Google Workspace Enteprise Plusで実現する、なりすまし/フィッシング対策（S/MIMEのススメ）

2024年4月26日掲載

Duet AI for Google Workspace とは？特長や導入方法を分かりやすく解説

Google WorkspaceのEnterprise Plusエディションには S/MIME暗号化機能というものが付帯されています。ですが正直なところS/MIMEが使いたいからEnterprise Plusを契約した、とか実際にこちらの機能を使われているというお客さまにお会いしたことがありません。筆者の個人的な印象としてほとんど日の当たることがない機能であり、多くのGoogle Workspace Enterprise Plusをご契約されている管理者様も設定の存在くらいは知っているが触ったことはないという設定ではないでしょうか？ということで今回、実際に触ってみました。本記事がお役に立てば幸いです。

1.改めてS/MIMEとは？

S/MIME（Secure / Multipurpose Internet Mail Extensions）とは電子メールの安全性を向上させるための規格で、電子メールを暗号化し電子署名を付けることで安全に送受信するための技術です。主に銀行などセキュリティが重要なメールで使われています。GmailのみならずOutlookやiPhone・iPadのメーラーなど、多くのメーラーがS/MIMEに対応しています。

受信環境によって異なりますが鍵マークやリボンマーク、smime.p7sといった添付ファイルがついたメールを受信されたことはあるのではないでしょうか？それらがS/MIMEで電子署名されたメールとなります。

実はS/MIMEの歴史は長く誕生してから25年以上になります。最初の規格（S/MIME Version 2：RFC2311）が策定されたのは1998年です。今では考えられませんが、この頃はTLSや常時SSLといった通信の暗号化はほとんどされておらず平文送信が当たり前の時代でした。そのような環境の中で安全に情報を送受信するためにはどうするか？という中で生まれた技術になります。

2.S/MIMEの用途/機能

メール内容の盗聴を防ぐ（暗号化）：通信の暗号化とデータの暗号化があるため少々ややこしいのですが、以下のような違いがあります。
- 通信の暗号化（TLS）: メール送信中の通信を暗号化します。送信者からメールサーバ、受信者までの通信経路を保護し、傍受による内容の漏洩を防ぎます。
- データの暗号化（S/MIME）: メール本文や添付ファイルを暗号化します。メールが保存されている場所や、転送時の盗聴を防ぎます。従ってTLSだけの場合、通信の傍受に脆弱となります。通信の暗号化は標準機能で行われます。更にS/MIMEを使えばデータも暗号化されるので一層安全性を高めることが可能となります。S/MIMEで暗号化されたデータの解読には鍵が必要なので盗聴されても鍵がなければ解読することはできません。ただし、送信者と受信者両方の鍵が必要と相応の準備が必要なため決して、現実的には普及しているとは言えず利用は限定的です。
「なりすまし」を防ぐ（デジタル署名）：メールにデジタル署名を施すことで、受信者がメールが本当に送信者本人から送信されたものかどうかやメールが改ざんされていないかどうかを確認することが可能です。デジタル署名は、フィッシング対策やメールセキュリティを強化したい方に最適なソリューションです。金融機関などはこちらの目的で使用されています。

3.S/MIMEを設定してみた（管理者作業）

今回は、基本的に全てのユーザに適用することは稀だろうという前提で一部のユーザのみに適用するというシナリオで設定を行なってみました。

設定はこちらの手順に沿って進めます。

ホスト型 S/MIME を有効にしてメールを暗号化する（公式ドキュメント）

管理者とユーザそれぞれで準備が必要です。

3-1.S/MIMEを有効化できません！

いきなりつまずきました。。一部のユーザへS/MIMEを適用したかったので専用の組織部門を作成しました。が有効化できません！

執筆時現在の仕様として、設定を有効化する前に対象となるユーザ（Enterprise Plusを付与済）を配置しておく必要があるそうです。

先に組織を用意して設定を入れ込んだのちユーザを移動させるというのがよくあるオペレーションだと思うのですが、S/MIMEの場合は先にEnterprise Plus等のライセンスを付与したユーザを収容しておき、その後SMIMEを有効化する必要があるようです。

まとめると手順としては

S/MIMEを有効化する組織を作成する
Enterprise Plusを適用したユーザを作成した組織へ移動する
対象組織でS/MIMEを有効化（オーバーライド）する

となります

4.GmailへS/MIMEを適用する（ユーザ作業）

ユーザへの証明書適用は、Gmail S/MIME APIによる証明書投入の方法もございますが、今回は手動インポートにて検証しました。設定手順は以下の通りです。

[設定] アイコンを押下し [すべての設定を表示] を選択します。
[アカウント] タブを選択します。
[名前] の横にある [情報を編集] を選択します。
[メールアドレスと暗号化設定を編集] ウィンドウにて[個人証明書をアップロード]します。
パスワードを入力して、[証明書を追加] します。
証明書を利用するように既定を変更します

以下、上記の流れの画面遷移です

5. 動作確認

Gmailの場合はクライアントごとの設定は不要です。一度設定してしまえばモバイルアプリからの送信であっても意識することなくデジタル署名が付加されていました。

なお送信相手の公開鍵がある場合、送信するすべてのメッセージが S/MIME で暗号化されます。暗号化されたメッセージは、対応する秘密鍵を持っている受信者のみ復号化できます。少なくとも本設定を行うことで、受信者側に正しい送信者であることを伝えることができるようになります。

参考1）受信者もS/MIME証明書を持っているとき

デジタル署名に加えて、データの暗号化が行われます。但し、送信者-受信者ともに証明書を設定しているということが条件となります。特に秘匿性を求められるような重要な情報を受け取りたいというような時にはこのようなアカウントを用意いただいて、送信元から送っていただくというような運用であれば安全なファイルのやりとりができそうです。

参考2）S/MIMEで暗号化されたメールはVaultで参照できるのか？

暗号化されてしまうとVault管理者は参照できないのかが気になったので確認しました。結果、正しく参照できました。

まとめ

今回はEnterprise Plusのみに限定されている機能ですがS/MIMEについてご紹介させていただきました。検証前はもう少し大変なのかなと思っていたのですが、実際にやってみたら拍子抜けするくらい簡単でした。今回検証で一番の苦労したのは、S/MIMEの設定ではなく証明書の手配でした。

実務において採用（人事）やIRなど不特定の外部ユーザとやりとりがあるメールアドレスは偽装されるリスクがついて回ってしまいます。悪意を持ったユーザが人事やIRを語ってフィッシングを働いたなんていうようなことが起こった場合、ご自身に非はないものの少なからず影響を受けてしまう可能性がございます。

全社員に適用するというのはコスト面においても難しいと思いますが、お金や契約ごとを扱うなど特に偽装や改ざんされたら困るというような情報を扱うメールアドレスだけでもリスク回避のためデジタル署名をしておくというような使い方は有効なのではと思いました。

Enterprise Plusをご利用中のお客さまでしたらせっかく使える機能ですのでぜひご活用頂いてメールの安全性を高めていただければと思います。

本記事がお役に立てば幸いです。最後まで読んでいただきありがとうございました。