Gmail を仕事で使っても大丈夫?

2013年4月30日

幅広い人気を誇る Google のメールサービス Gmail を、業務で安全に使用することはできるでしょうか。簡単に答えるなら、少なくともほとんどの人は安全に使えます。しかし、Gmail が業務上の選択肢として適切でない環境もあるのです。

gmailの業務利用-title

Gmail は、既定の設定ではかなり強固なセキュリティになっています。ユーザーが Gmail で目にするデータは、実際には業界標準の 128 ビット暗号で暗号化されています。また、Google がユーザーに Gmail データを送信する際は、同じく業界標準の Transport Layer Security(TLS)1.1 が使用されます。ユーザーの側では、暗号化されたデータが暗号化ハッシュ関数 SHA1 によって認証され、最終的に鍵交換アルゴリズム ECDHE_RSA によって復号されます。

複雑な話に聞こえるでしょうか。それは暗号についての話をしているからで、日常的に数学の問題に触れていない人にとって暗号は非常に複雑なものだからです。しかし簡単に言えば、Google は Gmail の情報を暗号化された形式で送信し、その鍵を持つのも復号できるのもユーザーだけ、ということです。

そのためほとんどの人は、安全なマシンで強力なパスワードを使用し、特に Google の 2 段階認証機能を有効にしていれば、Gmail を仕事で十分安全に使用できると言えます。

広く懸念されているのは、Google がより関連性の高い広告を配信するために、ユーザーの Gmail アカウントやメッセージのコンテンツに無人の自動スキャンを実行していることです。したがって、理論的には、攻撃者が標的ユーザーの利用状況に基づく Web 広告や、そのユーザー向けにパーソナライズされた検索結果ランキングを観察するだけで、標的の仕事について非常に多くの情報を得ることが可能になります(その人物が仕事に Gmail を使用している場合)。このような攻撃が実際に起こっているかどうかはほとんど知られていませんが、可能であることは確かです。そのため、仕事の機密性が非常に高く、他人に仕事の内容を知られるわけにはいかない人には、Gmail の業務利用はおすすめできません。

安全なマシンで強力なパスワードを使用し、特に Google の 2 段階認証機能を有効にしていれば、Gmail を仕事で十分安全に使用できると言えます。

感染したマシンと偽のデジタル証明書によって、送信される Gmail データを傍受することは、技術的に可能です。また、Google の年次の透明性レポートを見る限り、Google が検察などの政府機関からの情報開示要求にこれまで応じてきたこと、そして現在も応じていることに疑いの余地はありません。

ユーザーは自分が Gmail でどんなやりとりをしているのかを精査し、Gmail を業務に使用して問題ないかを自分自身で判断しなければなりません。反体制派の活動家として働いている人や、国民を積極的に監視することで知られる国で、政府の利益に反する活動に従事している人なら、Gmail の使用を避けるはずです。政府は Google を召還して Gmail の情報を要求することがあり、Google はそれに従うしかない場合もあります。政府には、Gmail の暗号をクラッキングするのに必要な資金やリソースもあり、(先に述べたように)証明書を偽造して、実質的に Google になりすます能力を得て、中間者攻撃を実行することもできます。

多くのエキスパートは、イランが国家として支援するハッカーが昨年、自国民をスパイできるようにするために、オランダの認証局(CA)である Diginotar に侵入したと考えています。実際にそうだったのか確かなことは誰にもわかりませんが、この CA や数年前に起きた Comodo という別の CA への侵入は、こうした脅威が間違いなく実在することを示しました。このような攻撃に国家が関与していなかったとしても、誰か関わった人物はいます。認証局から情報が漏えいしたということは、ほぼ間違いなく、誰かが誰かに(あるいは何かに)なりすましているということです。また、一部のユーザーが知らず知らず、本人であると偽ったソースにデータを送信したり、そうしたソースからデータを送信したりしていることも意味します。

以上の情報を総合すれば、政府に知られたくない仕事や、政府が賛同していない仕事をしているユーザーは、その仕事が明らかに悪質な種類の行動主義かどうかにかかわらず、業務に Gmail を取り入れるべきではない、ということになります。しかし、もっと一般的なレベルの話でも、非常に機密性の高い情報や価値のある情報を定期的に扱っているなら、Gmail や他のクラウドストレージのメールシステムは使いたくないと思うはずです。なぜなら、価値ある情報はマニアや犯罪者、国が支援するハッカーなどが積極的に狙っているからです。

もちろん、どんな仕事の人でも、Gmail アカウントの漏えいや通信を監視されることを望んではいません。それでも業界にかかわらず業務で Gmail を使いたいという人もいるでしょう。そこでいくつか提案があります。

Gmail アカウントにアクセスして使用する際は、必ず総合的なセキュリティソリューションを備え十分に保護された PC を使用してください。繰り返しますが、Google の 2 段階認証機能を利用することは極めて重要です。この機能はアカウント乗っ取りを防ぐことに効果があります。また、コンピューターを離れる際は、少しの間 PC を空けるときでも、必ずログアウトしてください。世界のどんなセキュリティ製品も、悪意のある転送ルールを防ぐことはできません。いつものように、ブラウザーやオペレーティングシステムは最新のパッチを適用して最新の状態にしておきましょう。安全でないネットワーク(特に暗号化されていない公衆 Wi-Fi)は使用しないでください。