「エンドツーエンドの暗号化について調べているが、分かりやすい記事がない。」
「エンドツーエンドの暗号化の実施を検討しているが、採用するメリットがよく分からない。」
この記事ではエンドツーエンドの暗号化について、詳しく・分かりやすく解説していきます。情報セキュリティの専門的な知識がない人にも理解しやすいように、専門用語は極力使わずに説明します。
この記事で解説する内容は大きく以下の4つです。
- エンドツーエンド暗号化の概要・仕組み
- エンドツーエンド暗号化で守れるもの・守れないもの
- エンドツーエンド暗号化が使われている代表的なサービス2社
- エンドツーエンド暗号化を実施しないリスク
エンドツーエンドの暗号化を詳しく知りたい人や、導入を検討している人は、是非参考にしてみてください。
2014年 大学在学中にソフトウェア開発企業を設立
2016年 新卒でリクルートに入社 SUUMOの開発担当
2017年 開発会社Jiteraを設立
開発AIエージェント「JITERA」を開発
2024年 「Forbes 30 Under 30 Asia 2024」に選出
エンドツーエンドの暗号化とは?
エンドツーエンド暗号化は、E2EEと記載される場合があります。これは英語表記の「End to End Encryption」の略語です。
このセクションでは、以下の4つについて分かりやすく説明していきます。
- エンドツーエンド暗号化の概要
- エンドツーエンド暗号化の仕組み
- 他の暗号化の方式と比べて重要視される理由
- メリットとデメリット
エンドツーエンドの概要
エンドツーエンドの暗号化とは、端的に表現すると「受信者しか復元できない暗号化」のことです。実際にメッセージを送るシチュエーションを想定すれば、簡単に理解できます。
送信者がメッセージを送る瞬間、端末で暗号化が施されます。そして通信ネットワーク上は、暗号化されたまま通過。受信者に届いた際に暗号化が解除され、メッセージが閲覧できる状態に復元されます。
送信者と受信者という、通信ネットワーク上の端(エンド)と端(エンド)による暗号化であるため、エンドツーエンド暗号化と呼ばれています。
暗号化の仕組み
エンドツーエンドの暗号化では、「公開鍵暗号方式」(あるいは「非対称暗号化」)という暗号化の方式がとられています。
通信の暗号化では、「鍵」と呼ばれる仕組みを使って暗号化・復元を行います。公開鍵暗号方式の特徴は、「公開鍵」と「秘密鍵」という2つの鍵を使用することです。仕組みを詳しく説明します。
まずメッセージが送られる前に、受信者側の端末で秘密鍵が作られます。そしてその秘密鍵を使用して、公開鍵を作成。公開鍵のみが送信者側の端末に送られます。送信者側の端末は、受け取った公開鍵を使ってメッセージを暗号化。ここでようやくメッセージが通信ネットワークへと送られますが、暗号化されたメッセージを復元できるのは秘密鍵のみです。
公開鍵の情報はネットワーク上で覗き見られる可能性がありますが、秘密鍵の情報は受信者の端末にしか存在しません。そのため、非常に安全性の高い暗号化の方式となっています。
エンドツーエンドの暗号化が重要な理由
エンドツーエンド暗号化の最大の利点は、ネットワーク上で情報を覗き見られる危険性が極めて低いことです。
サイバー攻撃による被害が拡大し、企業や団体だけでなく個人を標的としたサイバー犯罪も増加。情報の流出事件が相次ぎ、個人情報を扱うこと自体が企業にとって1つのリスクとなりつつあります。
情報の流出が発生すれば、賠償金などの損失だけでなく、企業イメージの低下や法的措置に繋がるリスクがあります。
エンドツーエンド暗号化を採用することで、ネットワーク上で情報が覗き見られる危険性を排除できます。ユーザー間でメッセージのやり取りを行うサービスだけでなく、近年では様々な企業においてエンドツーエンド暗号化が採用されています。
エンドツーエンド暗号化のメリット・デメリット
エンドツーエンド暗号化では、ほとんど完璧に秘密が守られます。他の暗号化の方式では、例えばネットワーク企業のサーバー上などで、暗号化が解除される場合があります。しかしエンドツーエンド暗号化においては、ネットワーク上で暗号化が解除されることがありません。
大きなメリットは、ほとんど完全なプライバシーの保護が成立することです。悪意あるユーザーはもちろん、通信ネットワークを構築する企業なども、情報を閲覧することができません。
しかし一方で、エンドツーエンド暗号化が施された通信が、犯罪に利用されてしまうというデメリットも存在しています。暗号化されたメッセージを受信者以外が復元できないため、犯罪者間の通信に利用されるケースが危険視されています。
エンドツーエンドの暗号化で守れるもの・守れないもの
堅固な暗号化の方式により、通信の安全性を大きく高めることができるエンドツーエンドの暗号化。
このセクションでは、エンドツーエンド暗号化によって守られるものを説明すると共に、エンドツーエンド暗号化だけではカバーしきれないものを解説していきます。導入を考えている人は参考にしてみてください。
守れるもの
エンドツーエンド暗号化で守れるものは、大きく分けて2つです。
1つ目は、ネットワーク上で通信を行う安全性。他の暗号化の方式では、例えばプロバイダーなどが情報を閲覧できるケースがあります。しかしエンドツーエンド暗号化では、情報の受信者のみが暗号化を解除できるため、情報の持ち出しなどの犯罪に巻き込まれることもありません。
2つ目は、情報の一貫性です。暗号化が完全でない場合、送信された情報が書き換えられる危険性があります。しかしエンドツーエンド暗号化が施された情報は、ネットワーク上で復元できません。誰かが無理にでも情報を書き換えようとした場合、復元時に文字化けなどの大きな違和感として残ります。そのため、送信者が意図した情報のみが受信者に届く、という情報の一貫性が確保されています。
守れないもの
エンドツーエンド暗号化では、”ほとんど完璧に”秘密が守られると記載しました。エンドツーエンド暗号化でも、守れないものが存在します。ここでは、大きく3つに分けて紹介します。
まず1つ目は、通信履歴は残ることです。エンドツーエンドの暗号化が施された通信であっても、通信があったという事実だけは秘匿されません。誰かにメッセージを送信した、あるいはメッセージを受信した記録は履歴として残ります。
2つ目は、通信端末を覗き見られるケースです。端末が第3者の手に渡った場合はもちろん、端末のウィルス感染でも情報が流出する可能性があります。PCやスマートフォンがマルウェアに感染した場合、マルウェアを送った人間は、直接端末を覗き見ているのと同じように情報を閲覧可能です。
3つ目は2つ目と関連していますが、通信の安全性が受信者側の端末にも左右されることです。送信者側がどれだけセキュリティ対策を講じていても、受信者側の端末がマルウェアに感染していては、情報の流出を防ぐことはできません。
エンドツーエンドの暗号化が使われているサービス
近年では個人情報の流出が大きな社会問題となりつつあります。情報漏洩を起こした企業は損害賠償の請求に加え、大きなイメージダウンを免れません。そこで情報流出のリスクを減らすことができる、エンドツーエンド暗号化を採用する企業が増えてきています。
このセクションでは、エンドツーエンド暗号化を採用している代表的な企業を2社紹介します。
LINE
LINEでは、エンドツーエンド暗号化を「Letter Sealing」という機能として実装しています。2015年にオプション機能として追加され、2016年にはデフォルトになりました。Letter Sealingで暗号化されるのは以下3点。
- 位置情報
- テキストメッセージ(個人・グループ間)
- 音声・ビデオ通話(個人間)
グループ間の通話は、Letter Sealingの対象外となっています。また他のサービス・アプリを介して入力したテキストメッセージも対象外。Letter Sealingが適用されないメッセージタイプについても、順次適用が進められています。
Zoom
2023年から、Zoomのミーティングでもエンドツーエンド暗号化を利用可能となりました。利用条件は以下の通りです。
- デスクトップ/モバイルアプリ・Zoom Roomsの使用
- 200人以下の参加人数
- プライベートチャットではない
ただしプライベートチャットに関しては、最新版のZoom Roomsではエンドツーエンド暗号化を適用可能となっています。またエンドツーエンド暗号化を適用したミーティングでは、録音や文字起こし、他アプリとの連携など、一部機能が利用できなくなっています。
エンドツーエンドの暗号化を実施しないことのリスク
このセクションでは、情報セキュリティにおける「脅威」と「脆弱性」という観点から、エンドツーエンド暗号化を実施しないリスクについて解説していきます。
まず情報セキュリティの分野における、脅威・脆弱性という言葉の意味を分かりやすく説明。そしてエンドツーエンド暗号化で防ぐことができる脅威・脆弱性に触れ、導入しないリスクについて触れていきます。
情報セキュリティの3つの脅威に晒される
情報セキュリティの分野では、脅威という言葉がよく使われます。情報漏洩などの事件の要因となるものが、脅威という言葉で表現されています。そして要因を細分化するため、情報セキュリティにおいて脅威は以下の3つに分類されます。
- 意図的脅威
- 偶発的脅威
- 環境的脅威
意図的脅威とは、何者かの悪意によって引き起こされる問題を指します。情報への不正アクセスや改ざん、また情報の持ち出しやウィルス感染などが該当します。
偶発的脅威は、主にヒューマンエラーによって発生する問題のことです。業務用の端末の持ち出しや、公共の場で機密情報を口外してしまうことなどが該当します。
環境的脅威とは、災害などでシステムに異常が発生する状況を指します。火災や停電などでシステムが正常に作動しなくなった状態などが該当します。
エンドツーエンド暗号化の実施は、特に意図的脅威に対して大きな効果を発揮します。逆にエンドツーエンド暗号化を実施しない場合、意図的脅威に対しての対策が不十分だと見なされるリスクが存在します。
情報セキュリティの脆弱性に晒される危険がある
脅威と同じく、情報セキュリティの分野では脆弱性という言葉がよく使われています。脆弱性とは、脅威の発生へと繋がる欠陥のことを指します。
例えば、使用しているOSやソフトウェアなどに欠陥が存在する。またはシステムの管理体制が不十分である。あるいは災害に対する備えが十分でない、などの状態が該当します。
エンドツーエンド暗号化を実施することは、特にソフトウェアの脆弱性への大きな対策となります。通信ネットワーク上でソフトウェアの問題が生じたとしても、情報が暗号化されているため内容を覗き見られることはありません。
また通信ネットワーク企業において、管理体制の不備が生じたとしても、エンドツーエンド暗号化を実施していれば情報の流出を防ぐことができます。
当然のことではありますが、エンドツーエンド暗号化の実施だけで全ての脆弱性を対策できるわけではありません。しかし脆弱性への備えが不十分である場合、企業としての責任が問われる場合があります。
エンドツーエンド暗号化のまとめ
ほとんど完全な暗号化を実現する、エンドツーエンド暗号化。通信ネットワーク上で情報漏洩が発生するリスクを極限まで減らすことができます。
LINEやZoomに代表される、メッセージのやり取りを行うサービスでは既に導入・実装されています。また近年では情報漏洩を防ぐため、エンドツーエンド暗号化を採用する企業も増えてきています。エンドツーエンド暗号化の実施は、情報漏洩が発生し、企業としての責任を問われるリスクの回避にも繋がります。
エンドツーエンド暗号化の実施を検討している場合、是非とも経験豊富なjitera社へご相談ください。相談内容に寄り添った、的確なアドバイスをさせていただきます。