SlideShare a Scribd company logo

2013.03.18 JIPDEC S/MIME普及シンポジウム

Download as PPTX, PDF
UEHARA, Tetsutaro
UEHARA, Tetsutaro

同じスライドを今度はpptxで

1 of 16
S/MIME運用ガイドラインの 策定に向けて 総務省 情報通信国際戦略局 通信規格課 標準化推進官 (併任)情報流通行政局 情報流通振興課 情報セキュリティ対策室 上原 哲太郎
Agenda • 最近のサイバー攻撃におけるメール • なぜ(今さら?)S/MIMEなのか • S/MIME普及検討委員会の狙い • 今後の予定
サイバー攻撃の変遷 • OSやブラウザの脆弱性の減尐 →Office,Java,Flash,PDFなどの アプリケーション脆弱性を狙う例が 相対的に増える →マルウェア送り込みの際 脆弱性を突くより 錯誤による実行を狙う方が主流に • 攻撃の発端として 錯誤による実行orアプリ脆弱性を狙い なりすましメールが送り込まれる
なりすましメールによる被害 • フィッシング – システム管理者や各種サービス責任者を装う (ID/PWを奪うトリガなので) • マルウェアの送り込み – 普段の何気ないやりとりに紛れて…
なりすましメールの実例 Excelの脆弱性を突いて常駐 キーロガを仕込む 名前も電話 画面のキャプチャを送信 も 実在
なりすましメールの被害を防ぐ • S/MIMEの利用 – 最も古くからあるがあまり普及してない… • SPFの利用 – 現在最も普及しているがドメイン認証機能のみ – しかも弱い • DKIMの利用 – SPFに次いで普及だがドメイン認証機能のみ • 番外:そもそもメールを使わない?
情報セキュリティ2012より IV 具体的な取組 1 標的型攻撃に対する官民連携の強化等 エ 政府機関情報システムの効率的・継続的な情報セキュリティ対策の 向上 (ケ) 政府機関から発信する電子メールに係るなりすましの防止(内閣官 房、総務省及び全府省庁) a) 内閣官房及び全府省庁は、悪意の第三者が政府機関又は政府機関の職員にな りすまし、一般国民や民間企業等に害を及ぼすことが無いよう、送信者側及 び受信側における送信ドメイン認証技術の採用を推進するとともに、国民に 向けて広く周知し、受信側対策の一層の推進を諮る。また、DKIMや S/MIMEのように暗号技術を利用した対策の導入を積極的に検討する。 b) 総務省は、迷惑メール対策に関わる関係者が幅広く参加し設立された「迷惑 メール対策推進協議会」や、国内の主要インターネット接続サービス事業者 や携帯電話事業者が中心となって設立された民間団体である「JEAG」等と 連携して、送信側及び受信側における送信ドメイン認証技術(SPF、DKIM 等)等の導入を促進する。
SPF,DKIMとは • SPF – DNSを使って各ドメインが 「送信SMTPサーバ(のIPアドレス)」を広報 – 受信SMTPサーバが送信SMTPの IPアドレスとDNS上の情報を比較して判定 • DKIM – DNSを使って各ドメインが「送信時にメールに付加す る 電子署名を検証するための公開鍵」を広報 • 公開鍵暗号系だがPKIではない(DNSの信頼性に依 拠) – 受信SMTPサーバがメールの署名を検証 • メール受信者が署名を再検証することも可能
SPF,DKIMの展開が先行 • ISPや各企業団体主導で展開できる – DNSおよび送受信SMTPサーバにて対応可能 システム管理側だけで展開でき一般利用者に負担をかけない • その一方で限界もある – これまでのメール運用慣習上、 全ドメインの送信SMTPサーバを完全に限定することは困難 • 例えば個人契約ISPのSMTPサーバから会社名義のFromアドレスでメール出す人がいる • SPFには「メーリングリストなどの転送メール問題」がある • そのため「必ずしもSPF,DKIM認証が出来ないメールがある」ことを宣言する仕組みがあ る (SPFのSoftfail,DKIMのADSP unknown) • ただし「直接的広報メール」に限れば限定することは可能かも? – ドメイン認証判定結果をメール受信者に伝える 統一的UIがまだない(結果がメールヘッダなどにあるが…)
S/MIMEの現状 • S/MIMEは「教科書的な」PKIベースのメッセージ交換方式 – PKIで署名された電子証明書を各人が持つ想定 – 電子署名と暗号の両方に使える • 電子署名時は自己のメールアドレスに対応した秘密鍵でメールを署名し て送信 • 暗号時はさらに受信者のメールアドレスに対応した公開鍵で暗号化して 送信 • メールアドレス全体と本文の認証が可能 • 多くのメーラがS/MIMEに対応(Outlook, Windows Live Mail..., MacOS X Mail app, iOSも5から対応) • 電子証明書さえ導入すればいつでも使える状態 • うまく普及すればメール暗号化の諸問題も解決 – 暗号化した添付ファイルのパスワードを別送する悪習を絶ちた い • だが普及しているとは言いがたい
大きな阻害要因:電子証明書 • 各利用者に電子証明書を購入・導入させることが困難 • だが企業・組織からのアナウンスメールでの なりすましを防ぐだけなら十分運用可能では? – 発信者だけが電子証明書を持てばよい – 金融機関でフィッシング防止目的の実績あり • 組織内で利用するだけなら可能では? • 最近流行の「クラウド化」:メーラのクラウド化で風向 きが 変わるのでは?
そこで… • 「標的型攻撃対策のためのなりすまし防止」にフォーカスした S/MIME運用ガイドラインを策定する – 最終的目標は国際標準化(IETFなど) • まずは「企業や組織が外部に出すメールがなりすまされていな いことを証明する使い方」に特化 – 多くの人が電子証明書を導入せずとも済むモデルから始め る – 組織内利用は次の目標とする • そのために世の中のベストプラクティスを調査 – 金融業界の他に例はないか? – 企業内利用で例はないか?
検討の現状 • 委託調査研究として発注 – 「S/MIMEの普及方策に関する検討会」を組織して 議論 • 座長:奈良先端大 門林雄基先生 – 委員は認証局事業者やISPなどから – 「S/MIMEによる電子メールのなりすまし防止対策 に関するガイドライン(仮)」を策定中 – 同時に事業者等へのヒアリングを実施 • ベストプラクティスの収集が主な目的 – うまくいっている例とうまくいってない例の両方
ここまでに見えてきたもの • 広報に使うだけなら確かに導入は容易だが… – 金融機関は使っているが効果はよく分からない – メリットを感じる顧客はどれだけいるか? • 小さな課題が山積している – 「このアドレスはS/MIMEで送られています」 ということをどうやって広報する? – 署名されているメールを示すUIの不統一 • SPF,DKIMも同じ問題を抱えているので同時解決を – 過去のメールの署名確認のための電子証明書の扱い – SPF, DKIMとの共存はどう考えるか • レベルによる使い分けか多重防御か
今後の予定 • 月末までに運用ガイドラインを作成 – 近いうちに公開 • 引き続いて残る課題を整理 – 特にUIの問題 – DKIMとの棲み分けを整理 • 次に標準化に着手 – ガイドラインをどう広めるか • さらに組織内利用→一般利用へ展開?
個人的な理想の姿 • 組織内で飛び交うメールが全て DKIMかS/MIMEで検証可能な状態を保つ – DKIMかS/MIMEかはコストメリット、求める セキュアレベルや暗号化ニーズで決まってく る • もちろん併用も可能 – そうすることで攻撃を察知しやすくなる • 組織間メールで暗号化が必要ならできれ ばS/MIMEを使う方に誘導できないか? – 尐なくとも今のバッドノウハウはなんとか撲

Recommended

A2-4 SubWG活動報告
A2-4 SubWG活動報告A2-4 SubWG活動報告
A2-4 SubWG活動報告
JPAAWG (Japan Anti-Abuse Working Group)
 
B1-5 メール技術のいま
B1-5 メール技術のいまB1-5 メール技術のいま
B1-5 メール技術のいま
JPAAWG (Japan Anti-Abuse Working Group)
 
A2-4 SubWG活動報告
A2-4 SubWG活動報告A2-4 SubWG活動報告
A2-4 SubWG活動報告
JPAAWG (Japan Anti-Abuse Working Group)
 
B2-4 DNS でいま起きていること
B2-4 DNS でいま起きていることB2-4 DNS でいま起きていること
B2-4 DNS でいま起きていること
JPAAWG (Japan Anti-Abuse Working Group)
 
B1-3 脅威インテリジェンスの最新状況
B1-3 脅威インテリジェンスの最新状況B1-3 脅威インテリジェンスの最新状況
B1-3 脅威インテリジェンスの最新状況
JPAAWG (Japan Anti-Abuse Working Group)
 
Mozillaの報奨金制度で200万円ほど稼いだ話
Mozillaの報奨金制度で200万円ほど稼いだ話Mozillaの報奨金制度で200万円ほど稼いだ話
Mozillaの報奨金制度で200万円ほど稼いだ話
Muneaki Nishimura
 
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(QTnet 三小田氏)
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(QTnet 三小田氏)A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(QTnet 三小田氏)
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(QTnet 三小田氏)
JPAAWG (Japan Anti-Abuse Working Group)
 
Welcome to the Black Hole of Bug Bounty Program
Welcome to the Black Hole of Bug Bounty ProgramWelcome to the Black Hole of Bug Bounty Program
Welcome to the Black Hole of Bug Bounty Program
Muneaki Nishimura
 

Recommended

A2-4 SubWG活動報告
A2-4 SubWG活動報告A2-4 SubWG活動報告
A2-4 SubWG活動報告
JPAAWG (Japan Anti-Abuse Working Group)
 
B1-5 メール技術のいま
B1-5 メール技術のいまB1-5 メール技術のいま
B1-5 メール技術のいま
JPAAWG (Japan Anti-Abuse Working Group)
 
A2-4 SubWG活動報告
A2-4 SubWG活動報告A2-4 SubWG活動報告
A2-4 SubWG活動報告
JPAAWG (Japan Anti-Abuse Working Group)
 
B2-4 DNS でいま起きていること
B2-4 DNS でいま起きていることB2-4 DNS でいま起きていること
B2-4 DNS でいま起きていること
JPAAWG (Japan Anti-Abuse Working Group)
 
B1-3 脅威インテリジェンスの最新状況
B1-3 脅威インテリジェンスの最新状況B1-3 脅威インテリジェンスの最新状況
B1-3 脅威インテリジェンスの最新状況
JPAAWG (Japan Anti-Abuse Working Group)
 
Mozillaの報奨金制度で200万円ほど稼いだ話
Mozillaの報奨金制度で200万円ほど稼いだ話Mozillaの報奨金制度で200万円ほど稼いだ話
Mozillaの報奨金制度で200万円ほど稼いだ話
Muneaki Nishimura
 
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(QTnet 三小田氏)
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(QTnet 三小田氏)A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(QTnet 三小田氏)
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(QTnet 三小田氏)
JPAAWG (Japan Anti-Abuse Working Group)
 
Welcome to the Black Hole of Bug Bounty Program
Welcome to the Black Hole of Bug Bounty ProgramWelcome to the Black Hole of Bug Bounty Program
Welcome to the Black Hole of Bug Bounty Program
Muneaki Nishimura
 
20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシー20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシーUEHARA, Tetsutaro
 
米国消費者プライバシー憲章7章以降
米国消費者プライバシー憲章7章以降米国消費者プライバシー憲章7章以降
米国消費者プライバシー憲章7章以降UEHARA, Tetsutaro
 
情報化社会と人権
情報化社会と人権情報化社会と人権
情報化社会と人権UEHARA, Tetsutaro
 
20110110日本図書館研究会
20110110日本図書館研究会20110110日本図書館研究会
20110110日本図書館研究会UEHARA, Tetsutaro
 
20130203北大・ビッグデータとプライバシー
20130203北大・ビッグデータとプライバシー20130203北大・ビッグデータとプライバシー
20130203北大・ビッグデータとプライバシーUEHARA, Tetsutaro
 
20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会
20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会
20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会
UEHARA, Tetsutaro
 
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
UEHARA, Tetsutaro
 
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクトマイナンバーがもたらすインパクト
マイナンバーがもたらすインパクト
UEHARA, Tetsutaro
 
20110110日本図書館研究会
20110110日本図書館研究会20110110日本図書館研究会
20110110日本図書館研究会UEHARA, Tetsutaro
 
20100710総ネット市民時代の情報セキュリティ教育
20100710総ネット市民時代の情報セキュリティ教育20100710総ネット市民時代の情報セキュリティ教育
20100710総ネット市民時代の情報セキュリティ教育
UEHARA, Tetsutaro
 
デジタルフォレンジックの技術(ISS Square)
デジタルフォレンジックの技術(ISS Square)デジタルフォレンジックの技術(ISS Square)
デジタルフォレンジックの技術(ISS Square)UEHARA, Tetsutaro
 
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライドCEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
UEHARA, Tetsutaro
 
IDF Librahackパネル資料
IDF Librahackパネル資料IDF Librahackパネル資料
IDF Librahackパネル資料UEHARA, Tetsutaro
 
20120129図書館問題研究会
20120129図書館問題研究会20120129図書館問題研究会
20120129図書館問題研究会UEHARA, Tetsutaro
 
情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル
UEHARA, Tetsutaro
 
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
UEHARA, Tetsutaro
 
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るDBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
UEHARA, Tetsutaro
 
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
UEHARA, Tetsutaro
 
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
UEHARA, Tetsutaro
 
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティマイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティ
UEHARA, Tetsutaro
 
Exchange Hosted Services 製品概要
Exchange Hosted Services 製品概要Exchange Hosted Services 製品概要
Exchange Hosted Services 製品概要kumo2010
 
ユーザーから見たeメールセキュリティ対策の実際
ユーザーから見たeメールセキュリティ対策の実際ユーザーから見たeメールセキュリティ対策の実際
ユーザーから見たeメールセキュリティ対策の実際
章 大泰司
 

More Related Content

Viewers also liked

20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシー20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシーUEHARA, Tetsutaro
 
米国消費者プライバシー憲章7章以降
米国消費者プライバシー憲章7章以降米国消費者プライバシー憲章7章以降
米国消費者プライバシー憲章7章以降UEHARA, Tetsutaro
 
20110110日本図書館研究会
20110110日本図書館研究会20110110日本図書館研究会
20110110日本図書館研究会UEHARA, Tetsutaro
 
20130203北大・ビッグデータとプライバシー
20130203北大・ビッグデータとプライバシー20130203北大・ビッグデータとプライバシー
20130203北大・ビッグデータとプライバシーUEHARA, Tetsutaro
 
20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会
20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会
20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会
UEHARA, Tetsutaro
 
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
UEHARA, Tetsutaro
 
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクトマイナンバーがもたらすインパクト
マイナンバーがもたらすインパクト
UEHARA, Tetsutaro
 
20110110日本図書館研究会
20110110日本図書館研究会20110110日本図書館研究会
20110110日本図書館研究会UEHARA, Tetsutaro
 
20100710総ネット市民時代の情報セキュリティ教育
20100710総ネット市民時代の情報セキュリティ教育20100710総ネット市民時代の情報セキュリティ教育
20100710総ネット市民時代の情報セキュリティ教育
UEHARA, Tetsutaro
 
デジタルフォレンジックの技術(ISS Square)
デジタルフォレンジックの技術(ISS Square)デジタルフォレンジックの技術(ISS Square)
デジタルフォレンジックの技術(ISS Square)UEHARA, Tetsutaro
 
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライドCEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
UEHARA, Tetsutaro
 
IDF Librahackパネル資料
IDF Librahackパネル資料IDF Librahackパネル資料
IDF Librahackパネル資料UEHARA, Tetsutaro
 
20120129図書館問題研究会
20120129図書館問題研究会20120129図書館問題研究会
20120129図書館問題研究会UEHARA, Tetsutaro
 
情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル
UEHARA, Tetsutaro
 
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
UEHARA, Tetsutaro
 
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るDBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
UEHARA, Tetsutaro
 
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
UEHARA, Tetsutaro
 
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
UEHARA, Tetsutaro
 
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティマイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティ
UEHARA, Tetsutaro
 

Viewers also liked (20)

20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシー20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシー
 
米国消費者プライバシー憲章7章以降
米国消費者プライバシー憲章7章以降米国消費者プライバシー憲章7章以降
米国消費者プライバシー憲章7章以降
 
情報化社会と人権
情報化社会と人権情報化社会と人権
情報化社会と人権
 
20110110日本図書館研究会
20110110日本図書館研究会20110110日本図書館研究会
20110110日本図書館研究会
 
20130203北大・ビッグデータとプライバシー
20130203北大・ビッグデータとプライバシー20130203北大・ビッグデータとプライバシー
20130203北大・ビッグデータとプライバシー
 
20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会
20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会
20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会
 
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
 
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクトマイナンバーがもたらすインパクト
マイナンバーがもたらすインパクト
 
20110110日本図書館研究会
20110110日本図書館研究会20110110日本図書館研究会
20110110日本図書館研究会
 
20100710総ネット市民時代の情報セキュリティ教育
20100710総ネット市民時代の情報セキュリティ教育20100710総ネット市民時代の情報セキュリティ教育
20100710総ネット市民時代の情報セキュリティ教育
 
デジタルフォレンジックの技術(ISS Square)
デジタルフォレンジックの技術(ISS Square)デジタルフォレンジックの技術(ISS Square)
デジタルフォレンジックの技術(ISS Square)
 
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライドCEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
 
IDF Librahackパネル資料
IDF Librahackパネル資料IDF Librahackパネル資料
IDF Librahackパネル資料
 
20120129図書館問題研究会
20120129図書館問題研究会20120129図書館問題研究会
20120129図書館問題研究会
 
情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル
 
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
 
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るDBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
 
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
 
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
 
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティマイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティ
 

Similar to 2013.03.18 JIPDEC S/MIME普及シンポジウム

Exchange Hosted Services 製品概要
Exchange Hosted Services 製品概要Exchange Hosted Services 製品概要
Exchange Hosted Services 製品概要kumo2010
 
ユーザーから見たeメールセキュリティ対策の実際
ユーザーから見たeメールセキュリティ対策の実際ユーザーから見たeメールセキュリティ対策の実際
ユーザーから見たeメールセキュリティ対策の実際
章 大泰司
 
携帯・スマートフォンメールを速く・確実に送る10ヶ条
携帯・スマートフォンメールを速く・確実に送る10ヶ条携帯・スマートフォンメールを速く・確実に送る10ヶ条
携帯・スマートフォンメールを速く・確実に送る10ヶ条
KLab株式会社 アクセルメール担当
 
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
Tomohiro Nakashima
 
企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝
企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝
企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝
Fumitaka Takeuchi
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
日本ヒューレット・パッカード株式会社
 
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
satoru koyama
 
B2-5 フィッシングSMS(スミッシング)と事業者の対応について
B2-5 フィッシングSMS(スミッシング)と事業者の対応についてB2-5 フィッシングSMS(スミッシング)と事業者の対応について
B2-5 フィッシングSMS(スミッシング)と事業者の対応について
JPAAWG (Japan Anti-Abuse Working Group)
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
 
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
Katsuhide Hirai
 
オンラインバンキングのセキュリティ技術の動向(完全版)
オンラインバンキングのセキュリティ技術の動向(完全版)オンラインバンキングのセキュリティ技術の動向(完全版)
オンラインバンキングのセキュリティ技術の動向(完全版)
Fusion Reactor LLC
 
アクセス・ログ取得システム導入の考察
アクセス・ログ取得システム導入の考察アクセス・ログ取得システム導入の考察
アクセス・ログ取得システム導入の考察
Fusion Reactor LLC
 
Cisco E メール セキュリティ アプライアンス(ESA)
Cisco E メール セキュリティ アプライアンス(ESA)Cisco E メール セキュリティ アプライアンス(ESA)
Cisco E メール セキュリティ アプライアンス(ESA)
シスコシステムズ合同会社
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintsatoru koyama
 
【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「C...
【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「C...【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「C...
【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「C...
シスコシステムズ合同会社
 
[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011
Microsoft Tech Summit 2017
 
B2-5 フィッシングSMS(スミッシング)と事業者の対応について
B2-5 フィッシングSMS(スミッシング)と事業者の対応についてB2-5 フィッシングSMS(スミッシング)と事業者の対応について
B2-5 フィッシングSMS(スミッシング)と事業者の対応について
JPAAWG (Japan Anti-Abuse Working Group)
 

Similar to 2013.03.18 JIPDEC S/MIME普及シンポジウム (20)

Exchange Hosted Services 製品概要
Exchange Hosted Services 製品概要Exchange Hosted Services 製品概要
Exchange Hosted Services 製品概要
 
ユーザーから見たeメールセキュリティ対策の実際
ユーザーから見たeメールセキュリティ対策の実際ユーザーから見たeメールセキュリティ対策の実際
ユーザーから見たeメールセキュリティ対策の実際
 
携帯・スマートフォンメールを速く・確実に送る10ヶ条
携帯・スマートフォンメールを速く・確実に送る10ヶ条携帯・スマートフォンメールを速く・確実に送る10ヶ条
携帯・スマートフォンメールを速く・確実に送る10ヶ条
 
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
 
企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝
企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝
企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
 
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
 
B2-5 フィッシングSMS(スミッシング)と事業者の対応について
B2-5 フィッシングSMS(スミッシング)と事業者の対応についてB2-5 フィッシングSMS(スミッシング)と事業者の対応について
B2-5 フィッシングSMS(スミッシング)と事業者の対応について
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
 
P41 Thompson Jp[1]
P41 Thompson Jp[1]P41 Thompson Jp[1]
P41 Thompson Jp[1]
 
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
 
オンラインバンキングのセキュリティ技術の動向(完全版)
オンラインバンキングのセキュリティ技術の動向(完全版)オンラインバンキングのセキュリティ技術の動向(完全版)
オンラインバンキングのセキュリティ技術の動向(完全版)
 
アクセス・ログ取得システム導入の考察
アクセス・ログ取得システム導入の考察アクセス・ログ取得システム導入の考察
アクセス・ログ取得システム導入の考察
 
Cisco E メール セキュリティ アプライアンス(ESA)
Cisco E メール セキュリティ アプライアンス(ESA)Cisco E メール セキュリティ アプライアンス(ESA)
Cisco E メール セキュリティ アプライアンス(ESA)
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprint
 
【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「C...
【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「C...【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「C...
【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「C...
 
[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011
 
B2-5 フィッシングSMS(スミッシング)と事業者の対応について
B2-5 フィッシングSMS(スミッシング)と事業者の対応についてB2-5 フィッシングSMS(スミッシング)と事業者の対応について
B2-5 フィッシングSMS(スミッシング)と事業者の対応について
 
Newsletter20110102
Newsletter20110102Newsletter20110102
Newsletter20110102
 

More from UEHARA, Tetsutaro

デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
 
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはクラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
UEHARA, Tetsutaro
 
Dbsj2020 seminar
Dbsj2020 seminarDbsj2020 seminar
Dbsj2020 seminar
UEHARA, Tetsutaro
 
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
UEHARA, Tetsutaro
 
シンクライアントの解説
シンクライアントの解説シンクライアントの解説
シンクライアントの解説
UEHARA, Tetsutaro
 
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたいPPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたい
UEHARA, Tetsutaro
 
データベースセキュリティの重要課題
データベースセキュリティの重要課題データベースセキュリティの重要課題
データベースセキュリティの重要課題
UEHARA, Tetsutaro
 
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性
UEHARA, Tetsutaro
 
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへシステム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへ
UEHARA, Tetsutaro
 
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けてサイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けて
UEHARA, Tetsutaro
 
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現
UEHARA, Tetsutaro
 
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題
UEHARA, Tetsutaro
 
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理
UEHARA, Tetsutaro
 
サマータイム実施は不可能である
サマータイム実施は不可能であるサマータイム実施は不可能である
サマータイム実施は不可能である
UEHARA, Tetsutaro
 
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライドだいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライド
UEHARA, Tetsutaro
 
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)
UEHARA, Tetsutaro
 
証拠保全とは?
証拠保全とは?証拠保全とは?
証拠保全とは?
UEHARA, Tetsutaro
 
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSSデジタル・フォレンジックとOSS
デジタル・フォレンジックとOSS
UEHARA, Tetsutaro
 
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッションCSS2017キャンドルスターセッション
CSS2017キャンドルスターセッション
UEHARA, Tetsutaro
 
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点企業セキュリティ対策の転換点
企業セキュリティ対策の転換点
UEHARA, Tetsutaro
 

More from UEHARA, Tetsutaro (20)

デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはクラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
 
Dbsj2020 seminar
Dbsj2020 seminarDbsj2020 seminar
Dbsj2020 seminar
 
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
 
シンクライアントの解説
シンクライアントの解説シンクライアントの解説
シンクライアントの解説
 
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたいPPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたい
 
データベースセキュリティの重要課題
データベースセキュリティの重要課題データベースセキュリティの重要課題
データベースセキュリティの重要課題
 
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性
 
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへシステム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへ
 
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けてサイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けて
 
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現
 
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題
 
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理
 
サマータイム実施は不可能である
サマータイム実施は不可能であるサマータイム実施は不可能である
サマータイム実施は不可能である
 
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライドだいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライド
 
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)
 
証拠保全とは?
証拠保全とは?証拠保全とは?
証拠保全とは?
 
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSSデジタル・フォレンジックとOSS
デジタル・フォレンジックとOSS
 
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッションCSS2017キャンドルスターセッション
CSS2017キャンドルスターセッション
 
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点企業セキュリティ対策の転換点
企業セキュリティ対策の転換点
 

2013.03.18 JIPDEC S/MIME普及シンポジウム

  • 1. S/MIME運用ガイドラインの 策定に向けて 総務省 情報通信国際戦略局 通信規格課 標準化推進官 (併任)情報流通行政局 情報流通振興課 情報セキュリティ対策室 上原 哲太郎
  • 3. サイバー攻撃の変遷 • OSやブラウザの脆弱性の減尐 →Office,Java,Flash,PDFなどの アプリケーション脆弱性を狙う例が 相対的に増える →マルウェア送り込みの際 脆弱性を突くより 錯誤による実行を狙う方が主流に • 攻撃の発端として 錯誤による実行orアプリ脆弱性を狙い なりすましメールが送り込まれる
  • 4. なりすましメールによる被害 • フィッシング – システム管理者や各種サービス責任者を装う (ID/PWを奪うトリガなので) • マルウェアの送り込み – 普段の何気ないやりとりに紛れて…
  • 5. なりすましメールの実例 Excelの脆弱性を突いて常駐 キーロガを仕込む 名前も電話 画面のキャプチャを送信 も 実在
  • 6. なりすましメールの被害を防ぐ • S/MIMEの利用 – 最も古くからあるがあまり普及してない… • SPFの利用 – 現在最も普及しているがドメイン認証機能のみ – しかも弱い • DKIMの利用 – SPFに次いで普及だがドメイン認証機能のみ • 番外:そもそもメールを使わない?
  • 7. 情報セキュリティ2012より IV 具体的な取組 1 標的型攻撃に対する官民連携の強化等 エ 政府機関情報システムの効率的・継続的な情報セキュリティ対策の 向上 (ケ) 政府機関から発信する電子メールに係るなりすましの防止(内閣官 房、総務省及び全府省庁) a) 内閣官房及び全府省庁は、悪意の第三者が政府機関又は政府機関の職員にな りすまし、一般国民や民間企業等に害を及ぼすことが無いよう、送信者側及 び受信側における送信ドメイン認証技術の採用を推進するとともに、国民に 向けて広く周知し、受信側対策の一層の推進を諮る。また、DKIMや S/MIMEのように暗号技術を利用した対策の導入を積極的に検討する。 b) 総務省は、迷惑メール対策に関わる関係者が幅広く参加し設立された「迷惑 メール対策推進協議会」や、国内の主要インターネット接続サービス事業者 や携帯電話事業者が中心となって設立された民間団体である「JEAG」等と 連携して、送信側及び受信側における送信ドメイン認証技術(SPF、DKIM 等)等の導入を促進する。
  • 8. SPF,DKIMとは • SPF – DNSを使って各ドメインが 「送信SMTPサーバ(のIPアドレス)」を広報 – 受信SMTPサーバが送信SMTPの IPアドレスとDNS上の情報を比較して判定 • DKIM – DNSを使って各ドメインが「送信時にメールに付加す る 電子署名を検証するための公開鍵」を広報 • 公開鍵暗号系だがPKIではない(DNSの信頼性に依 拠) – 受信SMTPサーバがメールの署名を検証 • メール受信者が署名を再検証することも可能
  • 9. SPF,DKIMの展開が先行 • ISPや各企業団体主導で展開できる – DNSおよび送受信SMTPサーバにて対応可能 システム管理側だけで展開でき一般利用者に負担をかけない • その一方で限界もある – これまでのメール運用慣習上、 全ドメインの送信SMTPサーバを完全に限定することは困難 • 例えば個人契約ISPのSMTPサーバから会社名義のFromアドレスでメール出す人がいる • SPFには「メーリングリストなどの転送メール問題」がある • そのため「必ずしもSPF,DKIM認証が出来ないメールがある」ことを宣言する仕組みがあ る (SPFのSoftfail,DKIMのADSP unknown) • ただし「直接的広報メール」に限れば限定することは可能かも? – ドメイン認証判定結果をメール受信者に伝える 統一的UIがまだない(結果がメールヘッダなどにあるが…)
  • 10. S/MIMEの現状 • S/MIMEは「教科書的な」PKIベースのメッセージ交換方式 – PKIで署名された電子証明書を各人が持つ想定 – 電子署名と暗号の両方に使える • 電子署名時は自己のメールアドレスに対応した秘密鍵でメールを署名し て送信 • 暗号時はさらに受信者のメールアドレスに対応した公開鍵で暗号化して 送信 • メールアドレス全体と本文の認証が可能 • 多くのメーラがS/MIMEに対応(Outlook, Windows Live Mail..., MacOS X Mail app, iOSも5から対応) • 電子証明書さえ導入すればいつでも使える状態 • うまく普及すればメール暗号化の諸問題も解決 – 暗号化した添付ファイルのパスワードを別送する悪習を絶ちた い • だが普及しているとは言いがたい
  • 11. 大きな阻害要因:電子証明書 • 各利用者に電子証明書を購入・導入させることが困難 • だが企業・組織からのアナウンスメールでの なりすましを防ぐだけなら十分運用可能では? – 発信者だけが電子証明書を持てばよい – 金融機関でフィッシング防止目的の実績あり • 組織内で利用するだけなら可能では? • 最近流行の「クラウド化」:メーラのクラウド化で風向 きが 変わるのでは?
  • 12. そこで… • 「標的型攻撃対策のためのなりすまし防止」にフォーカスした S/MIME運用ガイドラインを策定する – 最終的目標は国際標準化(IETFなど) • まずは「企業や組織が外部に出すメールがなりすまされていな いことを証明する使い方」に特化 – 多くの人が電子証明書を導入せずとも済むモデルから始め る – 組織内利用は次の目標とする • そのために世の中のベストプラクティスを調査 – 金融業界の他に例はないか? – 企業内利用で例はないか?
  • 13. 検討の現状 • 委託調査研究として発注 – 「S/MIMEの普及方策に関する検討会」を組織して 議論 • 座長:奈良先端大 門林雄基先生 – 委員は認証局事業者やISPなどから – 「S/MIMEによる電子メールのなりすまし防止対策 に関するガイドライン(仮)」を策定中 – 同時に事業者等へのヒアリングを実施 • ベストプラクティスの収集が主な目的 – うまくいっている例とうまくいってない例の両方
  • 14. ここまでに見えてきたもの • 広報に使うだけなら確かに導入は容易だが… – 金融機関は使っているが効果はよく分からない – メリットを感じる顧客はどれだけいるか? • 小さな課題が山積している – 「このアドレスはS/MIMEで送られています」 ということをどうやって広報する? – 署名されているメールを示すUIの不統一 • SPF,DKIMも同じ問題を抱えているので同時解決を – 過去のメールの署名確認のための電子証明書の扱い – SPF, DKIMとの共存はどう考えるか • レベルによる使い分けか多重防御か
  • 15. 今後の予定 • 月末までに運用ガイドラインを作成 – 近いうちに公開 • 引き続いて残る課題を整理 – 特にUIの問題 – DKIMとの棲み分けを整理 • 次に標準化に着手 – ガイドラインをどう広めるか • さらに組織内利用→一般利用へ展開?
  • 16. 個人的な理想の姿 • 組織内で飛び交うメールが全て DKIMかS/MIMEで検証可能な状態を保つ – DKIMかS/MIMEかはコストメリット、求める セキュアレベルや暗号化ニーズで決まってく る • もちろん併用も可能 – そうすることで攻撃を察知しやすくなる • 組織間メールで暗号化が必要ならできれ ばS/MIMEを使う方に誘導できないか? – 尐なくとも今のバッドノウハウはなんとか撲