S/MIME関連情報

ここには、S/MIMEおよびメールセキュリティに関する有用と思われる情報を掲載します。

  1. 迷惑メール対策推進協議会より「送信ドメイン認証技術 DMARC導入ガイドライン」が公開されました。
    本資料では、送信ドメイン認証において、できる限り多くの正しく送信されたメールが受信側でも正しく送信ドメイン認証技術によって認証できるために設定すべきこと,考慮すべき事柄をまとめています。DMARCの利用において非常jに有効な情報となります。
    以下のURLよりアクセスして下さい。
    https://www.dekyo.or.jp/soudan/aspc/report.html#line
  2. S/MIMEを組織で導入する際の課題、および、デジサートが提供する機能について
    S/MIME がメールセキュリティを取り巻く数多くの主要な問題を解決するのにも関わらず、導入が進んでいない理由は、S/MIME を導入する際の複雑性が原因です。特に、S/MIME 証明書の管理とスケーリングがネックになっています。S/MIMEを組織単位で大規模に実現する際には、以下の3つのプラットフォーム機能が必要となります。
    1. 集中管理
      単一のコンソールからすべての S/MIME 証明書をディスカバリー、管理、導入できるソリューションが必要となります。
    2. 迅速な導入
      あらゆる環境への S/MIME 証明書の迅速な導入、および組織全体での大規模な管理が必要となります。
    3. 柔軟な自動申請とシームレスなプロビジョニング
      S/MIME 証明書のプロビジョニング(ここでは、幅広い申請方法と認証方法のサポート、ユーザー、ロール、アクセスのきめ細かい管理)を自動化できる必要があります。

      本ブログでは、これらの機能について、デジサートのソリューションを例にして説明しています。以下のURLよりアクセスしてください。
      https://www.digicert.com/jp/blog/overcoming-the-hurdles-to-smime-adoption

      また、変化を続けるS/MIMEの発行を確認するツールも提供されています。S/MIMEの導入に課題がないかを検査するGithubのオープンソースもご確認ください。
      https://www.digicert.com/jp/blog/digicert-releases-automated-testing-tool-for-digital-certificates

  3. FISCの「金融機関等コンピュータシステムの安全対策基準・解説書」が2024年03月28日に改定され(第12版)、電子メールの運用方針がより具体化されました。その中で、以下のようにS/MIMEの使用がより推奨というか強調されています。
    これにより、金融機関におけるS/MIMEの利用は、今までメガバンクが中心でしたが、この改定により、地方銀行等さまざまま金融機関での利用が加速されるものと思われます。
    • 実138  電子メールの運用方針を明確にすること。項番2(6)なりすまし防止の方策
      フィッシング等によるなりすましを防止する方策としては、以下の例がある。
      1. 送信ドメイン認証(SPF,DKIM,DMARC)に対応させる。
      2. 電子署名(S/MIME)を使用する。
      3. メール本文中にはリンクを貼らない(URLを記載しない)。
      4. メールの形式は、HTMLをできるだけ使用しない。
    • 実20参考2 (2)電子メール・SMSの対策(金融機関等における考慮点)
      1. メールには電子署名(S/MIME)を付与する。
      2. メールの差出人のメールアドレスは、運営者である金融機関等が所有するドメイン名のメールアドレスとする。
      3. 差出人のメールアドレスに使用するドメイン名は、Webサーバーのドメイン名と同じものとすること。
  4. 「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」において、DMARCとともに、S/MIMEによる電子メールにおける暗号化及び電子署名の技術の利用が勧められています。
    「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」は、政府機関等が、本ガイドラインを参照しつつ、組織及び取り扱う情報の特性等を踏まえて対策基準を定められるようにすることを目的としています。このガイドラインでS/MIMEの利用が勧められていることから、政府機関において更なるS/MIMEの普及が促進されるものと考えております。
    以下、本ガイドラインにおいてS/MIMEについて触れている内容を抜粋します。
    • 情報システムセキュリティ責任者は、必要に応じて、S/MIME等の電子メールにおける電子署名の技術による電子メールのなりすましの防止策を講ずること(6.2.2(1)-3)
    • 情報システムセキュリティ責任者は、以下を例とする電子メールの盗聴及び改ざんの防止策を講ずること(6.2.2(1)-5)
      • b) S/MIME等の電子メールにおける暗号化及び電子署名の技術を利用する。
  5. フィッシング対策協議会が、フィッシングメール詐欺の手口と対策 解説ドキュメントを公開しました。本解説ドキュメントは、フィッシング詐欺におけるなりすましメールの代表的な手口である、ディスプレイネーム、類似ドメイン、踏み台や、これまでにフィッシング対策協議会がフィッシング報告状況で注意喚起を行ってきたなりすましメールの事例をはじめ、サービス事業者に向けたなりすましメールの対策方法について解説しています。
    こちらのウエブページにアクセスしてダウンロードしてください
  6. 「標的型サイバー攻撃から組織を守るには―S/MIMEを普及させよう」
    中央大学 辻井重男 先生の、標的型サイバー攻撃から組織を守るにはS/MIMEを普及させよう という提言です。国民全体にS/MIMEを普及させることの必要性/重要性につて語られています。
  7. 「【特集】S/MIMEでセキュアな電子メール環境をつくる! 」(atmarkit)
    S/MIMEの仕組みや必要性について分かりやすく解説しています。
  8. 「安心・安全電子メール利用基盤(SSMAX)」悪意のあるメールの根絶とメール内容の確実な保護を目指して
    2018年 情報処理学会論文誌59巻9月号*才所敏明,五太子政史,辻井重男,