電子メール処理プログラム
【課題】電子メールの融通性を損なわず、送信者の負担が少なく且つ高い安全性を備えた電子メール送信プログラムを提供する。
【解決手段】メーラーとメールサーバの間に設けたセキュアプロキシで、メーラーから送信された電子メールについて、電子メールの送信先、メール内容(例えば本文に含まれるキーワード若しくは添付ファイルの有無)及び送信途中の安全性について解析、評価し、その評価結果をメーラーが搭載されている端末に出力し、当該端末からの応答に基づき送信可否、暗号化要否を決定して、メーラーからの送信メールをメールサーバに中継する。
【解決手段】メーラーとメールサーバの間に設けたセキュアプロキシで、メーラーから送信された電子メールについて、電子メールの送信先、メール内容(例えば本文に含まれるキーワード若しくは添付ファイルの有無)及び送信途中の安全性について解析、評価し、その評価結果をメーラーが搭載されている端末に出力し、当該端末からの応答に基づき送信可否、暗号化要否を決定して、メーラーからの送信メールをメールサーバに中継する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子メールの送信者による誤操作、誤設定に起因する電子メールの誤送信を防止し、さらに当該電子メールに対して安全な送信が確保されるか否かを電子メールの送信者が容易に確認可能とする技術に関する。
【背景技術】
【0002】
電子メールの利用が普及されるのに伴い、各種業務での情報交換手段として活用され、電子メールにより重要な機密情報がネットワークを経由して授受されるケースも増加している。その一方で、通信路上での電子メールの盗聴、改ざん、操作者による送信先の誤設定、添付ファイルの指定誤りなどのうっかりミスによる重要な機密情報の漏洩事故も増加している。
【0003】
電子メールの通信路上での盗聴、改ざんに対しては、電子メールをメーラーやメールサーバで暗号化して送信する技術が提供されている。特に、特許文献1では、メーラーや、メールサーバで送信メールを暗号化する場合、送信者側と受信者側で同じ暗号方式が実現されているメーラー、メールサーバを用意しなければならないといった問題点を、メーラーとメールサーバの間に暗号/復号処理機能を備えた暗号処理プログラムを配置することにより解決し、メーラ間で電子メールを暗号化/復号化しネットワーク経路上での盗聴や改ざんを防止できる電子メールの暗号化技術が提供されている。
【0004】
一方、電子メールの送付先のメールアドレス入力時の文字入力ミスで誤った送付先に送信してしまったり、アドレス帳から選択送付先を選択する場合に異なる送信先を選択して送信してしまうなど、送信者の不注意から機密としたい情報が意図しない相手に送信される事故防止についてもいくつかの対策が公開されている。
【0005】
例えば、送付先として適切或いは不適切なドメイン名、メールアドレスを予めメーラー又はメールサーバに登録しておき、入力された送信先メールアドレスと登録してあるメールアドレス或いはドメイン名との比較結果に基づき当該電子メールの送信可否を判定する技術が知られている。
【0006】
この技術では、メールアドレスのチェックが画一的となり、送信内容、目的に応じてその都度許可条件(ドメイン名、アドレスなど)をメーラーやメールサーバに登録しなければならず、送信者にとって負担が大きい。また、添付ファイルや本文内容と送信先との関係や通信路上の安全性についての重要性の程度などについての確認が十分ではない。
【0007】
さらに、送信者が送信先、送信内容を入力するメーラー側で、入力された電子メールの送信先、添付ファイルの状況などを解析、評価し、その結果により、送信者に警告を出すなどして誤送信を防止する技術も提案されている。(例えば、下記特許文献2を参照。)
【特許文献1】特開2005−107935号公報
【特許文献2】特開2004−302693号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかし、これらの技術では、現在使用しているメーラーの修正、取替えが必要であったり、添付ファイルのファイル名に特定のキーワードの設定が必要となるなど利用者にとっての負担が大きかった。
【0009】
また、他の技術では、メールサーバがメーラーから送信メールを受信し、添付ファイルが添付され且つ所定の送付先(例えば、社外のドメイン名)が指定されている場合には、電子メールの送信元となっているメールアドレス宛に、メールサーバで××宛ての電子メールの送信が保留されている旨を通知し、送信元の利用者が所定のサイトにアクセスして送信可否を指示させる商品も提供されている。この商品を利用する場合には、利用者はメーラーの修正、取替えは不要となるが、所定の送付先に添付ファイル付きの電子メールを送信しようとする度に、メールサーバからの確認処理に応答しなければならず、送信時の操作が煩雑となり、メールサーバからの確認通知を見落とすと、送信したと思った電子メールがメールサーバに保留され、送信先とのトラブル原因ともなる。
【0010】
本発明は、従来技術が有する上記のような問題点に鑑みてなされたものであり、既存のメーラー及びメールサーバを変更せずに、送信者にメールの送信先、暗号化可否、添付ファイルの有無等送信の安全性を効率よくまた確実に確認させた後に、メールサーバに電子メールを送信するようにした電子メール処理プログラムを提供することにある。
【課題を解決するための手段】
【0011】
上記目的を達成するため、本発明の電子メール処理プログラムは、メーラーから出力された電子メール(送信メールともいう)を入力し、送信先アドレス、件名、電子メール本文、添付ファイルなど電子メールの各要素について解析し、所定の期間内の送信先アドレスの履歴などから、送信先に関する観点(送信先の信頼性、誤送信の可能性など)、メール内容に関する観点(添付ファイルの有無、特定キーワードの存在など)及び送信途中の安全性(送信先毎の暗号化可否)を評価し、その評価結果を前記送信メールが作成されたメーラーが動作している端末装置に出力し、全ての送信先について送信の指示が入力された場合に、前記メーラから受信した送信メールを送信先に応じて暗号化処理してメールサーバに送出する処理をセキュアプロキシに行わせることを特徴とする。
【発明の効果】
【0012】
本発明によれば、送信先アドレスの入力ミスやアドレスの選択誤り、誤送信を多方面から評価・確認できるとともに、メールの内容、送信の目的などに容易に適合した送信処理を行うことができる。
【0013】
また、本発明によれば、送信先、メール内容、送信途中の安全性といった複数の観点およびこれらの組合せによる評価を総合的に行った結果も出力することも出来、その場合には、操作者に送信の危険度の高さに応じて、確認の重要性を警告することができる。
【0014】
さらに、メール本文内容と添付ファイルの関連性を評価することにより、送信先に送信されてしまう前に、添付ファイルの添付漏れを送信者に出力することもできる。
【発明を実施するための最良の形態】
【0015】
以下、図面を参照して本発明の実施の形態について説明する。
【0016】
図1は本実施の形態における電子メール配信システムの概要構成を示す図である。図1に示すように、本実施の形態における電子メール配信システムは、利用者が電子メールの送受信のために利用するメーラー1と、メールサーバ2(SMTPサーバソフトウェア及びPOPサーバソフトウェアを含む)との間に電子メールセキュアプロキシ(単に「セキュアプロキシ」ともいう)3を備えた構成をとる。
【0017】
なお、SMTP(Simple Mail Transfer Protocolの略)は、電子メールを送信するためのプロトコルであり、メールサーバ装置間での電子メールの授受や、クライアント端末がメールサーバ装置にメールを送信する際に用いられるプロトコルである。POP3(Post Office Protocol version3の略)は、電子メールを保存しているメールサーバからクライアント端末で電子メールを受信するためのプロトコルである。
【0018】
セキュアプロキシの利用にあたり事前準備として、メール送信の処理を行う前に、メーラー1では、メールサーバ(SMTPサーバ、POP3サーバ)のアドレス情報をセキュアプロキシ3のアドレス情報に書き換え、メーラー1で設定されていたメールサーバのアドレス情報をセキュアプロキシ3に設定しておくことにより、セキュアプロキシ3がメーラー1とメールサーバ2間の通信をトラップし、中継することができる。そのため、メーラー1の操作者はメールの送受信にあたって、セキュアプロキシ3を導入する前と同じ操作でメーラー1を利用できる。
【0019】
メーラー1から送信された電子メール(単に「メール」ともいう)の送信メッセージはセキュアプロキシ3により暗号化され、暗号化された電子メールがメールサーバ2により外部ネットワーク4に送信される。また、外部ネットワーク4から受信した暗号化された電子メールは、メーラー1からの要求によりメールサーバ2からセキュアプロキシ3に送信され、セキュアプロキシ3により送信メッセージの復号が行われ、送信メッセージが平文となった電子メールがメーラー1に送信される。メーラー利用者及びメールサーバ管理者は既存のメーラー、メールサーバをそのまま利用できる。また、セキュアプロキシ3と送信/受信相手側のセキュアプロキシとの間ではメールサーバ内を含めて電子メールが暗号化された状態で伝送されるため送信途中で第三者、メールサーバ管理者による電子メールの盗聴、傍聴、改ざんを防止できる。
【0020】
本実施の形態における電子メール配信システムは、上記セキュアプロキシの機能を実現する処理を提供する電子メール処理プログラムを、メーラーがインストールされているクライアント端末、もしくは、SMTPサーバソフトウェア及びPOPサーバソフトウェアがインストールされているメールサーバ装置のいずれに実装してもよい。なお、上記のセキュアプロキシを実現するコンピュータを、クライアント端末とメールサーバ装置との間に配置する構成をとることもできる。
【0021】
図2は、セキュアプロキシ3をクライアント端末に実装した場合の構成を示す図である。クライアント端末はメーラー1とセキュアプロキシ3とを備え、メールサーバ装置は、メールサーバ2を構成するソフトウェアであるSMTPサーバ21とPOPサーバ22を備える。また、暗号/復号処理に用いる公開鍵等はセキュアプロキシ内に格納してもよいが、図2のようにネットワークを介してアクセスできる鍵管理サーバ5に格納してあってもよい。
【0022】
なお、メールサーバ装置の構成は、従来のメールサーバ装置の構成と同じである。また、クライアント端末、メールサーバ装置のハードウェア構成は、CPU、メモリ、ハードディスク、通信処理用装置等を備えた一般的なコンピュータの構成と同様の構成である。図2に示す上記のセキュアプロキシ3は、クライアント端末のハードウェアと、クライアント端末で実行される電子メール処理プログラムとで実現されるものである。
【0023】
図1、図2に示すシステム構成においては、SMTP(ポート25番)に従ってメーラー1から電子メールがセキュアプロキシ3に送られ、セキュアプロキシ3において送信メッセージのセキュリティ評価がなされる。
【0024】
送信メッセージでのセキュリティ評価は、メーラーから受信した電子メールの送信先とメール本文、添付ファイルなどを解析し、解析結果とセキュアプロキシ3に蓄積保持されている情報とから評価情報が生成されて、メーラー1が搭載されているクライアント端末に表示されるように出力される。クライアント端末で、表示内容について操作者が個々の送信先毎に確認し、送信可否、送信形態(暗号化送信、平分送信)が入力されると、その内容がセキュアプロキシに送信される。
【0025】
上記では、評価結果についての確認を操作者が行う場合として説明したが、予め評価結果に対応した確認のルールをセキュアプロキシ3またはクライアント端末に設定しておくことにより、操作者を介さずに送信可否の判断をさせることもできる。
【0026】
評価の結果、送信可能と判断された電子メールは件名、本文、添付ファイルなどの送信メッセージについて暗号化がなされる。そして、送信メッセージの暗号化がなされた電子メールはSMTPサーバ21に送信され、SMTPサーバ21から外部ネットワーク4に配信される。SMTPサーバ21が、別のセキュアプロキシにより暗号化された電子メールを外部ネットワーク4から受信すると、電子メールは暗号化された状態でメールスプール23に蓄積される。そして、メーラー1からのPOP(ポート110番)に従ったメール取得の指示により、POPサーバ22がメールスプール23から電子メールを読み出してセキュアプロキシ3に送信する。セキュアプロキシ3は、電子メールの送信メッセージの復号を行って、メーラー1に送信する。
【0027】
セキュアプロキシ3をメールサーバ装置に実装した場合についても、実装位置の相違による通信処理の一部が異なるが、基本動作は上記と同様である。
【0028】
図2においては、送信メッセージが暗号化されている暗号区間を点線矢印で示し、暗号化されていない非暗号区間を実線矢印で示している。図2に示すように、セキュアプロキシ3から外部ネットワーク側では送信メッセージが暗号化されているため、メールサーバ装置内でも送信メッセージは暗号化されており、公衆網(インターネット)上のみならず、メールサーバ管理者による送信メッセージの盗聴、改ざんも困難になる。
【0029】
次に、セキュアプロキシ3の機能構成とその動作について図3を参照して詳細に説明する。
【0030】
図3に示すように、セキュアプロキシ3は、電子メール用プロトコルを用いてメーラ−1、メールサーバ2と通信を行うためのメール送受信部31、メーラ−1から受信した電子メールを解析しセキュリティの危険度を評価する危険度解析評価部32、電子メールのセキュリティ評価結果を出力し、当該電子メールの送信可否を入力する送信可否決定部33、電子メールの暗号/復号処理を行うための暗号処理部34を備え、これら各部は必要に応じて相互通信できるように構成されている。
【0031】
メール送受信部31は、メーラー及びSMTPサーバとSMTPに従った通信を行うためのSMTP通信手段311と、メーラー及びPOPサーバとPOP3プロトコルによる通信を行うためのPOP3通信手段312を有している。また、SMTP通信手段311及びPOP3通信手段312にはそれぞれ受信した電子メールを一時蓄積するための送信メール蓄積手段313、受信メール蓄積手段314を有している。以降では、メーラーからメールサーバに向けて電子メールを送信する場合について説明し、メールサーバ(POP3サーバ)から電子メールを受信する場合の説明を省略する。
【0032】
危険度解析評価部32は、メール解析手段321、危険度評価手段322、危険度評価情報蓄積手段323を有しており、メーラー1から受信し送信メール蓄積手段313に格納されている電子メールのヘッダ情報、本文の内容、添付ファイルなどから当該送信メールの送信先、本文、送信手段(暗号化可否)についてをメール解析手段321で解析し、解析した結果と危険度評価情報蓄積手段323に蓄積されている情報に基づいて、危険度評価手段322で当該電子メールを送信することのセキュリティ面での危険度を評価し送信可否決定部33に出力する。
【0033】
送信可否決定部33は、危険度解析評価部32から受信したメールの危険度評価結果をメーラー1が搭載されているクライアント端末に出力する評価結果通知手段331と、クライアント端末から当該出力した評価結果に対応する電子メールのメールサーバ2への送信可否を受信する送信指示受領手段332とを有する。
【0034】
暗号処理部34は、電子メール本文を暗号/復号化するためのメール暗号/復号手段341、電子署名を施したり署名が正当なものであるか否かを判定するためのメール署名/署名検証手段342を有している。
【0035】
本発明におけるセキュアプロキシ3におけるメール送信処理の動作について、図4のフローチャートを参照して説明する。
【0036】
クライアント端末の利用者は、本発明を適用する前と同様に、メーラー1を用いて平文メールを作成しメーラー上で送信操作を行うと、セキュアプロキシ3のメール送受信部31にメール送信の依頼が受信される(ステップ1)。このときメール送受信部32ではメーラー1から受信した送信メールを送信メール蓄積手段313に保管する。また、メーラー1は、送信依頼に対するメールサーバからの応答待ちの状態となる。
【0037】
メール送受信部31が受信したメールについて、危険度解析評価部32は、送信メール蓄積手段313に蓄積されているメールの送信先アドレス、添付ファイルの有無、本文内容などを解析し、解析結果と予め危険度評価情報蓄積手段323などに保持している情報から、受信した内容で送信することの危険度を評価する(ステップ2)。具体的な評価手段については後記する。
【0038】
送信可否決定部33は、危険度解析評価部32から送信の危険度評価結果を受信すると、送信可否の決定処理を実行する(ステップ3)。
【0039】
決定処理の一例としてクライアント端末に送信危険度評価結果を出力し、応答を待つ処理フローを図5により説明する。送信可否を決定するため、送信危険度評価結果を受信すると(ステップ31)、評価結果通知手段331により、上記の送信危険度評価結果をクライアント端末に出力し(ステップ32)、クライアント端末からの応答を待つ(ステップ33)。このとき、クライアント端末では、送信危険度評価結果を表示画面に新たなウインドウ(例えば、図11)を開いて表示し、利用者に送信の可否等を入力させてもよい。或いは、予め所定のルールを送信可否決定部33あるいはクライアント端末に保持しておき、そのルールと送信危険度評価結果との比較結果に基づき決定することもできる。クライアント端末からの応答結果を受信し(ステップ34)、メールの送信処理を続行する場合には、クライアント端末からの応答結果と対象メール(送信メール蓄積手段へのアクセス情報などメール本文を取り出せる情報であってもよい)を対にして暗号処理部34に処理依頼する(ステップ35)。
【0040】
図6に示すように、クライアント端末で利用者に送信可否を入力させる場合、図11の操作画面例にある様に、利用者に評価結果を提示する時点では、「送信中止」と送信者ごとの評価結果確認チェックボックスだけを入力可能とするなど、確認を省略して送信指示がなされないようにして、利用者による確認を確実にさせ、同報のメールアドレスの個々について送信確認がされたことを送信指示受領手段332で判定し(ステップ341)、判定された後に、対象メールについて暗号化モード(暗号化送信、平分送信、暗号化可能な送信先のみ暗号化して他は平分送信など)の指定を選択できるように表示を更新し(ステップ342)、利用者が次の処理である送信実行指示又は中止の操作に進めるようにもできる。
【0041】
以上のようにして、評価対象のメールを送信すると決定された場合には、暗号処理部34で必要に応じて送信メール蓄積手段に保持されているメールの本文、添付ファイルなどを暗号化し、送信メール蓄積手段313に格納する(図4のステップ4)。
【0042】
暗号化処理を完了したら、送信メール蓄積手段313に保持されているメールをメールサーバ2に送信しメールサーバ2からの応答を待つ(ステップ5)。
【0043】
セキュアプロキシ3は、メールサーバ2からの応答を受信したら、その応答をメーラー1に中継し、後記する危険度評価情報蓄積手段323における送信履歴情報など送信結果に関するする情報を更新して送信処理を終了する(ステップ6)。
【0044】
上記ステップ3で、送信中止が決定された場合、セキュアプロキシ3は、メール送受信部31から、メーラー1がメールサーバ2が送信メールを送信依頼し、それが受付けられなかった(送信を失敗した)場合と同じ応答を返す(ステップ7)。メーラー1は、メール送出後メールサーバ2からの応答待ち状態となっており、通信エラーとして認識される。多くのメーラーでは、通信エラーの場合、利用者に対してメール作成のウィンドウなどにより送信を予定したメール内容を再表示するため、利用者は、その場で送信先の変更、添付ファイルの変更或いは削除などを行い、引き続いて送信処理を行うことができる。
【0045】
次に、送信メールの評価について説明する。
【0046】
図7に、送信メールの評価項目の例を示す。ここでは、送信先、メールの内容(件名、本文、添付ファイル)、送信途中の安全性の3つの観点に整理してある。
【0047】
送信先については、送信履歴の有無やドメイン名の分類区分(社内/社外、顧客、開発検討のコミュニティ、外部活動として参加している協会、未登録等々)をチェックすることにより全く新規の宛先を検出できるため、メールアドレスのタイプミスを検出できる。また、ドメイン名の階層区分の表示により、異なるドメインで同一のアドレス(abc@xy.comとabc@jk.com)といったアドレス帳での選択誤りについても検出できる。図7の送信先に関する観点で、「以前に送ったことのある宛先の組合せ」は、異なるコミュニティ間(X社向けのAシステム開発プロジェクトとY社向けのBシステム開発プロジェクト、知的財産関連の活動とソフト開発環境検討の活動など)では一般にメールの流通は無いはずで、同じメールの送信先として混在することはないのが通常であるという考え方に基づく。「宛先の数」は、宛先数が非常に多い場合(例えば、セミナーの参加案内のメールを顧客に送信する場合)は、個人情報保護の観点から宛先を隠蔽するのが好ましいということから、送信者に注意を喚起することができる。
【0048】
メール内容については、利用者が予め特定のキーワード(「人事」、「社外秘」など)を登録しておき、送信の宛先、送信形態(暗号化)、添付ファイル可否などについて注意が必要なメールであることを送信者に喚起させることができる。登録するキーワードは、確認の目的(守秘、メールの種類(案内、依頼/問合せなど)、メール内容(事務連絡、開発検討など)などに区分して登録し、複数のカテゴリについての評価結果を出力することもできる。また、本文の内容と添付ファイルの有無の組合せを本発明によるセキュアプロキシでチェックすることにより、メールがメールサーバに送信され送信相手に送信されてしまう前にファイルの添付漏れを防止できる。
【0049】
送信途中の安全性については、相手の公開鍵を取得できるか否かで暗号化可否を判定し、この結果とメール本文の内容(守秘性の高さ)、送信先(社内、社外など)との組合せを出力することにより、送信者が各観点から漏れなく容易に評価することができる。
【0050】
図8は、危険度解析評価部32におけるメール危険度評価の流れであり、評価観点として「送信履歴有無」、「信頼するドメイン」、「暗号化可否」、「キーワード有無」、「添付ファイル有無」を解析、評価する場合を例としている。なお、解析、評価する順序は、図7に示す順序である必要は無い。
【0051】
メーラーから受信したメールを上記の観点で評価を行うにあたり、送信者が予め入力した「信頼できるドメイン名」、「本文、件名から抽出するキーワード」、及びそれまでにセキュアプロキシ3を経由して送信されたメールの送信先などから取得された「送信先アドレス」、さらには送信先アドレスと対応付けられて蓄積されている「送信相手の暗号化鍵(例えば、公開鍵)」が、危険度評価情報蓄積手段323に図9の形式で蓄積されている。
【0052】
まず、メール情報解析手段321は、受信したメールのヘッダ情報、メール本文、添付ファイルを送信メール蓄積手段313から取得する。ヘッダ情報からは、評価に必要となる送信先アドレスおよびドメイン名、メールのタイトル等を解析する。
【0053】
続いてメール危険度評価手段322は、メール情報解析手段321によって解析された全ての送信先アドレスが、危険度評価情報蓄積手段323の送信済みアドレス記録部に存在するか確認し、「送信履歴有無」に関するポイントを算出する。送信済みアドレス記録部には、メールがセキュアプロキシを経由して送信される都度、履歴情報として蓄積・更新される。送信済みアドレス記録部は登録されているメールアドレスへの送信の都度送信日時を更新し、図9のような形式で保管する。送信日時とメールアドレスを対にして保管することにより、保管スペースが所定の要領を超える場合には、最も古い送信日時のアドレスを新アドレスとの置き換え対象とすることができる。置き換え対象の決定にあたっては、上記のような送信日時ではなく、送信回数を評価値としてもよいし、また送信回数と直近の送信日時との組合せや、利用者が優先順位(削除不可、優先削除などのマーキング)により評価して入れ替えてもよい。
【0054】
次にメール危険度評価手段322は、メール情報解析手段321によって解析された全てのドメイン名が、危険度評価情報蓄積手段323の「信頼ドメイン記録部」に存在するか確認し、「信頼するドメイン」に関するポイントを算出する。信頼度メイン記録部には、利用者が予めドメイン名を登録するようにしてもよいし、ドメイン名の所定の階層の内容で自動的に判定してもよい。例えば、トップドメインが「jp」で、セカンドドメインが「co」の場合は、信頼するドメインとする。同じドメインであっても、メールの内容、利用者のメール利用目的などにより信頼状態が変わる可能性があり、利用者が判定基準を入力するようにしてもよい。
【0055】
次にメール危険度評価手段322は、メール情報解析手段321によって解析された全ての送信先アドレスが、危険度評価情報蓄積手段323の「暗号化鍵記録部」に存在するか確認し、「暗号化可否」に関するポイントを算出する。送信メールの暗号化可否は、特許文献1に開示されているように、送信メールのヘッダ情報を解析し、予め定められた文字列あるいはアドレスパターンを含んでいる場合には暗号化すると判定することができる。また、図8のように、図9の(エ)に例示されているような送信アドレスと暗号鍵(例えば、送信先利用者の公開鍵)を対応付けて保持する暗号化鍵記録部を設け、メール解析手段321で解析された送信先アドレスに対応する暗号鍵が暗号化記録部に蓄積されている場合は暗号化可能と判定してもよい。さらに、危険度評価情報蓄積手段323に暗号化記録部を設けず、セキュアプロキシ3がネットワークを介してアクセスできる公開鍵サーバから送信相手(送信先メールアドレス、あるいは該アドレスに対応する利用者)に対応する公開鍵の取得可否により判定してもよい。また、危険度評価情報蓄積手段323の暗号記録部には一部の送信者(例えば、直近の送信先50件分)に対応する暗号鍵を保持し、暗号記録部に送信しようとするメールの送信先アドレスに対応する暗号鍵が無い場合は、上記公開鍵サーバからの取得結果も含めて、暗号化可否判断をすることも出来る。
【0056】
次にメール危険度評価手段322は、メール情報解析手段321によって取得されたメールのタイトル及び本文に、危険度評価情報蓄積手段323の「キーワード記録部」に登録されたキーワードが含まれているか確認し、「キーワード有無」に関するポイントを算出する。
【0057】
そしてメール危険度評価手段322は、メール情報解析手段321が添付ファイルを取得したか否かによって、「添付ファイル有無」に関するポイントを算出する。
【0058】
最後に、メール危険度評価手段322は、各評価観点について算出された上記ポイントに、各評価観点ごとにユーザによって予め設定された重みを掛け合わせた後、それらの総和をとることによりメールの誤送信危険度に関する総合評価値を算出する。
【0059】
図9は、危険度評価情報蓄積手段323における各記録部の内容の一例を示したものである。図9の(ア)に示す送信済みアドレス記録部は、送信済みアドレスと直近送信日時から構成され、送信先として指定されたことのないメールアドレスが指定されるたびに、直近送信日時とともに追加される。また以前に送信したことがあるメールアドレスが指定された場合は、当該メールアドレスの直近送信日時が更新される。図9の(イ)に示す信頼ドメイン記録部は、ドメイン名と登録日時から構成され、ユーザから信頼できるドメイン名として登録されたドメイン名が、登録日時とともに記録されている。図9の(ウ)に示すキーワード記録部は、キーワードと登録日時から構成され、ユーザから送信メールの危険度を評価するために登録されたキーワードが、登録日時とともに記録されている。図9の(エ)は暗号化鍵記録部を示している。暗号化鍵記録部は、メールアドレス、暗号化鍵、登録日時から構成される。暗号化鍵は誰から公開されたものかを判断するため、その暗号化鍵を公開したユーザのメールアドレスと対になって登録されている。
【0060】
図10は、メール危険度評価ルールの一例を示したものである。これらのルールは、ユーザによって予め設定されている必要がある。図10の(ア)は、各評価観点ごとのポイントと重みを設定したものであり、例えば「送信履歴有無」という評価観点については、全ての送信先アドレスについて送信履歴が有れば0点、送信履歴のないアドレスが1つでも存在する場合は1点であり、総合評価を行う際にこのポイントに対して重み1が掛けられることを意味する。図10の(イ)は、総合評価値によるメール誤送信危険度の評価基準を表したものであり、評価観点のポイントごとに重みを掛けた値の総和が0点または1点である場合は「安全」、2点から4点である場合は「注意」、5点から7点である場合は「警告」という評価が行われる例を示している。
【0061】
図11は、図9および図10に示した例を前提とし、「ccmail@yellow.kick.gr.jp」、「tsuchiya@yellow.kick.gr.jp」、「taura@yellow.kick.gr.jp」が送信先として指定されている場合に表示される、送信可否決定部33が評価結果通知手段331を介してクライアント端末に出力する画面イメージを表している。
【0062】
まずメール危険度評価手段322は、これらの送信先アドレスが図9の(ア)に示す送信済みアドレス記録部に蓄積されているか参照する。いずれも送信履歴がないため、図10の(ア)に示すルールにより、「送信履歴有無」に関するポイントは1点と算出される。
【0063】
次にメール危険度評価手段322は、これらの送信先アドレスのドメイン名が図9の(イ)に示す信頼ドメイン記録部に蓄積されているか参照する。これらのドメイン名はいずれも「yellow.kick.gr.jp」であり、信頼ドメインとして登録されていないため、図10の(ア)に示すルールにより、「信頼するドメイン」に関するポイントは1点と算出される。
【0064】
次にメール危険度評価手段322は、これらの送信先アドレスに対応する暗号化鍵が図9の(エ)に示す暗号化鍵記録部に存在するか参照する。いずれの送信先アドレスも暗号化鍵記録部に登録されているので暗号化は可能と判断され、図10の(ア)に示すルールにより「メール暗号化可否」に関するポイントは0点と算出される。
【0065】
そしてメール危険度評価手段322は、当該メールのタイトル及び本文に、図9の(ウ)に示すキーワード記録部に蓄積されているキーワードが含まれているか検証を行う。例えば当該メールの本文に、「人事」、「社内限」、「秘」というキーワードが含まれていたとすると、これらは全てキーワード記録部に蓄積されているので、図10の(ア)に示すルールにより「キーワード有無」に関するポイントは1点と算出される。
【0066】
最後にメール危険度評価手段322は、当該メールに添付ファイルが存在するか確認し、「添付ファイル有無」に関するポイントを算出する。例えば当該メールには添付ファイルが存在しなかったとすると、図10の(ア)に示すルールにより「添付ファイル有無」に関するポイントは0点となる。
【0067】
上記各評価観点におけるポイントに対し、図10の(ア)で定める重みを掛け合わせ総和を計算すると、当該メールの総合評価値は(1点×1)+(1点×2)+(0点×2)+(1点×1)+(0点×1)=4点となり、送信メール危険度は図10の(イ)に示すルールにより「注意」と評価される。
【0068】
上記評価ルールは一例であり、添付ファイル有無についての評価ウェイトを高くして2点としたり、暗号化送信不可のユーザが含まれており且つ本文に機密性が高いことを示すキーワードが含まれている場合には、他の条件の評価結果に関わらず「警告」とするなど、各評価要素及びその組合せ結果に重みを持たせてもよい。
【0069】
「注意」、「警告」が表示された場合は、送信先に不要なアドレスが入力されていないか、送信先アドレスの指定若しくは入力に誤りは無いか、添付ファイルは正しいか等を慎重に確認させるメッセージとなる。
【図面の簡単な説明】
【0070】
【図1】本発明の実施の形態における電子メール送信の概要構成を示す図である。
【図2】セキュアプロキシをクライアント端末に配置した場合のシステム構成を示す図である。
【図3】セキュアプロキシの機能構成を示す図である。
【図4】セキュアプロキシでのメール送信処理の動作を示すフローチャートである。
【図5】送信可否決定処理の動作を示すフローチャートである。
【図6】送信確認処理の動作を示すフローチャートである。
【図7】送信メールの評価項目の一例を示す図である。
【図8】評価機能部におけるメール送信危険度評価の流れの一例を示す図である。
【図9】評価用情報蓄積部における各記録部の内容の一例を示す図である。
【図10】電子メールの送信危険度の総合評価ルールの一例を示す図である。
【図11】クライアント端末に出力される送信確認画面の一例を示す図である。
【符号の説明】
【0071】
1 メーラー
2 メールサーバ
3 電子メールセキュアプロキシ
4 外部ネットワーク
5 鍵管理サーバ
31 メール送信部
32 危険度解析評価部
33 送信可否判定部
34 暗号処理部
【技術分野】
【0001】
本発明は、電子メールの送信者による誤操作、誤設定に起因する電子メールの誤送信を防止し、さらに当該電子メールに対して安全な送信が確保されるか否かを電子メールの送信者が容易に確認可能とする技術に関する。
【背景技術】
【0002】
電子メールの利用が普及されるのに伴い、各種業務での情報交換手段として活用され、電子メールにより重要な機密情報がネットワークを経由して授受されるケースも増加している。その一方で、通信路上での電子メールの盗聴、改ざん、操作者による送信先の誤設定、添付ファイルの指定誤りなどのうっかりミスによる重要な機密情報の漏洩事故も増加している。
【0003】
電子メールの通信路上での盗聴、改ざんに対しては、電子メールをメーラーやメールサーバで暗号化して送信する技術が提供されている。特に、特許文献1では、メーラーや、メールサーバで送信メールを暗号化する場合、送信者側と受信者側で同じ暗号方式が実現されているメーラー、メールサーバを用意しなければならないといった問題点を、メーラーとメールサーバの間に暗号/復号処理機能を備えた暗号処理プログラムを配置することにより解決し、メーラ間で電子メールを暗号化/復号化しネットワーク経路上での盗聴や改ざんを防止できる電子メールの暗号化技術が提供されている。
【0004】
一方、電子メールの送付先のメールアドレス入力時の文字入力ミスで誤った送付先に送信してしまったり、アドレス帳から選択送付先を選択する場合に異なる送信先を選択して送信してしまうなど、送信者の不注意から機密としたい情報が意図しない相手に送信される事故防止についてもいくつかの対策が公開されている。
【0005】
例えば、送付先として適切或いは不適切なドメイン名、メールアドレスを予めメーラー又はメールサーバに登録しておき、入力された送信先メールアドレスと登録してあるメールアドレス或いはドメイン名との比較結果に基づき当該電子メールの送信可否を判定する技術が知られている。
【0006】
この技術では、メールアドレスのチェックが画一的となり、送信内容、目的に応じてその都度許可条件(ドメイン名、アドレスなど)をメーラーやメールサーバに登録しなければならず、送信者にとって負担が大きい。また、添付ファイルや本文内容と送信先との関係や通信路上の安全性についての重要性の程度などについての確認が十分ではない。
【0007】
さらに、送信者が送信先、送信内容を入力するメーラー側で、入力された電子メールの送信先、添付ファイルの状況などを解析、評価し、その結果により、送信者に警告を出すなどして誤送信を防止する技術も提案されている。(例えば、下記特許文献2を参照。)
【特許文献1】特開2005−107935号公報
【特許文献2】特開2004−302693号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかし、これらの技術では、現在使用しているメーラーの修正、取替えが必要であったり、添付ファイルのファイル名に特定のキーワードの設定が必要となるなど利用者にとっての負担が大きかった。
【0009】
また、他の技術では、メールサーバがメーラーから送信メールを受信し、添付ファイルが添付され且つ所定の送付先(例えば、社外のドメイン名)が指定されている場合には、電子メールの送信元となっているメールアドレス宛に、メールサーバで××宛ての電子メールの送信が保留されている旨を通知し、送信元の利用者が所定のサイトにアクセスして送信可否を指示させる商品も提供されている。この商品を利用する場合には、利用者はメーラーの修正、取替えは不要となるが、所定の送付先に添付ファイル付きの電子メールを送信しようとする度に、メールサーバからの確認処理に応答しなければならず、送信時の操作が煩雑となり、メールサーバからの確認通知を見落とすと、送信したと思った電子メールがメールサーバに保留され、送信先とのトラブル原因ともなる。
【0010】
本発明は、従来技術が有する上記のような問題点に鑑みてなされたものであり、既存のメーラー及びメールサーバを変更せずに、送信者にメールの送信先、暗号化可否、添付ファイルの有無等送信の安全性を効率よくまた確実に確認させた後に、メールサーバに電子メールを送信するようにした電子メール処理プログラムを提供することにある。
【課題を解決するための手段】
【0011】
上記目的を達成するため、本発明の電子メール処理プログラムは、メーラーから出力された電子メール(送信メールともいう)を入力し、送信先アドレス、件名、電子メール本文、添付ファイルなど電子メールの各要素について解析し、所定の期間内の送信先アドレスの履歴などから、送信先に関する観点(送信先の信頼性、誤送信の可能性など)、メール内容に関する観点(添付ファイルの有無、特定キーワードの存在など)及び送信途中の安全性(送信先毎の暗号化可否)を評価し、その評価結果を前記送信メールが作成されたメーラーが動作している端末装置に出力し、全ての送信先について送信の指示が入力された場合に、前記メーラから受信した送信メールを送信先に応じて暗号化処理してメールサーバに送出する処理をセキュアプロキシに行わせることを特徴とする。
【発明の効果】
【0012】
本発明によれば、送信先アドレスの入力ミスやアドレスの選択誤り、誤送信を多方面から評価・確認できるとともに、メールの内容、送信の目的などに容易に適合した送信処理を行うことができる。
【0013】
また、本発明によれば、送信先、メール内容、送信途中の安全性といった複数の観点およびこれらの組合せによる評価を総合的に行った結果も出力することも出来、その場合には、操作者に送信の危険度の高さに応じて、確認の重要性を警告することができる。
【0014】
さらに、メール本文内容と添付ファイルの関連性を評価することにより、送信先に送信されてしまう前に、添付ファイルの添付漏れを送信者に出力することもできる。
【発明を実施するための最良の形態】
【0015】
以下、図面を参照して本発明の実施の形態について説明する。
【0016】
図1は本実施の形態における電子メール配信システムの概要構成を示す図である。図1に示すように、本実施の形態における電子メール配信システムは、利用者が電子メールの送受信のために利用するメーラー1と、メールサーバ2(SMTPサーバソフトウェア及びPOPサーバソフトウェアを含む)との間に電子メールセキュアプロキシ(単に「セキュアプロキシ」ともいう)3を備えた構成をとる。
【0017】
なお、SMTP(Simple Mail Transfer Protocolの略)は、電子メールを送信するためのプロトコルであり、メールサーバ装置間での電子メールの授受や、クライアント端末がメールサーバ装置にメールを送信する際に用いられるプロトコルである。POP3(Post Office Protocol version3の略)は、電子メールを保存しているメールサーバからクライアント端末で電子メールを受信するためのプロトコルである。
【0018】
セキュアプロキシの利用にあたり事前準備として、メール送信の処理を行う前に、メーラー1では、メールサーバ(SMTPサーバ、POP3サーバ)のアドレス情報をセキュアプロキシ3のアドレス情報に書き換え、メーラー1で設定されていたメールサーバのアドレス情報をセキュアプロキシ3に設定しておくことにより、セキュアプロキシ3がメーラー1とメールサーバ2間の通信をトラップし、中継することができる。そのため、メーラー1の操作者はメールの送受信にあたって、セキュアプロキシ3を導入する前と同じ操作でメーラー1を利用できる。
【0019】
メーラー1から送信された電子メール(単に「メール」ともいう)の送信メッセージはセキュアプロキシ3により暗号化され、暗号化された電子メールがメールサーバ2により外部ネットワーク4に送信される。また、外部ネットワーク4から受信した暗号化された電子メールは、メーラー1からの要求によりメールサーバ2からセキュアプロキシ3に送信され、セキュアプロキシ3により送信メッセージの復号が行われ、送信メッセージが平文となった電子メールがメーラー1に送信される。メーラー利用者及びメールサーバ管理者は既存のメーラー、メールサーバをそのまま利用できる。また、セキュアプロキシ3と送信/受信相手側のセキュアプロキシとの間ではメールサーバ内を含めて電子メールが暗号化された状態で伝送されるため送信途中で第三者、メールサーバ管理者による電子メールの盗聴、傍聴、改ざんを防止できる。
【0020】
本実施の形態における電子メール配信システムは、上記セキュアプロキシの機能を実現する処理を提供する電子メール処理プログラムを、メーラーがインストールされているクライアント端末、もしくは、SMTPサーバソフトウェア及びPOPサーバソフトウェアがインストールされているメールサーバ装置のいずれに実装してもよい。なお、上記のセキュアプロキシを実現するコンピュータを、クライアント端末とメールサーバ装置との間に配置する構成をとることもできる。
【0021】
図2は、セキュアプロキシ3をクライアント端末に実装した場合の構成を示す図である。クライアント端末はメーラー1とセキュアプロキシ3とを備え、メールサーバ装置は、メールサーバ2を構成するソフトウェアであるSMTPサーバ21とPOPサーバ22を備える。また、暗号/復号処理に用いる公開鍵等はセキュアプロキシ内に格納してもよいが、図2のようにネットワークを介してアクセスできる鍵管理サーバ5に格納してあってもよい。
【0022】
なお、メールサーバ装置の構成は、従来のメールサーバ装置の構成と同じである。また、クライアント端末、メールサーバ装置のハードウェア構成は、CPU、メモリ、ハードディスク、通信処理用装置等を備えた一般的なコンピュータの構成と同様の構成である。図2に示す上記のセキュアプロキシ3は、クライアント端末のハードウェアと、クライアント端末で実行される電子メール処理プログラムとで実現されるものである。
【0023】
図1、図2に示すシステム構成においては、SMTP(ポート25番)に従ってメーラー1から電子メールがセキュアプロキシ3に送られ、セキュアプロキシ3において送信メッセージのセキュリティ評価がなされる。
【0024】
送信メッセージでのセキュリティ評価は、メーラーから受信した電子メールの送信先とメール本文、添付ファイルなどを解析し、解析結果とセキュアプロキシ3に蓄積保持されている情報とから評価情報が生成されて、メーラー1が搭載されているクライアント端末に表示されるように出力される。クライアント端末で、表示内容について操作者が個々の送信先毎に確認し、送信可否、送信形態(暗号化送信、平分送信)が入力されると、その内容がセキュアプロキシに送信される。
【0025】
上記では、評価結果についての確認を操作者が行う場合として説明したが、予め評価結果に対応した確認のルールをセキュアプロキシ3またはクライアント端末に設定しておくことにより、操作者を介さずに送信可否の判断をさせることもできる。
【0026】
評価の結果、送信可能と判断された電子メールは件名、本文、添付ファイルなどの送信メッセージについて暗号化がなされる。そして、送信メッセージの暗号化がなされた電子メールはSMTPサーバ21に送信され、SMTPサーバ21から外部ネットワーク4に配信される。SMTPサーバ21が、別のセキュアプロキシにより暗号化された電子メールを外部ネットワーク4から受信すると、電子メールは暗号化された状態でメールスプール23に蓄積される。そして、メーラー1からのPOP(ポート110番)に従ったメール取得の指示により、POPサーバ22がメールスプール23から電子メールを読み出してセキュアプロキシ3に送信する。セキュアプロキシ3は、電子メールの送信メッセージの復号を行って、メーラー1に送信する。
【0027】
セキュアプロキシ3をメールサーバ装置に実装した場合についても、実装位置の相違による通信処理の一部が異なるが、基本動作は上記と同様である。
【0028】
図2においては、送信メッセージが暗号化されている暗号区間を点線矢印で示し、暗号化されていない非暗号区間を実線矢印で示している。図2に示すように、セキュアプロキシ3から外部ネットワーク側では送信メッセージが暗号化されているため、メールサーバ装置内でも送信メッセージは暗号化されており、公衆網(インターネット)上のみならず、メールサーバ管理者による送信メッセージの盗聴、改ざんも困難になる。
【0029】
次に、セキュアプロキシ3の機能構成とその動作について図3を参照して詳細に説明する。
【0030】
図3に示すように、セキュアプロキシ3は、電子メール用プロトコルを用いてメーラ−1、メールサーバ2と通信を行うためのメール送受信部31、メーラ−1から受信した電子メールを解析しセキュリティの危険度を評価する危険度解析評価部32、電子メールのセキュリティ評価結果を出力し、当該電子メールの送信可否を入力する送信可否決定部33、電子メールの暗号/復号処理を行うための暗号処理部34を備え、これら各部は必要に応じて相互通信できるように構成されている。
【0031】
メール送受信部31は、メーラー及びSMTPサーバとSMTPに従った通信を行うためのSMTP通信手段311と、メーラー及びPOPサーバとPOP3プロトコルによる通信を行うためのPOP3通信手段312を有している。また、SMTP通信手段311及びPOP3通信手段312にはそれぞれ受信した電子メールを一時蓄積するための送信メール蓄積手段313、受信メール蓄積手段314を有している。以降では、メーラーからメールサーバに向けて電子メールを送信する場合について説明し、メールサーバ(POP3サーバ)から電子メールを受信する場合の説明を省略する。
【0032】
危険度解析評価部32は、メール解析手段321、危険度評価手段322、危険度評価情報蓄積手段323を有しており、メーラー1から受信し送信メール蓄積手段313に格納されている電子メールのヘッダ情報、本文の内容、添付ファイルなどから当該送信メールの送信先、本文、送信手段(暗号化可否)についてをメール解析手段321で解析し、解析した結果と危険度評価情報蓄積手段323に蓄積されている情報に基づいて、危険度評価手段322で当該電子メールを送信することのセキュリティ面での危険度を評価し送信可否決定部33に出力する。
【0033】
送信可否決定部33は、危険度解析評価部32から受信したメールの危険度評価結果をメーラー1が搭載されているクライアント端末に出力する評価結果通知手段331と、クライアント端末から当該出力した評価結果に対応する電子メールのメールサーバ2への送信可否を受信する送信指示受領手段332とを有する。
【0034】
暗号処理部34は、電子メール本文を暗号/復号化するためのメール暗号/復号手段341、電子署名を施したり署名が正当なものであるか否かを判定するためのメール署名/署名検証手段342を有している。
【0035】
本発明におけるセキュアプロキシ3におけるメール送信処理の動作について、図4のフローチャートを参照して説明する。
【0036】
クライアント端末の利用者は、本発明を適用する前と同様に、メーラー1を用いて平文メールを作成しメーラー上で送信操作を行うと、セキュアプロキシ3のメール送受信部31にメール送信の依頼が受信される(ステップ1)。このときメール送受信部32ではメーラー1から受信した送信メールを送信メール蓄積手段313に保管する。また、メーラー1は、送信依頼に対するメールサーバからの応答待ちの状態となる。
【0037】
メール送受信部31が受信したメールについて、危険度解析評価部32は、送信メール蓄積手段313に蓄積されているメールの送信先アドレス、添付ファイルの有無、本文内容などを解析し、解析結果と予め危険度評価情報蓄積手段323などに保持している情報から、受信した内容で送信することの危険度を評価する(ステップ2)。具体的な評価手段については後記する。
【0038】
送信可否決定部33は、危険度解析評価部32から送信の危険度評価結果を受信すると、送信可否の決定処理を実行する(ステップ3)。
【0039】
決定処理の一例としてクライアント端末に送信危険度評価結果を出力し、応答を待つ処理フローを図5により説明する。送信可否を決定するため、送信危険度評価結果を受信すると(ステップ31)、評価結果通知手段331により、上記の送信危険度評価結果をクライアント端末に出力し(ステップ32)、クライアント端末からの応答を待つ(ステップ33)。このとき、クライアント端末では、送信危険度評価結果を表示画面に新たなウインドウ(例えば、図11)を開いて表示し、利用者に送信の可否等を入力させてもよい。或いは、予め所定のルールを送信可否決定部33あるいはクライアント端末に保持しておき、そのルールと送信危険度評価結果との比較結果に基づき決定することもできる。クライアント端末からの応答結果を受信し(ステップ34)、メールの送信処理を続行する場合には、クライアント端末からの応答結果と対象メール(送信メール蓄積手段へのアクセス情報などメール本文を取り出せる情報であってもよい)を対にして暗号処理部34に処理依頼する(ステップ35)。
【0040】
図6に示すように、クライアント端末で利用者に送信可否を入力させる場合、図11の操作画面例にある様に、利用者に評価結果を提示する時点では、「送信中止」と送信者ごとの評価結果確認チェックボックスだけを入力可能とするなど、確認を省略して送信指示がなされないようにして、利用者による確認を確実にさせ、同報のメールアドレスの個々について送信確認がされたことを送信指示受領手段332で判定し(ステップ341)、判定された後に、対象メールについて暗号化モード(暗号化送信、平分送信、暗号化可能な送信先のみ暗号化して他は平分送信など)の指定を選択できるように表示を更新し(ステップ342)、利用者が次の処理である送信実行指示又は中止の操作に進めるようにもできる。
【0041】
以上のようにして、評価対象のメールを送信すると決定された場合には、暗号処理部34で必要に応じて送信メール蓄積手段に保持されているメールの本文、添付ファイルなどを暗号化し、送信メール蓄積手段313に格納する(図4のステップ4)。
【0042】
暗号化処理を完了したら、送信メール蓄積手段313に保持されているメールをメールサーバ2に送信しメールサーバ2からの応答を待つ(ステップ5)。
【0043】
セキュアプロキシ3は、メールサーバ2からの応答を受信したら、その応答をメーラー1に中継し、後記する危険度評価情報蓄積手段323における送信履歴情報など送信結果に関するする情報を更新して送信処理を終了する(ステップ6)。
【0044】
上記ステップ3で、送信中止が決定された場合、セキュアプロキシ3は、メール送受信部31から、メーラー1がメールサーバ2が送信メールを送信依頼し、それが受付けられなかった(送信を失敗した)場合と同じ応答を返す(ステップ7)。メーラー1は、メール送出後メールサーバ2からの応答待ち状態となっており、通信エラーとして認識される。多くのメーラーでは、通信エラーの場合、利用者に対してメール作成のウィンドウなどにより送信を予定したメール内容を再表示するため、利用者は、その場で送信先の変更、添付ファイルの変更或いは削除などを行い、引き続いて送信処理を行うことができる。
【0045】
次に、送信メールの評価について説明する。
【0046】
図7に、送信メールの評価項目の例を示す。ここでは、送信先、メールの内容(件名、本文、添付ファイル)、送信途中の安全性の3つの観点に整理してある。
【0047】
送信先については、送信履歴の有無やドメイン名の分類区分(社内/社外、顧客、開発検討のコミュニティ、外部活動として参加している協会、未登録等々)をチェックすることにより全く新規の宛先を検出できるため、メールアドレスのタイプミスを検出できる。また、ドメイン名の階層区分の表示により、異なるドメインで同一のアドレス(abc@xy.comとabc@jk.com)といったアドレス帳での選択誤りについても検出できる。図7の送信先に関する観点で、「以前に送ったことのある宛先の組合せ」は、異なるコミュニティ間(X社向けのAシステム開発プロジェクトとY社向けのBシステム開発プロジェクト、知的財産関連の活動とソフト開発環境検討の活動など)では一般にメールの流通は無いはずで、同じメールの送信先として混在することはないのが通常であるという考え方に基づく。「宛先の数」は、宛先数が非常に多い場合(例えば、セミナーの参加案内のメールを顧客に送信する場合)は、個人情報保護の観点から宛先を隠蔽するのが好ましいということから、送信者に注意を喚起することができる。
【0048】
メール内容については、利用者が予め特定のキーワード(「人事」、「社外秘」など)を登録しておき、送信の宛先、送信形態(暗号化)、添付ファイル可否などについて注意が必要なメールであることを送信者に喚起させることができる。登録するキーワードは、確認の目的(守秘、メールの種類(案内、依頼/問合せなど)、メール内容(事務連絡、開発検討など)などに区分して登録し、複数のカテゴリについての評価結果を出力することもできる。また、本文の内容と添付ファイルの有無の組合せを本発明によるセキュアプロキシでチェックすることにより、メールがメールサーバに送信され送信相手に送信されてしまう前にファイルの添付漏れを防止できる。
【0049】
送信途中の安全性については、相手の公開鍵を取得できるか否かで暗号化可否を判定し、この結果とメール本文の内容(守秘性の高さ)、送信先(社内、社外など)との組合せを出力することにより、送信者が各観点から漏れなく容易に評価することができる。
【0050】
図8は、危険度解析評価部32におけるメール危険度評価の流れであり、評価観点として「送信履歴有無」、「信頼するドメイン」、「暗号化可否」、「キーワード有無」、「添付ファイル有無」を解析、評価する場合を例としている。なお、解析、評価する順序は、図7に示す順序である必要は無い。
【0051】
メーラーから受信したメールを上記の観点で評価を行うにあたり、送信者が予め入力した「信頼できるドメイン名」、「本文、件名から抽出するキーワード」、及びそれまでにセキュアプロキシ3を経由して送信されたメールの送信先などから取得された「送信先アドレス」、さらには送信先アドレスと対応付けられて蓄積されている「送信相手の暗号化鍵(例えば、公開鍵)」が、危険度評価情報蓄積手段323に図9の形式で蓄積されている。
【0052】
まず、メール情報解析手段321は、受信したメールのヘッダ情報、メール本文、添付ファイルを送信メール蓄積手段313から取得する。ヘッダ情報からは、評価に必要となる送信先アドレスおよびドメイン名、メールのタイトル等を解析する。
【0053】
続いてメール危険度評価手段322は、メール情報解析手段321によって解析された全ての送信先アドレスが、危険度評価情報蓄積手段323の送信済みアドレス記録部に存在するか確認し、「送信履歴有無」に関するポイントを算出する。送信済みアドレス記録部には、メールがセキュアプロキシを経由して送信される都度、履歴情報として蓄積・更新される。送信済みアドレス記録部は登録されているメールアドレスへの送信の都度送信日時を更新し、図9のような形式で保管する。送信日時とメールアドレスを対にして保管することにより、保管スペースが所定の要領を超える場合には、最も古い送信日時のアドレスを新アドレスとの置き換え対象とすることができる。置き換え対象の決定にあたっては、上記のような送信日時ではなく、送信回数を評価値としてもよいし、また送信回数と直近の送信日時との組合せや、利用者が優先順位(削除不可、優先削除などのマーキング)により評価して入れ替えてもよい。
【0054】
次にメール危険度評価手段322は、メール情報解析手段321によって解析された全てのドメイン名が、危険度評価情報蓄積手段323の「信頼ドメイン記録部」に存在するか確認し、「信頼するドメイン」に関するポイントを算出する。信頼度メイン記録部には、利用者が予めドメイン名を登録するようにしてもよいし、ドメイン名の所定の階層の内容で自動的に判定してもよい。例えば、トップドメインが「jp」で、セカンドドメインが「co」の場合は、信頼するドメインとする。同じドメインであっても、メールの内容、利用者のメール利用目的などにより信頼状態が変わる可能性があり、利用者が判定基準を入力するようにしてもよい。
【0055】
次にメール危険度評価手段322は、メール情報解析手段321によって解析された全ての送信先アドレスが、危険度評価情報蓄積手段323の「暗号化鍵記録部」に存在するか確認し、「暗号化可否」に関するポイントを算出する。送信メールの暗号化可否は、特許文献1に開示されているように、送信メールのヘッダ情報を解析し、予め定められた文字列あるいはアドレスパターンを含んでいる場合には暗号化すると判定することができる。また、図8のように、図9の(エ)に例示されているような送信アドレスと暗号鍵(例えば、送信先利用者の公開鍵)を対応付けて保持する暗号化鍵記録部を設け、メール解析手段321で解析された送信先アドレスに対応する暗号鍵が暗号化記録部に蓄積されている場合は暗号化可能と判定してもよい。さらに、危険度評価情報蓄積手段323に暗号化記録部を設けず、セキュアプロキシ3がネットワークを介してアクセスできる公開鍵サーバから送信相手(送信先メールアドレス、あるいは該アドレスに対応する利用者)に対応する公開鍵の取得可否により判定してもよい。また、危険度評価情報蓄積手段323の暗号記録部には一部の送信者(例えば、直近の送信先50件分)に対応する暗号鍵を保持し、暗号記録部に送信しようとするメールの送信先アドレスに対応する暗号鍵が無い場合は、上記公開鍵サーバからの取得結果も含めて、暗号化可否判断をすることも出来る。
【0056】
次にメール危険度評価手段322は、メール情報解析手段321によって取得されたメールのタイトル及び本文に、危険度評価情報蓄積手段323の「キーワード記録部」に登録されたキーワードが含まれているか確認し、「キーワード有無」に関するポイントを算出する。
【0057】
そしてメール危険度評価手段322は、メール情報解析手段321が添付ファイルを取得したか否かによって、「添付ファイル有無」に関するポイントを算出する。
【0058】
最後に、メール危険度評価手段322は、各評価観点について算出された上記ポイントに、各評価観点ごとにユーザによって予め設定された重みを掛け合わせた後、それらの総和をとることによりメールの誤送信危険度に関する総合評価値を算出する。
【0059】
図9は、危険度評価情報蓄積手段323における各記録部の内容の一例を示したものである。図9の(ア)に示す送信済みアドレス記録部は、送信済みアドレスと直近送信日時から構成され、送信先として指定されたことのないメールアドレスが指定されるたびに、直近送信日時とともに追加される。また以前に送信したことがあるメールアドレスが指定された場合は、当該メールアドレスの直近送信日時が更新される。図9の(イ)に示す信頼ドメイン記録部は、ドメイン名と登録日時から構成され、ユーザから信頼できるドメイン名として登録されたドメイン名が、登録日時とともに記録されている。図9の(ウ)に示すキーワード記録部は、キーワードと登録日時から構成され、ユーザから送信メールの危険度を評価するために登録されたキーワードが、登録日時とともに記録されている。図9の(エ)は暗号化鍵記録部を示している。暗号化鍵記録部は、メールアドレス、暗号化鍵、登録日時から構成される。暗号化鍵は誰から公開されたものかを判断するため、その暗号化鍵を公開したユーザのメールアドレスと対になって登録されている。
【0060】
図10は、メール危険度評価ルールの一例を示したものである。これらのルールは、ユーザによって予め設定されている必要がある。図10の(ア)は、各評価観点ごとのポイントと重みを設定したものであり、例えば「送信履歴有無」という評価観点については、全ての送信先アドレスについて送信履歴が有れば0点、送信履歴のないアドレスが1つでも存在する場合は1点であり、総合評価を行う際にこのポイントに対して重み1が掛けられることを意味する。図10の(イ)は、総合評価値によるメール誤送信危険度の評価基準を表したものであり、評価観点のポイントごとに重みを掛けた値の総和が0点または1点である場合は「安全」、2点から4点である場合は「注意」、5点から7点である場合は「警告」という評価が行われる例を示している。
【0061】
図11は、図9および図10に示した例を前提とし、「ccmail@yellow.kick.gr.jp」、「tsuchiya@yellow.kick.gr.jp」、「taura@yellow.kick.gr.jp」が送信先として指定されている場合に表示される、送信可否決定部33が評価結果通知手段331を介してクライアント端末に出力する画面イメージを表している。
【0062】
まずメール危険度評価手段322は、これらの送信先アドレスが図9の(ア)に示す送信済みアドレス記録部に蓄積されているか参照する。いずれも送信履歴がないため、図10の(ア)に示すルールにより、「送信履歴有無」に関するポイントは1点と算出される。
【0063】
次にメール危険度評価手段322は、これらの送信先アドレスのドメイン名が図9の(イ)に示す信頼ドメイン記録部に蓄積されているか参照する。これらのドメイン名はいずれも「yellow.kick.gr.jp」であり、信頼ドメインとして登録されていないため、図10の(ア)に示すルールにより、「信頼するドメイン」に関するポイントは1点と算出される。
【0064】
次にメール危険度評価手段322は、これらの送信先アドレスに対応する暗号化鍵が図9の(エ)に示す暗号化鍵記録部に存在するか参照する。いずれの送信先アドレスも暗号化鍵記録部に登録されているので暗号化は可能と判断され、図10の(ア)に示すルールにより「メール暗号化可否」に関するポイントは0点と算出される。
【0065】
そしてメール危険度評価手段322は、当該メールのタイトル及び本文に、図9の(ウ)に示すキーワード記録部に蓄積されているキーワードが含まれているか検証を行う。例えば当該メールの本文に、「人事」、「社内限」、「秘」というキーワードが含まれていたとすると、これらは全てキーワード記録部に蓄積されているので、図10の(ア)に示すルールにより「キーワード有無」に関するポイントは1点と算出される。
【0066】
最後にメール危険度評価手段322は、当該メールに添付ファイルが存在するか確認し、「添付ファイル有無」に関するポイントを算出する。例えば当該メールには添付ファイルが存在しなかったとすると、図10の(ア)に示すルールにより「添付ファイル有無」に関するポイントは0点となる。
【0067】
上記各評価観点におけるポイントに対し、図10の(ア)で定める重みを掛け合わせ総和を計算すると、当該メールの総合評価値は(1点×1)+(1点×2)+(0点×2)+(1点×1)+(0点×1)=4点となり、送信メール危険度は図10の(イ)に示すルールにより「注意」と評価される。
【0068】
上記評価ルールは一例であり、添付ファイル有無についての評価ウェイトを高くして2点としたり、暗号化送信不可のユーザが含まれており且つ本文に機密性が高いことを示すキーワードが含まれている場合には、他の条件の評価結果に関わらず「警告」とするなど、各評価要素及びその組合せ結果に重みを持たせてもよい。
【0069】
「注意」、「警告」が表示された場合は、送信先に不要なアドレスが入力されていないか、送信先アドレスの指定若しくは入力に誤りは無いか、添付ファイルは正しいか等を慎重に確認させるメッセージとなる。
【図面の簡単な説明】
【0070】
【図1】本発明の実施の形態における電子メール送信の概要構成を示す図である。
【図2】セキュアプロキシをクライアント端末に配置した場合のシステム構成を示す図である。
【図3】セキュアプロキシの機能構成を示す図である。
【図4】セキュアプロキシでのメール送信処理の動作を示すフローチャートである。
【図5】送信可否決定処理の動作を示すフローチャートである。
【図6】送信確認処理の動作を示すフローチャートである。
【図7】送信メールの評価項目の一例を示す図である。
【図8】評価機能部におけるメール送信危険度評価の流れの一例を示す図である。
【図9】評価用情報蓄積部における各記録部の内容の一例を示す図である。
【図10】電子メールの送信危険度の総合評価ルールの一例を示す図である。
【図11】クライアント端末に出力される送信確認画面の一例を示す図である。
【符号の説明】
【0071】
1 メーラー
2 メールサーバ
3 電子メールセキュアプロキシ
4 外部ネットワーク
5 鍵管理サーバ
31 メール送信部
32 危険度解析評価部
33 送信可否判定部
34 暗号処理部
【特許請求の範囲】
【請求項1】
メーラーとメールサーバとの間に設けたセキュアプロキシで動作する電子メール処理プログラムであって、
メーラーからメールサーバ宛に送出された電子メールを受信するステップと、
当該受信した電子メールの送信先、添付ファイルを含むメール内容及び前記電子メールで指定されている送信先毎に前記電子メール内容の暗号化可否を前記セキュアプロキシに予め蓄積されている情報に基づき解析し評価するステップと、
当該評価した結果を評価情報として前記電子メールの送信元のメーラーが動作しているクライアント装置に出力するステップと、
前記クライアント装置から前記評価情報への応答情報を入力し、当該入力された情報が当該電子メールの送信を指示する場合に、メールサーバに対して前記電子メールを前記指示に従って加工して送出し、該電子メールの送出に対して前記メールサーバからの応答を前記メーラーに中継して送出し、前記評価情報に対するメーラーからの応答情報が前記電子メールの送信中止を指示している場合には、メールサーバが送信依頼を受領できない場合と同じ応答を前記メーラーに対して送出するステップと、
を前記セキュアプロキシに実行させることを特徴とする電子メール処理プログラム。
【請求項1】
メーラーとメールサーバとの間に設けたセキュアプロキシで動作する電子メール処理プログラムであって、
メーラーからメールサーバ宛に送出された電子メールを受信するステップと、
当該受信した電子メールの送信先、添付ファイルを含むメール内容及び前記電子メールで指定されている送信先毎に前記電子メール内容の暗号化可否を前記セキュアプロキシに予め蓄積されている情報に基づき解析し評価するステップと、
当該評価した結果を評価情報として前記電子メールの送信元のメーラーが動作しているクライアント装置に出力するステップと、
前記クライアント装置から前記評価情報への応答情報を入力し、当該入力された情報が当該電子メールの送信を指示する場合に、メールサーバに対して前記電子メールを前記指示に従って加工して送出し、該電子メールの送出に対して前記メールサーバからの応答を前記メーラーに中継して送出し、前記評価情報に対するメーラーからの応答情報が前記電子メールの送信中止を指示している場合には、メールサーバが送信依頼を受領できない場合と同じ応答を前記メーラーに対して送出するステップと、
を前記セキュアプロキシに実行させることを特徴とする電子メール処理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2007−87327(P2007−87327A)
【公開日】平成19年4月5日(2007.4.5)
【国際特許分類】
【出願番号】特願2005−278390(P2005−278390)
【出願日】平成17年9月26日(2005.9.26)
【出願人】(000102717)エヌ・ティ・ティ・ソフトウェア株式会社 (43)
【公開日】平成19年4月5日(2007.4.5)
【国際特許分類】
【出願日】平成17年9月26日(2005.9.26)
【出願人】(000102717)エヌ・ティ・ティ・ソフトウェア株式会社 (43)
[ Back to top ]