会社でS/MIMEをスモールスタートする方法

企業や組織で使用しているメールアドレスは、基本的に情報システム部門の管轄であるため、簡単にはS/MIME化できないと考えている方が多いのではないでしょか?S/MIMEは、決して組織全体で始めないとできないというものではありません。一人一人がS/MIME化を始めるスモールスタートを行うことが可能です。自らS/MIME化を始めることで、組織全体、ひいては社会全体のS/MIME化に貢献することができます。ぜひ、一人一人が先陣を切ってS/MIME化を行い、それを周りに広めていき同士を増やしていきましょう!

以下、スモールスタートの手順です。

  1.  事前準備
    • メールソフト(Outlook, Thunderbird等)の利用を認めているか?
      S/MIMEは、ウエブメールではサポートされていないのがほとんどです。したがって、POPSあるいはIMAPSを使ってメールソフトでメールの処理を行う必要があります。まず、IT部門に確認し、自分が会社で使用しているPCやスマホでメールソフトの利用が認められているか、また、POPS/IMAPSの使用が認められているかを確認します。 あるいは、Gmailを使用している場合には、Google Workplaceの有償版を使用しS/MIMEが利用可能であるかを確認します。
    • メールサーバーで、送受信メールに特殊な処理を行っていないかどうか?
      会社によっては、メールサーバーにおいて、添付ファイルを削除したり、電子署名を削除したり、また、メールそのものを書き換える(送信前にメールにフッター情報を追加するなど)を行っています。これが行われていると、送信メールの完全性がなくなったり(電子署名が無効になってしまう)、S/MIME用の電子証明書が正しく扱われなかったり、場合によっては、メールが未達になったりします。IT部門に確認し、メールサーバーで何か操作を行っているかどうかを確認します。
    • メール利用ポリシーの確認
      会社のメール利用ポリシーで、明確にS/MIMEの利用が禁止されている場合があります。ポリシー違反をすることはできないので、ここも要確認事項になります。
  2. 組織の関係者への連絡と合意の取り付け
    組織のメールアドレスに対するS/MIME化を始めるとしても、関係者への連絡、合意は必要になります。以下の点をまず行ってください。
    • 上司にS/MIMEを使用したい旨の連絡および承認の取りつけ、S/MIME証明書購入の承認(稟議)を行います。
      「S/MIMEって何?」と聞かれたら、このウエブページの内容や、3の内容を参考にして説明を行ってください。また、自分のメルアドのみに証明書を付与するだけなので、組織や他の人には迷惑をかけないことを説明します。
    •  IT部門に連絡し、S/MIME利用の許可を得ます。あくまで、メールソフトでの証明書付与だけなので、組織のメールサーバ等には影響を与えない旨説明します。
    • IT部門と話をするときに、組織の正式名称および英語の名称を確認し合意を取ります。今後、同じ組織の他の人がS/MIME利用を始める時に、認証機関に登録する組織名に違いが出ないように、あらかじめIT部門と調整しておきます。
  3. 上司およびIT部門に説明する時の内容(参考)
    上司およびIT部門に了解を取る時の説明として、以下の内容を含めれば良いと考えます。 あくまで参考です。
    • S/MIME化は、送信メールの真正性を示すものであり、そのメールの受信者は、そのメールを送っているのが送信者本人であることを証明します。したがって、受信者にとっては、なりすましメールでないことを電子証明書を確認することでできますので、Emotet等の問題の解決につながります。これにより、当社が情報セキュリティのレベルの高さを保っており、信頼できる会社であることを相手方に示すことができます。
    • S/MIMEで電子証明書を付与するのは、自分のメールアドレスだけであり、これが付与されていることで、IT部門やほかの人に迷惑をかけることはありません。
    • メールの受信者にとっては、電子証明書が付与されていてもされていなくても特段違いはありません。したがって、電子証明書が付与されたメールを送信することで、相手方からクレームが来ることはありません。
    • もし、S/MIMEの利用により問題が発生した場合には、メールソフトの設定で送信メールに電子証明書を付与しないようにできます。したがって、問題が発生すれば、すぐに使用を停止できます。
  4.  証明書発行機関から電子証明書を購入
    次に、電子証明書を購入して設定します。なお、購入にあたっては、以下の2点を注意してください。
    • 組織、法人として申請します(1つのメルアドであっても、組織のドメインでの申請となるので、申請は組織として行う)
    • l組織、法人としての本人証明の提出(機関によって提出書類は違ってきますので確認してください)を行います。これが本人確認になります。
  5. 証明書発行機関から送られてくる証明書をメールソフトに登録します。
    メールソフトで電子証明を付与するための設定を行います。設定方法は、メールソフトごとに違います。詳細はこちらのウエブページを参照してください。

以上です。