このメールは自動的に消滅する

SCO と Microsoft の間での活動資金提供を裏付ける文書が内部リークしたとする 「ハロウィーン文書 X」が公開された。
文書の元となった電子メールが捏造されたもので無いことは確認されたとのことだが、 内容の真偽は定かではない。

この件に関する一連の報道を読んでいる中で気になることがある。
それは「(匿名希望または本当に不明の)何者かによってリークされた電子メール」という表現がしばしば見られることだ。

電子メールをリークするのは誰だ

さて、この「何者」はどのようにして問題の電子メールを手にしたのだろうか。

  • 通信設備に侵入し通信回線を盗聴したのだろうか?
  • それともインターネットからサーバに侵入しメールボックスを漁ったのだろうか?
  • はたまた、このような行為を憂うメールサーバ管理者が権利を濫用して、問題の電子メールを複製したのだろうか?

そのような行為も可能だったのかもしれない。 しかし、今回は別の可能性を考えてみたい。 それは、IT
技術を用いることなく、この電子メールの受信者の一人がメールをリークした可能性である。
つまり、何のことは無い、受信者の一人が、メールを第三者にフォワードしただけの可能性である。

*ハロウィーン文書 X
で引用されている電子メールの受信者は To: と Cc: の二名だけのようなので、
この可能性は薄いように思われるが、リークした際に他の受信者が削られたのかもしれない。

電子メールのプライバシー(秘密)が送信者と受信者の共有財産(共に守るべきもの)であれば、
双方ともに十分な配慮が行なわれることが期待できるが、送信者にとって重要な情報でも、 受信者にも同じ程度重要とは限らない。
このような場合、受信者側の配慮が不十分なことになることが予想される。

ここでは、送信者のプライバシーを受信者に守らせる方法を考えたい。

高度な技術対策

暗号技術を単に使うだけでは、電子メールのプライバシーは守りきれない。
受信した暗号メールを復号したまま保存し、ファイルサーバに保管するなどすれば、
第三者がメールの内容を読みとることが可能となってしまう。

暗号メールの運用方法を強制する方法としては、ドキュメントにセキュリティポリシーを付随させる技術がある。
この種の技術としてマイクロソフトが導入を進めている Microsoft Rights Management Services などがある。
情報のプライバシーを守る技術として包括的なものであり、 (運用次第だが)情報を守るという観点からは、これ以上のものは無いだろう。
価値が極めて高い情報を電子メールでやりとりする場合には、
少々おおげさに思えるが、このようなシステムを導入を検討する必要がある。

この電子メールは自動的に消滅する

そこまで大がかりなシステムを導入する余裕は無いということであれば、
単純な考えともいえるが、受信者がメールを読んだら直ちに消してしまう、一度しか読めないようにすることで、
プライバシーを守る方法が考えられる。 往年のスパイ大作戦では、
証拠を残さないように作戦指示のテープが再生終了すると白煙と供に消えてしまうのが
常套手段とされていたが、あれの電子メール版が出来れば良い。

*このようにしても、読んだ時にメモをとる、超記憶力を発揮する、画面をデジタルカメラで撮影する、ディスプレイ出力を録画する、
などなど、情報を保存することは可能である。 とはいえ、その対策は記憶を消すことになってしまう。

この種の技術として、実際に使えるものは次の表のようなものがある。

■サーバ保管方式
方式 特徴(送信者から見たメリット)
メールは専用サーバに保管される。 受信者にへアクセス用 URL を記載したメールが送られる。
受信者は専用サーバにアカウントを作成し、アクセス用 URL へアクセスする。
○メール自体が受信者に配付されない
×閲覧にウェブ環境が必要
×メール一通ごとに費用が発生する
■専用ビューワ方式
方式 特徴(送信者から見たメリット)
独自形式のファイルに変換され、添付ファイルとして送信される。 受信者はビューワを別途インストールする。
ビューワは、指示された閲覧回数以上はファイルを開かないようにする。
○独自形式なので細かい調整が可能
×環境(OS)が限定される
■メイラー拡張方式
方式 特徴(送信者から見たメリット)
メールを暗号化して送信。 暗号鍵は専用サーバ上に保管する。 Outlook
などにプラグインを組込み、このプラグインから鍵を要求する。 鍵は指定の回数の読み出しまたは指定の日数が経過するとサーバ上から削除され、
以降はメールを復号することができなくなる。
○実装次第で通常の暗号メールと同じ扱いが可能
×環境(メイラー)が限定される
×メール一通ごとに費用が発生する

大きく分けると、添付ファイルを利用する、ウェブメールにするといった、
電子メール技術にこだわらず、メッセージを伝えるという割切りで考えられたものと、 S/MIME
などの電子メール技術でやりくりしようというものに分類される。

標準に準拠することの利点はいうまでも無く、S/MIME 対応の実装があれば、
対応アプリケーションの数からいってメイラー拡張方式がベストと考えられる。 他のメールと扱いが同じであることは、
消去の対象となるメールが毎日のように発生するという場合にも有利である。

とはいえ、筆者自身がここ数ヶ月というもの、 メイラーの移行に散々悩まされた経験から、
(種類からすると)一部のメイラーを強制することになる策には賛成しかねる。

*そうはいっても、セキュリティポリシーを策定するのであれば、メイラーは指定すべきと考えている。
少なくとも2、3種類に限定すべきであろう。

専用ビューワ方式は、ビューワでの文書保護が強力であれば、 かなりのセキュリティレベルが達成できると考えられる。
しかし、他の実装でもしばしば問題になるが、 独自文書形式のセキュリティが一旦破られると、過去のすべての情報が危険となり、
もはや発信者からは管理不可能となる。

文書ファイルそのものを受信者に渡さないという点から、サーバ保管方式にも利点がある。
ウェブからの閲覧になってしまうのは、利便性の点でいま一つだが、 筆者としては、この方式を推奨したい。

*と、書いているところに 政治資金収支報告書及び政党交付金使途等報告書公開 のニュースが目に入った。 「ご利用上の注意」を読む限りでは、
コンテンツの複製、印刷を禁止する専用ビューワのことらしい。

電子メールを守るのは誰だ

電子メールは情報を保護するようには作られていない。 しかし、電子メールがビジネスの情報流通に使われている現状は否定できず、
危ないという理由だけで電子メールを使わないという選択肢は選べない。

本稿で述べたように電子メール自体を消したとしても、情報自体は消えない。
いったん手元を離れた情報が独り歩きすることを制限することは技術だけでは難しい。

情報漏洩の起点とならないように、情報の機密レベル(資産価値)を正しく判断し、
誰と誰に伝えて良いのか(アクセスレベル)を検証することを常に念頭においておきたい。