メールやその他のクラウドサービスにおけるエンドツーエンドの暗号化は、ますます普及しています。メールがサイバー攻撃の最も主要な2つの攻撃経路の1つであることを考えると、これは驚くべきことではありません。
Verizonの2022年版データ漏洩調査報告書によると、影響を受けたハードウェア全体の28%がメールサーバーで、ランサムウェア活動の35%はメールに関連していました。EUサイバーセキュリティ機関の2022年版報告書によると、ランサムウェアによるデータ盗難は毎月10テラバイトに達し、企業の60%が身代金を支払った可能性が高いとされています。2021年にガートナーが実施した調査(2022年版)によると、ランサムウェア攻撃の約40%はメールから始まっているとのことです。
これらの課題に対処するため、Google、Microsoft、そして安全な電子メールの先駆者であるProton Mailサービスを提供するProtonの3社は、エンドツーエンドの暗号化サービスの拡大に着手した。
ジャンプ先:
- GoogleとMicrosoftの新しいメール暗号化
- プロトンの新しいアプリケーション
- プロトンの長期戦略:暗号化されたエコシステム
GoogleとMicrosoftの新しいメール暗号化
Googleは先月のブログ投稿で、ウェブ版Gmail向けのクライアントサイド暗号化サービスのベータ版を発表しました。Google Workspace Enterprise Plus、Education Plus、Education Standardのお客様は、2023年1月20日までベータ版へのお申し込みが可能です。
Googleは、Google Workspaceに保存されているデータと施設間で転送されるデータをすべて暗号化していることに言及し、クライアント側の暗号化は「データの機密性を強化すると同時に、幅広いデータ主権とコンプライアンスのニーズに対応するのに役立つ」と述べた。
Google によると、クライアント側の暗号化は、Google ドライブ、Google ドキュメント、スプレッドシート、Google スライド、Google Meet、Google カレンダーですでに利用可能とのことです。
Googleによると、メッセージにクライアントサイド暗号化を追加するには、ロックアイコンをクリックして追加の暗号化オプションを選択するだけで済みます。添付ファイルの作成と追加は通常の操作と同じです。
2019年に最後にメッセージ暗号化を更新したマイクロソフトは、昨年4月にWindows 11の新リリースでセキュリティアップデートが提供されることを発表し、フィッシングとマルウェアの脅威の両方に対処すると報じられた。
もしそうであれば、MicrosoftはOffice 365 Message Encryptionで現在Transport Layer Security(TLS)暗号化を使用しているため、エンドツーエンドの暗号化も組み込む可能性が高いでしょう。Microsoftは、このサービスにより、Office 365、Office 365以外のメールアプリケーション、Gmail.comやOutlook.comなどのWebベースのメールサービスを利用して、社内外の受信者宛てのメッセージを暗号化し、権限を保護できると説明していますが、E2EEほど効果的にフィッシングやマルウェア攻撃を防ぐことはできません。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
プロトンの新しいアプリケーション
Googleの発表は、2013年にスイスのジュネーブでCEOのアンディ・イェン氏が立ち上げた暗号化クラウドストレージプラットフォーム「Proton」の発表に続くものです。同社は昨秋、モバイルデバイスに重点を置いた暗号化サービスを拡大し、安全なクラウドストレージや安全なカレンダー機能などを提供し、iOSとAndroidの両方のデバイス向けアプリも提供しています。
プロトンドライブ
Proton Drive は、9 月下旬に無料の暗号化クラウド サービスとして利用可能になり、12 月に iOS と Android 向けにリリースされました。Proton Drive を使用すると、ユーザーは携帯電話間でファイルを安全にアップロード、保存、共有できます。
プロトンドライブ社によれば、
- アップロードされたファイルは、Proton サーバーに保存される前に、ユーザーのデバイス上で暗号化されます。
- ファイルやフォルダーの名前、ファイル拡張子、ファイル サイズ、サムネイルなどのメタデータを暗号化します。
- ファイルの有効期限と表示用パスワードが含まれており、Proton ユーザー以外のユーザーと安全に共有できます。
プロトンによれば、昨年9月にプロトンドライブがリリースされて以来(ベータ版には50万人以上のユーザーが参加)、1日平均100万件のファイルがアップロードされており、そのうち約半分が写真だという。
個人ユーザー向けに、Proton は 1GB のクラウド ストレージを備えた暗号化ドライブの無料レベルと、有料で 2 つの追加レベルのサービスを提供しています。200GB のストレージを備えた Drive Plus は月額 4.99 ドルまたは年額 47.88 ドル、500GB の Proton Unlimited は月額 11.99 ドルまたは年額 119.88 ドルです (図 A )。
図A
同社はエンタープライズユーザー向けの価格帯も開始しました。
| 特徴 | メールの基本 | プロトンビジネス |
|---|---|---|
| 価格 | ユーザーあたり月額7.50ドル | ユーザーあたり月額11.70ドル |
| ストレージ | ユーザーあたり15 GB | ユーザーあたり500 GB |
| カスタムメールドメイン | 3 | 10(エイリアスは無制限) |
| VPN | 1個無料 | 10個無料 |
専用のマネージャーと無制限のストレージが含まれるカスタム価格層もあります。
参照: Facebook Messengerでエンドツーエンド暗号化を有効にする方法(TechRepublic)
陽子カレンダー
プロトンは、2022年4月にAndroidとウェブ向けにリリースした後、12月にカレンダーiPhoneアプリをリリースしました。プロトンによると、新しいアプリは次のようになります。
- Proton Mailと統合し、ユーザーは受信トレイを離れることなく招待状を管理したり、カレンダーにイベントを追加したりすることができます。
- エンドツーエンドの暗号化に加え、楕円曲線暗号(ECC Curve25519)を使用してデータとスケジュールを保護します。
- 招待はブラインド暗号化されるため、Protonは参加者の身元を把握できません。これにより、参加者の匿名性が大幅に向上します。
- ウェブ アプリと同様にオープン ソースであり、独立監査が行われ、検査用のコードが公開されています (図 B )。
図B
プロトンの長期戦略:暗号化されたエコシステム
広報担当者は、このカレンダーは本格的なプライバシーエコシステムを構築するというより大きな戦略を表していると述べた。
「暗号化サービスへの需要は非常に大きく、だからこそ7000万人以上がプロトンのような民間サービスに登録している。これは監視資本だけがテクノロジー業界で機能するビジネスモデルではないことを証明している」と広報担当者は語った。
同社はAtlasVPN、Nord、Express、HIDEmeなどと競合するProton VPNも提供しており、広報担当者によると、Protonカレンダーを作成した理由は2つあるという。第一に、カレンダーは機密性の高い時間や場所のユーザーデータを保管するものであるため、脅威の標的となる。第二に、これはProtonのより大規模なセキュアクラウドサービス戦略の一部である。
「プライバシーに関しては、Protonは現在最も包括的なエコシステムです」とYen氏は述べた。「GoogleやAppleの製品で、これほど包括的なものはありません。なぜなら、両社の暗号化サービスは限定的だからです(例えば、Googleのメール暗号化はビジネスユーザーのみ利用可能です)。」
競合他社との主な違いはビジネスモデルとビジネス慣行であると彼は主張した。
「スイス企業であるプロトンは、米国の監視法や監視慣行の対象ではありません。また、強力な広告事業を展開するグーグルやアップルとは異なり、プロトンの事業はプライバシー保護のみです」と彼は述べた。「したがって、ユーザーのプライバシーに関しては、利益相反はありません。」
2023年の課題に立ち向かうには、IT部門向けのサイバーセキュリティトレーニングが鍵となります。メールによる脅威、マルウェア、ソーシャルエンジニアリング、ボットネット、そして急速に拡大する脅威環境におけるその他の新たな攻撃などが挙げられます。チームを強固な基盤の上に築き上げたい方は、CompTIA Cyber Security & PenTest Super Bundle 2022 Completeをこちらからダウンロードしてください。
