心配したほどは 利用者サポートコストは大きくなさそう ¾ FAQで対応可能→そのひな形を用意 ¾ 証明書運用コストを問題にする声も少ない ¾ 阻害要因も全体としては緩和に向かう ¾ しかし「受信者環境」に課題が多い ¾ 特にユーザへの「見せ方」の問題 ¾ どのメールが署名されているのか? ¾ 署名は信頼できるのか? ¾ 普段署名をつけてメールを送信していても 署名のついていないメールを 利用者が開かないとは限らない S/MIME普及シンポジウム2013 10 コラム:MUA開発者等へ呼びかけ ¾ 上述のように、電子署名が適切であったからといって、 その電子メールが悪意のものではないと断定すること はできません。しかしながら、これまで同一のアドレス から、同じ電子署名を付加して定期的に送信されてい る電子メールと、初めてのアドレスからの届いた署名 付き電子メールとを比較すれば、前者については安 全な内容である可能性が高いとみなすことができま す。逆に、いつもは電子署名を付けてくる送信者から、 電子署名なしの電子メールが届いたら、危険性が高 いと考えられます。このように、過去の傾向に基づい て受信者にリスクの高低を示すことは、受信者にとっ て非常に有益であるため、こうした機能の実装につい て、検討してはいかがでしょうか。 S/MIME普及シンポジウム2013 11 今後の方向性 ¾ ベストプラクティスの規格化に向けての対応 ¾ 普及阻害要因は各国で同じなのか? 同じベストプラクティスが通用するのか? ¾ 「クラウド時代」への対応 ¾ サーバで秘密鍵を預かるべきか否か 預からざるを得ない場合はどう保護すべきか ¾ 「ユーザへの見せ方」の標準化 ¾ ドメイン認証も含めた「認証済み」メールの表示法 ¾ レピュテーションのあり方など S/MIME普及シンポジウム2013 12
© Copyright 2024 ExpyDoc
