セキュリティに対しての意識は日々徹底されているように思いますが、それでもまだ足りないという分野はたくさんあります。例えば電子メールもその好例です。確かに、セキュリティスイートによって迷惑メールやマルウェアについては対策がとれているかも知れません。ですが、情報漏洩という観点から見ると、あんまり優秀とは言えません。POP形式の平文だと読み取りリスクはかなり大きくなります。・・・ちょっと違うかも知れませんけれど、少なくとも管理者には丸見えです。
メールによるより安全な連絡、と言うのは、今後結構重要なファクターになることでしょう。それは確かにそう思いますけれど、現在の仕組みを変えずにセキュリティを向上させるのはなかなか難しいチャレンジです。今回のネタである日本PGPのシステムは、パスワード付きPDFをキーとして、システムを構築した模様。
日本PGP,メール暗号化ゲートウエイにPDF暗号化機能を追加し“クライアント・レス”拡充 ITpro
まず送信側がメールを送ると,パスワード設定用のURLを記した登録メールを相手に送信。受信側が設定したパスワードを使い,メール本文や添付ファイルを暗号化PDFに変換・送信する
このシステムの画期的なところは、相手側にパスワードを決めさせると言うところでしょう。公開鍵をばらまくより、お手軽且つクライアントごとの鍵が異なるため、結果的に読み取りリスクは少なくなるはずです。この仕組みをメールにも導入し、さらに、一般にほぼ普及しきっているPDFを使ったことは、汎用性について大きな利点となります。
後もう一つの大きな利点は、一度受信してしまえば、オフラインであっても自由に参照が出来ると言うこと。これは、PDFという”閉じたシステム”のみで完結しているところによります。送られてきたPDFを利用する限り、セキュリティーが「継続」するというのも、考えてみれば有用かも知れない効果です。
もちろん、平文に比べてトラフィックが増えるとかのデメリットもあります。この問題は、返信が暗号化されないというこのシステムの、
「明細書や請求書を一斉配信するのに向いている」
という性質に真っ向から対立するような気がしますけれど・・・。プレーンテキストをPDF化したところで大してサイズは大きくならないとか、最近の回線速度だと特に問題ではないと言えばそれまでかも知れませんが。
ざっと見て、使えそうなシステムだと言うのが個人的な感想ですが、1ユーザーあたり2万円の導入コストに見合うかどうかはそれぞれの判断で。部署に1ユーザーくらいずつ、と考えると、実はそんなに大きな支出ではないように思いますけれど・・・
後は、PDF運用とパスワード設定が、顧客に対しての枷にならないか・・・このシステムの一番の導入障壁はこの点にありそうですね。