幅広い人気を誇るGoogleのメールサービスであるGmailを、業務で安全に使用することはできるでしょうか。簡単に答えるなら、少なくともほとんどの人は安全に使えます。しかし、Gmailが業務上の選択肢として適切でない環境もあるのです。
Gmailは、既定の設定ではかなり強固なセキュリティになっています。ユーザーがGmailで目にするデータは、実際には業界標準の128ビット暗号で暗号化されています。また、GoogleがユーザーにGmailデータを送信する際は、同じく業界標準のTransport Layer Security(TLS)1.1が使用されます。ユーザーの側では、暗号化されたデータが暗号化ハッシュ関数SHA1によって認証され、最終的に鍵交換アルゴリズムECDHE_RSAによって復号されます。
複雑な話に聞こえるでしょうか。それは暗号についての話をしているからで、日常的に数学の問題に触れていない人にとって暗号は非常に複雑なものだからです。しかし簡単に言えば、GoogleはGmailの情報を暗号化された形式で送信し、その鍵を持つのも復号できるのもユーザーだけ、ということです。
そのためほとんどの人は、安全なマシンで強力なパスワードを使用し、特に Googleの2段階認証機能を有効にしていれば、Gmailを仕事で十分安全に使用できると言えます。
広く懸念されているのは、Googleがより関連性の高い広告を配信するために、Gmailアカウントやメッセージのコンテンツに無人の自動スキャンを実行していることです。したがって、理論的には、攻撃者が標的ユーザーの利用状況に基づくWeb広告や、そのユーザー向けにパーソナライズされた検索結果ランキングを観察するだけで、標的の仕事について非常に多くの情報を得ることが可能になります(その人物が仕事にGmailを使用している場合)。このような攻撃が実際に起こっているかどうかはほとんど知られていませんが、可能であることは確かです。そのため、仕事の機密性が非常に高く、他人に仕事の内容を知られるわけにはいかない人には、Gmailの業務利用はおすすめできません。
感染したマシンと偽のデジタル証明書によって、送信されるGmailデータを傍受することは、技術的に可能です。また、Googleの年次の透明性レポートを見る限り、Googleが検察などの政府機関からの情報開示要求にこれまで応じてきたこと、そして現在も応じていることに疑いの余地はありません。
ユーザーは自分がGmailでどんなやりとりをしているのかを精査し、Gmailを業務に使用して問題ないかを自分自身で判断しなければなりません。反体制派の活動家として働いている人や、国民を積極的に監視することで知られる国で、政府の利益に反する活動に従事している人なら、Gmailの使用を避けるはずです。政府 Googleを召還してGmailの情報を要求することがあり、Googleはそれに従うしかない場合もあります。政府には、Gmailの暗号をクラッキングするのに必要な資金やリソースもあり、(先に述べたように)証明書を偽造して、実質的にGoogleになりすます能力を得て、中間者攻撃を実行することもできます。
多くのエキスパートは、イランが国家として支援するハッカーが昨年、自国民をスパイできるようにするために、オランダの認証局(CA)であるDiginotarに侵入したと考えています。実際にそうだったのか確かなことは誰にもわかりませんが、このCAや数年前に起きたComodoという別のCAへの侵入は、こうした脅威が間違いなく実在することを示しました。このような攻撃に国家が関与していなかったとしても、誰か関わった人物はいます。認証局から情報が漏えいしたということは、ほぼ間違いなく、誰かが誰かに(あるいは何かに)なりすましているということです。また、一部のユーザーが知らず知らず、本人であると偽ったソースにデータを送信したり、そうしたソースからデータを送信したりしていることも意味します。
以上の情報を総合すれば、政府に知られたくない仕事や、政府が賛同していない仕事をしているユーザーは、その仕事が明らかに悪質な種類の行動主義かどうかにかかわらず、業務にGmailを取り入れるべきではない、ということになります。しかし、もっと一般的なレベルの話でも、非常に機密性の高い情報や価値のある情報を定期的に扱っているなら、Gmailや他のクラウドストレージのメールシステムは使いたくないと思うはずです。なぜなら、価値ある情報はマニアや犯罪者、国が支援するハッカーなどが積極的に狙っているからです。
もちろん、どんな仕事の人でも、Gmailアカウントの漏えいや通信を監視されることを望んではいません。それでも業界にかかわらず業務でGmailを使いたいという人もいるでしょう。そこでいくつか提案があります。
Gmailアカウントにアクセスして使用する際は、必ず総合的なセキュリティソリューションを備え十分に保護されたPCを使用してください。繰り返しますが、Googleの2段階認証機能を利用することは極めて重要です。この機能はアカウント乗っ取りを防ぐことに効果があります。また、コンピューターを離れる際は、少しの間PCを離れるときでも、必ずログアウトしてください。世界のどんなセキュリティ製品も、悪意のある転送ルールを防ぐことはできません。いつものように、ブラウザーやOSは最新のパッチを適用して最新の状態にしておきましょう。安全でないネットワーク(特に暗号化されていない公衆Wi-Fi)は使用しないでください。