メール暗号複合制御装置及びその制御方法、プログラム
【課題】 同一スレッドの電子メールのデータを共通鍵として用いることにより、外部のネットワークに送出される電子メールによる情報漏洩を防止すること。
【解決手段】 返信ではない新規の電子メールを送信する場合は、当該新規の電子メールを暗号化及び復号化するための共通鍵データとなるルートメールを生成し、該ルートメールから得られる共通鍵データを用いて前記新規の電子メールを暗号化する。また、返信の電子メールを送信する場合は、返信元メールから得られる共通鍵データを用いて前記返信の電子メールを暗号化し、暗号化メールスレッド中のルートメール及び電子メールに含まれる前記共通鍵データを用いて、前記暗号化されて外部から送信されてくる電子メールを復号化する。
【解決手段】 返信ではない新規の電子メールを送信する場合は、当該新規の電子メールを暗号化及び復号化するための共通鍵データとなるルートメールを生成し、該ルートメールから得られる共通鍵データを用いて前記新規の電子メールを暗号化する。また、返信の電子メールを送信する場合は、返信元メールから得られる共通鍵データを用いて前記返信の電子メールを暗号化し、暗号化メールスレッド中のルートメール及び電子メールに含まれる前記共通鍵データを用いて、前記暗号化されて外部から送信されてくる電子メールを復号化する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、メール暗号複合制御システムに関し、特に暗号化電子メールにおける制御技術に関するものである。
【背景技術】
【0002】
近年のネットワーク技術の発達により、情報のやりとりにかかるコストが格段に低下する中、個人や各企業では電子メールやウェブサービスといったインターネットを利用した各種サービスを利用することにより、効率的な情報伝達ができるようになった。
【0003】
2005年の個人情報保護法の施行を始めとして、特に企業を始めとした組織では情報管理について厳格な対応を求められることになり、例えば、情報漏洩対策として、社外へ外部送信する電子メールの内容チェックを行うなど、組織が予め定めた基準に合致した場合のみ、外部への情報送信を許可するといった送信制御システムを導入することが一般的になっている。
【0004】
しかしながら、このような送信制御システムを導入しても、誤送信を始めとした情報漏洩に関する事故は後を絶たないため、情報セキュリティおける多段防御の施策として、暗号化メールの利用を検討する組織もある。
【0005】
現在、暗号化メールとして利用可能な技術として、S/MIME、PGP(Pretty Good Privacy)や、送信経路上のみを暗号化通信する製品等が販売されている。今では企業におけるメールゲートウェイでのウィルスチェックは一般的であるが、暗号化メールはEnd−To−Endの仕組みであるため、このような暗号化メールのウィルスチェックは実施不可能である。このような場合、組織外から直接、組織内部へウィルスが送り込まれることが可能である。更に言えば、暗号化メールを利用することで、組織内から機密情報が送出されたかどうかの確認も不可能であることから、暗号化メールの積極的な利用には、懸念が生じている。
【0006】
このような状況の下、パスワード保護されたZIPアーカイブを添付ファイルに利用する人が多くなってきた。パスワード保護されたZIPアーカイブを添付したメールを送信し、別メールにパスワードを記述して同じ宛先へ再び送信するという手法である。この手法では、
・別経路でパスワードを送付する等しない限り、盗聴される可能性が非常に高く、添付ファイルが保護できない
・利用者が注意深く2通目を送信しない限り、誤送信する可能性が非常に高い
という特徴があり、本質的に安全な手法とは言えない。しかしながら、組織の情報管理の観点から見れば、送受信される電子メールをすべて保存しておくことで、暗号化された添付ファイルも事後確認可能であることや、人的コストの増加で対策できることから、本質的に安全でなくても積極的に利用されている理由のひとつとされている。
また、コンテンツを暗号化して送信する手法として、特許文献1に開示されている手法では、予め受信して蓄積した複数コンテンツに組み込まれた複数鍵を使用してコンテンツの復号を実施する方法を開示している。
【先行技術文献】
【0007】
【特許文献】
【特許文献】特開2008−165486号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
このように暗号化メールを利用するにあたって、情報保護(暗号化)と情報監視(内容監査)という、相反する要求があり、更には、公開鍵暗号方式における認証局のような鍵管理コスト(運用コスト)を可能な限り抑えたいという課題がある。
更に、スレッド単位で電子メールの改竄がされていないことの確かめることが困難であった(スレッド単位で電子メールの原本性を保証することが困難であった)。
即ち、暗号化メールシステムの運用コストを抑えつつ情報監視が可能であり、第三者への誤送信が発生しても容易に情報漏洩をさせない仕組みを提供することが困難であった。
更に、インターネットサービスプロバイダ(ISP)などが提供している外部のネットワークに送信される電子メールの内容を、外部の者(ISPなど)に閲覧出来ないようにすることにより、情報漏洩を防止することが困難であった。
【0009】
本発明の目的は、同一スレッドの電子メールのデータを共通鍵として用いることにより、外部のネットワークに送出される電子メールによる情報漏洩を防止する仕組みを提供することである。
【課題を解決するための手段】
【0010】
本発明は、電子メールの暗号化と復号化を制御するメール暗号複合制御装置であって、返信ではない新規の電子メールを送信する場合に、当該新規の電子メールを暗号化及び復号化するための共通鍵データとなるルートメールを生成するルートメール生成手段と、前記ルートメール生成手段で生成されるルートメールから得られる共通鍵データを用いて、前記新規の電子メールを暗号化する第1暗号化手段と、返信の電子メールを送信する場合に、返信元メールから得られる共通鍵データを用いて、前記返信の電子メールを暗号化する第2暗号化手段と、前記ルートメール生成手段により生成されたルートメールと、前記第1暗号化手段により暗号化された電子メールと、前記第2暗号化手段により暗号化された電子メールと、暗号化されて外部から送信されてくる電子メールとを記憶する記憶手段と、暗号化されて外部から送信されてくる電子メールの親となる電子メールを、前記ルートメールまで、前記記憶手段で記憶されたデータの中から特定して暗号化メールスレッドを抽出する抽出手段と、前記抽出手段により抽出された暗号化メールスレッド中のルートメール及び電子メールに含まれる前記共通鍵データを用いて、前記暗号化されて外部から送信されてくる電子メールを復号化する復号化手段と、を備えることを特徴とする。
【発明の効果】
【0011】
本発明によれば、同一スレッドの電子メールのデータを共通鍵として用いることにより、外部のネットワークに送出される電子メールによる情報漏洩を防止することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の実施形態に係るシステムの構成例を示す模式図である。
【図2】本発明の実施形態の暗号化メール送信装置100のハードウェア構成を示す図である。
【図3】本発明の実施形態のメールサマリの一例を示す図である。
【図4】本発明の実施形態の暗号化メールスレッドの構成例を示す図である。
【図5】本発明の実施形態の転送処理を含む暗号化メールスレッドの構成例を示す図である。
【図6】本発明の実施形態の暗号化メールの新規作成を示すフローチャートである。
【図7】本発明の実施形態のルール管理部105の一例である。
【図8】本発明の実施形態のメール暗号化処理を示すフローチャートである。
【図9】本発明の実施形態のメール受信処理を示すフローチャートである。
【図10】本発明の実施形態のルートメール受信処理を示すフローチャートである。
【図11】本発明の実施形態の関連メール移動処理を示すフローチャートである。
【図12】本発明の実施形態の暗号化メール受信処理を示すフローチャートである。
【図13】本発明の実施形態の親メール検索処理を示すフローチャートである。
【図14】本発明の実施形態の検索条件選定処理を示すフローチャートである。
【図15】本発明の実施形態の暗号化メールの返信処理を示すフローチャートである。
【図16】本発明の実施形態の暗号化メールの復号処理を示すフローチャートである。
【図17】本発明の実施形態の暗号化メールスレッドにおける全親スレッドの受信処理を示すフローチャートである。
【図18】本発明の実施形態の暗号化メールの転送処理を示すフローチャートである。
【図19】本発明の実施形態のルートメール情報の一例を示す図である。
【図20】本発明の実施形態のルートメール情報の実施例を示す図である。
【図21】本発明の実施形態のメールスレッドの実施例を示す図である。
【図22】本発明の実施形態の暗号化メールスレッドの実施例を示す図である。
【図23】本発明の実施形態の親メール検索条件選定処理を示すフローチャートである。
【発明を実施するための形態】
【0013】
以下、添付図面を参照して、本発明を好適な実施形態に従って詳細に説明する。
【0014】
図1は、本発明の一実施形態を示す電子メール管理装置について、システムの構成例を示す模式図である。
【0015】
図1において、100は暗号化メール送信装置を表し、暗号化メールを送信する機能を示した模式図である。110は暗号化メール受信装置を表し、暗号化メールを受信する機能を示した模式図である。広域ネットワーク網120は、インターネットを始めとするネットワークである。
【0016】
暗号化メール送信装置100は、メール入力部101と、メール本文変更部102と、スレッド検索部103と、スレッド暗号部104と、ルール管理部105と、送信部106と、メール保存部107と、ルートメール作成部108とを備える。
【0017】
メール入力部101は、暗号化メール送信装置100にデータを入力するものであり、キーボードやマウスといった入力装置である。メール入力部101で入力されたメールは、メール本文変更部102で暗号化された本文に変更され、送信部106で暗号化メールとして送信される。なお、メール本文変更部102で変更されるメール本文は、スレッド暗号部104に送られ、スレッド検索部103がメール保存部107から検索した電子メールスレッドもしくはルートメール作成部108で作成したルートメールに基づいて暗号化される。これら一連のメールスレッド暗号化処理の詳細については、後述する。
【0018】
暗号化メール受信装置110は、受信部111と、ルール管理部112と、スレッド復号部113と、スレッド検索部114と、メール保存部115と、表示部116とを備える。
【0019】
受信部111で受信した暗号化メールはメール保存部115へ保存される。利用者が当該暗号化メールの閲覧を所望した場合は、その命令を受けたスレッド復号部113がスレッド検索部114を介してメール保存部115より当該暗号化メールを含む電子メールスレッドを検索し、スレッド復号処理を実施した上で、表示部116に表示する。これら一連のスレッド復号処理の詳細については、後述する。
【0020】
なお、スレッド検索部103とスレッド検索部114、及びルール管理部105とルール管理部112、及びメール保存部107とメール保存部115は同一機能である。
また、図1は、説明を分かりやすくするために、暗号化メール送信装置100と暗号化メール受信装置110とに分けて説明したが、暗号化メール送信装置100に示す機能及び構成は、暗号化メール受信装置110にも有しており、更に、暗号化メール受信装置110に示す機能及び構成は、暗号化メール送信装置100にも有している。したがって、暗号化メール送信装置100と暗号化メール受信装置110は、相互に暗号化メールを送受信することが可能である。
【0021】
図2は、暗号化メール送信装置100(メール暗号複合制御装置)及び暗号化メール受信装置110(メール暗号複合制御装置)のハードウェア構成を示すブロック図である。
【0022】
図2において、201はCPUで、RAM202やROM204に格納されているプログラムやデータを用いて暗号化メール送信装置100全体の制御を行うと共に、暗号化メール送信装置100が行う後述の各処理を実施する。
【0023】
RAM202は、HDD(ハードディスクドライブ)204や記憶媒体ドライブ206からロードされたプログラムやデータ、ネットワークI/F(インターフェース)205を介して外部から受信したプログラムやデータなどを一時的に記憶するためのエリアや、CPU201が各種の処理を実行する際に用いるワークエリアなど、各種のエリアを適宜提供することができる。
【0024】
ROM203は、暗号化メール送信装置100の設定データや、ブートプログラムなどを格納する。
【0025】
HDD204は、OS(オペレーティングシステム)や、暗号化メール送信装置100が行う後述の各処理をCPU201に実行させるためのプログラムやデータなどを保存するためのものであり、これらはCPU201による制御に従って適宜RAM202にロードされ、CPU201による処理対象となる。
【0026】
ネットワークI/F205は、暗号化メール送信装置100を広域ネットワーク網120に接続するためのものであり、暗号化メール送信装置100はこのネットワークI/F205を介して、広域ネットワーク網120に接続されている各装置とのデータ通信を行うことができる。
【0027】
記憶媒体ドライブ206は、CD−ROM、CD−R/RW、DVD−ROM、DVD−R/RW、DVD−RAM等の記憶媒体に記録されているプログラムやデータを読み出し、RAM202やHDD204に出力する。なお、RAM202やHDD204が保持している情報のうち一部をこの記憶媒体に記録させておいてもよい。
【0028】
キーボード207、及びマウスやジョイスティック等により構成されているポインティングデバイス208は、暗号化メール送信装置100の操作者が操作することで、各種の指示をCPU201に対して入力することができる。
【0029】
表示部209は、CRTや液晶画面等により構成されており、CPU201による処理結果を画像や文字等をもって表示することができる。
【0030】
外部機器接続I/F210は、周辺機器を暗号化メール送信装置100に接続させるためのインターフェースである。暗号化メール送信装置100は、この外部機器接続I/F210を介して、この周辺機器とのデータ送受信を行う。外部機器接続I/F210は、USBやIEEE1394等により構成されており、通常複数の外部機器接続I/Fを有する。周辺機器との接続形態は有線/無線を問わない。
【0031】
バス211は上述の各部をつなぐものである。
【0032】
なお、暗号化メール送信装置100のハードウェア構成は図2に示した構成を有するとして説明するが、必ずしも同図の構成を有することに限定するものではなく、暗号化メール送信装置100が行う処理として説明する以下の処理が実行可能な構成であれば、暗号化メール送信装置100の構成は適宜変形してもよい。
【0033】
また、暗号化メール受信装置110のハードウェア構成については、これらには一般のコンピュータを適用するので、周知の如く、概ね図2に示した構成を有する。更には、暗号化メール送信装置100及び暗号化メール受信装置110は同一のハードウェア上で構成してもよい。
【0034】
次に、メールスレッドについて図3及び図21を用いて説明する。
【0035】
図3はメールサマリの一例を示す図である。メールサマリ300は利用者のクライアント端末装置に保存されているメールの一部を表示したものである。また、ひとつの話題について差出人及びメール受信者の間でやりとりされた複数のメールを時系列に並べたものを、メールスレッドと呼ぶ。
【0036】
メールサマリ300において、メール301を基点としたメール302、メール303、メール304及びメール305が第一のメールスレッドを構成している。メール302、メール303、メール304及びメール305はすべて直前のメールへの返信処理であることを示している。
【0037】
また、メール306を基点としてメール307及びメール308は第二のメールスレッドを構成している。なお、メール308については、メール307の返信処理ではなく、メール306を差出人hayashiが宛先umedaへ転送したことを示している。
【0038】
このように、複数メールからなるメールスレッドの構成を判断する第一の手法として、RFC(Request for Comments)2822に記述されている、Message−ID、In−Reply−ToもしくはReferenceの各ヘッダ情報を参照する手法がある。
【0039】
第一の手法について、図21を用いて詳しく説明する。メール2101は電子メールの一例であり、RFC2822に記述されているように、メール2101が唯一のものであると識別するために、Message−IDヘッダ2102を有している。また、メール2103は電子メールを返信した場合の一例であり、メール2101に対する返信処理を実施したものである。
【0040】
RFC2822に記述されているように、返信処理において返信元となるメールの識別情報をIn−Reply−Toヘッダに記載するべきであるとされており、メール2103において、In−Reply−Toヘッダ2104が付与されており、その値としてメール2101のMessage−IDヘッダ2102の値が記載されている。
【0041】
メール2101を送信しメール2103を受信した差出人のクライアント端末装置では、これらのへッダ情報を参照することで、メール2101の返信がメール2103であるとわかることから、メール2101とメール2103がメールスレッドを構成すると判断することができる。
【0042】
同様に、メール2106においても、In−Reply−Toヘッダ2108の値は、メール2103のMessage−IDヘッダ2105の値となっている。従って、メール2106も前記メールスレッドを構成するメールの一部であると判断できる。
【0043】
メールスレッドを構成するメールであると判断する第二の手法として、任意につけられたタグと呼ばれるものを使用する手法がある。タグは、クライアント端末利用者が任意に付与することもあれば、電子メールシステムで自動的に付与する場合もある。システムで自動化する場合は、例えば、複数の差出人をグループ化したものを利用する場合や、ある特定のヘッダ情報が同一のものに対して付与する場合がある。
【0044】
メールスレッドの構成を判断する第三の手法として、件名が同じものを集めるという手法がある。返信メールや転送メールの場合、基になるメールの件名に返信を表す「Re:」や、転送を表す「Fw:」といった形式的な文字列を付与する。従って、このような文字列を除いた件名を持つ同一のメールがメールスレッドを構成すると判断する手法である。
【0045】
なお、前記第二及び前記第三の手法では、条件に該当する複数通のメールが検出されるため、時間順で並べるために各メールにおける送信時刻が参照される。
【0046】
以上、メールスレッドの構成判断手法について説明したが、以降の例では第一の手法(RFC2822)を主体として説明する。
【0047】
次に、メールスレッド構造を利用したメールスレッド暗号化の概要について、図4及び図5を用いて説明する。
【0048】
図3におけるメール301を基点とした第一のメールスレッドが暗号化メールスレッドである場合の構成例の一部を、図4に示す。暗号化メール構造402はメール301に相当し、暗号化メール構造405はメール302に相当する。このとき、メール本文部は暗号化された状態(403及び406)にある。
【0049】
メールスレッド暗号化方式における復号処理は、当該メールの親メールの本文部を共通鍵ファイルとして使用する特徴を持つ。従って、暗号化本文406の復号鍵は、親メールにあたる暗号化メール構造402の暗号化本文403を復号したメール本文404である。即ち、メール本文404を共通鍵ファイルとして暗号化本文406を復号し、メール本文407を得る。
【0050】
このとき、共通鍵ファイルであるメール本文404を得るためには、暗号化本文403を復号しなければならない。この復号鍵となるのがルートメール構造400のルートメール本文401である。ルートメールの詳細については、後述する。
【0051】
図3におけるメール303を基点とした第二のメールスレッドが暗号化メールスレッドである場合の構成例の一部を、図5に示す。暗号化メール構造502はメール306に相当し、暗号化メール構造505はメール307に相当し、暗号化メール構造508はメール308に相当する。暗号化メール構造508は暗号化メール構造502と転送処理関係にある。従って、暗号化メール構造508の暗号化本文509を復号する共通鍵ファイルは、暗号化メール構造502の復号したメール本文504であり、暗号化メール構造505の暗号化本文506を復号する共通鍵ファイルと同一である。
【0052】
このようにメールスレッド暗号化方式では、暗号化された本文部を復号するために親メールを連鎖的に復号していく必要がある。従って、ルートメールを含むメールスレッドを構成するすべてのメールを所持していない限り、暗号化本文を復号できない構造を特徴としている。
【0053】
次に、メールスレッド暗号化方式において、メールを新規作成する場合の手順について、図1、図6、図7、図8を用いて説明する。
【0054】
図6に暗号化メールを新規作成する場合のフローを示す。ステップS601において、利用者が図1におけるメール入力部101を操作することにより、新規メールを作成する。新規作成したメールを第一メールと呼び、この時点で第一メールは暗号化されていない。
【0055】
続いて、ステップS602において、第一メールが暗号化の対象であるかどうかを確認する。即ち、図1においてメール本文変更部102へ送られた第一メールに対して、ルール管理部105が動作ルールを参照する。
【0056】
図7に、動作ルール700の一例を示す。動作ルールとは、作成されたメールの内容や宛先などの各種条件に応じて、システムがどのような動作を行うかを記述した管理テーブルである。例えば、動作ルール701は「宛先が組織外を含む場合は暗号化する」を示し、動作ルール702は、「キーワード検査の結果に“社外秘”を含む場合は暗号化する」を示し、動作ルール703は「添付ファイルがある場合は暗号化する」を示す。
【0057】
図6に戻って、ステップS602で「いいえ」の場合、即ち、暗号化対象外のメールであると判断した場合は、ステップS610において第一メールは非暗号化状態のまま送信部106へ送られ、送信処理を完了する。続くステップS609において、第一メールは非暗号化状態のままメール保存部107に保存される。
【0058】
第一メールが暗号化対象であると判断した場合(ステップS602で「はい」の場合)、ステップS603へ進み、当該第一メールを作成した利用者に新規スレッド作成許可があるかどうかをルール管理部105で参照する。例えば、図7における動作ルール704は「利用者hayashi及びtanakaには新規作成許可がある」ことを示している。当該利用者に新規スレッド作成許可がない場合(ステップS603で「いいえ」の場合)は、その旨を当該利用者に通知し、処理を停止する。
【0059】
当該利用者に新規スレッド作成許可がある場合(ステップS603で「はい」の場合)、ステップS604に進み、ルートメール作成部108においてルートメールを作成する。ルートメールとは、前記暗号化メール構造400及び前記暗号化メール構造500に示したように暗号化メールスレッドの基点となる特殊なメールであり、第一メールの本文部の暗号/復号処理の共通鍵ファイルとなるメールである。ルートメールの詳細については、後述する。
【0060】
ステップS604で作成されたルートメールを共通鍵ファイルとして、ステップS605において、第一メールの暗号化処理を実施する。ここで、図8を用いて暗号化処理について説明する。
【0061】
図8のステップS801において、前記第一メールの暗号化対象となるメール本文を抽出する。続いて、ステップS802において、前記ルートメールを共通鍵ファイルとして抽出したメール本文を暗号化する。このとき、ルートメールの作成時にパスフレーズの利用を指定することで、パスフレーズを利用者が入力し、暗号化強度を向上することもできる。パスフレーズを始めとしたルートメールの詳細については、後述する。
【0062】
続くステップS803において、暗号化されたメール本文はメールサーバーで処理できるようにテキスト文字列に変換され、前記第一メールの本文と差替えられる。また、第一メールのヘッダ部には、前記ルートメールから連鎖していることを示すために、RFC2822に基づいたIn−Reply−To(もしくはReferenceヘッダ)が付与される。このとき、前記ルートメールに付与したMessage−IDの識別子がヘッダ値として付与される。これらルートメールを基点とした連鎖関係の詳細については、後述する。
【0063】
図6に戻って、ステップS606で前記ルートメールは送信部106より送信される。続いて、ステップS607で暗号化された第一メールが送信部106より送信される。送信完了後、ステップS608において、前記ルートメールはメール保存部107に保存され、続くステップS609において、前記暗号化第一メールもメール保存部107へ保存され、新規作成処理を終了する。
【0064】
ここで、ステップS604で作成するルートメールについて説明する。
【0065】
前述のように、ルートメールは暗号化メールスレッドの基点となるものであり、第一メールの作成時等において自動的に作成されるものである。ルートメール作成時において当該ルートメールには、以下の何れか一つ以上の情報が記載される。
(1)メール識別子に関する情報
(2)暗号化用の補助情報
(3)メールスレッド管理方法に関する情報
(4)第一メールの送信情報を証明する情報
このようなルートメール情報について、図19を用いて詳しく説明し、図20に実施例を示す。
【0066】
図19におけるルートメール情報1900は、ルートメールに記載されるルートメール情報の一例を示している。ルートメール識別子1901、第一メール識別子1902はメール識別子に関する情報である。ルートメール識別子1901は当該ルートメールを唯一のものであると判断するための任意の文字列情報であり、前記RFC2822のMessage−IDに相当する。また、第一メール識別子1902は、例えば、図6におけるステップS601で作成した前記第一メールのMessage−IDを示す。
【0067】
図20において、ルートメール2000はルートメールの実施例を示す。ヘッダ情報2001(Message−ID)が前記ルートメール識別子1901の実施例であり、ヘッダ情報2002(X−CryptThread−Mail)が前記第一メール識別子1902の実施例である。
【0068】
暗号化補助文字列1903は、ルートメール自体を共通鍵ファイルとするときの暗号強度を強化させるために、ランダムな文字列を予め記載しておくものである。図20において、暗号化補助文字列2003が前記暗号化補助文字列1903の実施例である。暗号化補助文字列2003は、メール本文領域に記述される。
【0069】
ルートメール識別子1901、第一メール識別子1902、及び暗号化補助文字列1903はルートメール情報として必須項目である。
【0070】
メールスレッド管理情報として、公開範囲1904、失効時間1905、及びパスフレーズ1906がある。これらの情報は、前記第一メールを基点としたメールスレッドの管理に関する情報であり、任意項目である。公開範囲1904は、予め指定した範囲外へのメール送信を制限するものである。後述する暗号化メールスレッドからの返信や転送処理において利用される。失効時間1905は、暗号化メールスレッドの失効時間を指定するものである。
【0071】
パスフレーズ1906は、メールの暗号化及び復号処理において、利用者にパスフレーズの入力を強要するものである。例えば、前記ステップS802のメール本文の暗号化処理において、当該暗号化メールスレッドのルートメールにパスフレーズの記載がある場合、パスフレーズの入力が強要され、入力したパスフレーズとルートメールに記載されたパスフレーズが一致しないと、暗号化処理に失敗することとなる。なお、パスフレーズ1906には、入力すべきパスフレーズがそのまま記載されるのではなく、例えば、SHA(Secure Hash Algorithm)を始めとしたハッシュ関数の値を記載しておき、入力されたパスフレーズのハッシュ値と比較する方式が望ましい。
【0072】
第一メールの送信情報を証明する情報として、証明書1907及び送信時刻1908がある。証明書1907は第一メールの送信者を証明するものであり、送信時刻1908は、第一メールの送信時刻を証明する情報(タイムスタンプ)を示す。これらの証明情報は、前述のように管理コストの増大を招くため、暗号化システムの安全性や信頼性とのバランスを考慮して利用できるよう、任意項目である。
【0073】
図20において、領域2004に前記メールスレッド管理情報及び前記証明書に関する情報の実施例である。領域2004はメール本文であり、前記暗号化補助文字列2003と空行を挟んで区別される。図20の実施例では、公開範囲を*@example.co.jpに制限し、パスフレーズを有効にし、失効時間や送信者証明及び送信時刻証明は設定されていない。即ち、ルートメール2000を基点とする暗号化メールスレッドは、暗号/復号処理に際してパスフレーズの入力が必要であり、且つexample.co.jpドメイン以外への送信ができない、という管理がなされている。
【0074】
ここで、ルートメール2000を基点とする暗号化メールスレッドの例を、図22に示す。メール2201はルートメール2000である。メール2201にはメール識別子であるヘッダ情報2202(Message−ID)が付与されている。メール2201はルートメールであるため、第一メール識別子を示すヘッダ情報2203が付与されており、その値はメール2204のメール識別子であるヘッダ情報2205の値と同一である。
【0075】
さらに、メール2204はルートメール2201を基点としたメールスレッドを示すためのヘッダ情報2206(In−reply−to)を持つ。ヘッダ情報2206の値は、ルートメール識別子2202の値と同一である。以下、同様にして、メール2207、メール2208と暗号化メールスレッドを構成している。
【0076】
また、ヘッダ情報2209(Content−type)は、その値がapplication/x−cryptthread−mailである場合、暗号化メールスレッドを構成する暗号化メールであることを示すものである。
【0077】
次に、図1における暗号化メール受信装置110における暗号化メール受信の処理について、図9〜図14、及び図23を用いて説明する。
【0078】
暗号化メールの新規作成において(図6)、ステップS606でルートメールを、ステップS607で暗号化された第一メールを送信している。このように、本システムでは複数の種類のメールを送信するため、暗号化メール受信装置110における受信部111では、受信したメールの種類によって処理をわける必要がある。図9にメール受信処理を示す。
【0079】
ステップS901で受信したメールがルートメールかどうかを判断する。判断基準には、例えば、図22におけるルートメール識別子2203があるか否かで判断することができる。ルートメールと判断した場合は(ステップS901で「はい」の場合)、ステップS902へ進み、ルートメール受信処理を行う。
【0080】
ルートメール受信処理を、図10に示す。ステップS1001において、利用者にルートメール受信許可があるかどうか、ルール管理部112の動作ルールで判断する。図7で例示した動作ルール700において、動作ルール705がルートメール受信許可に関するものである。動作ルール705の例示では、利用者hayashiとtanakaにルートメール受信許可が与えられている。
【0081】
ルートメール受信許可がある場合(ステップS1001で「はい」の場合)、ステップS1002へ進み、受信したルートメールをメール保存部115に保存する。続くステップS1003で検索するメール(検索メール)をルートメールに設定し、ステップS1004で関連メール移動処理を実施する。
【0082】
関連メール移動処理とは、電子メールの遅延配送を考慮した処理である。電子メールは送信順に受信が保証されるシステムではない。例えば、図6における暗号化メールの新規作成において、ルートメールと第一メールを送信したとき、先に第一メールを受信する場合がある。このとき、第一メールの基点となるルートメールが存在しないため、暗号化メールスレッドを構成することができない。このような状況でルートメールを受信したときの処理となる。
【0083】
図11に関連メール移動処理を、図14に検索条件選定処理を示す。
ステップS1401で「いいえ」と判定されるのは、WEBメールの場合である。また、SMTPで送受信するメールは、ステップS1401で「はい」と判定される。即ち、WEBメールは、一般にMessage−IDを有していないためである。したがって、WEBメールの場合は、ステップS1404又はS1405の処理が実行されることとなる。後述する図23もこれと同様である。すなわち、S2301で「いいえ」と判定されるのは、WEBメールの場合である。また、SMTPで送受信するメールは、ステップS2301で「はい」と判定される。
【0084】
ステップS1101において、検索条件を選定する。図14に移って、ステップS1401において、検索メールに設定したメールにMessage−IDヘッダ情報が存在しているかを確認する。ここでは、図10におけるステップS1003で検索メールにルートメールを設定しているためルートメール識別子が存在し、ステップS1402へ進み、検索キーにMessage−ID値、検索範囲を「なし」にする。検索範囲を指定しないのは、Message−IDのみでメールを一意に特定できるためである。
【0085】
ステップS1401で「いいえ」の場合、即ち、Message−IDヘッダ情報が存在しない場合、ステップS1403に進む。ステップS1403では、検索メールにタグが付与されているかどうかを確認する。タグが付与されている場合(ステップS1403で「はい」の場合)は、ステップS1404に進み、検索キーにタグ値、検索範囲を「時刻(未来)」とする。時刻(未来)とは、検索メールが送信された時刻より未来の時刻を示すものである。関連メール移動処理の目的は、遅延配送された検索メールよりも前に受信した検索メールを基点としたメールを検出することにある。即ち、本来ならば検索メールより後に受信すべきメールを先に受信していないかを確認することである。
【0086】
ステップS1403でタグが付与されていない場合(「いいえ」の場合)は、ステップS1405に進み、検索キーに件名、検索範囲を「時刻(未来)」とする。なお、以降では検索キーにMessage−ID値を設定した場合を例示して説明する。
【0087】
図11に戻って、ステップS1102において、設定した検索キー(Message−ID値)をIn−reply−toヘッダ情報に持つメールを一時保存領域から検索する。一時保存領域とは、前記第一メールのように遅延配送された基点を持たないメールを一時的に保存しておく領域である。検索キーがMessage−ID値であるので、検索結果は一意に決まる。
【0088】
検索結果があった場合(ステップS1103で「はい」の場合)、ステップS1104へ進み、検索メールを検索結果メールに設定し、検索結果メールは一時保存から通常の保存領域へ移動する(ステップS1105)。その後、ステップS1101へ戻り、再度、一時保存のメール検索(検索結果で見つかったメールを親とするメールを検索)を実施する。即ち、これら一連の処理は、一時保存されているメールから暗号化メールスレッドを構成するすべてのメールを検索するための処理である。すべてのメールを検索すると(ステップS1103で「いいえ」の場合)、関連メール移動処理を終了する。
【0089】
図10に戻って、ステップS1004で関連メール移動処理を実施すると、
・ルートメール → 第一メールの順で受信した場合は、ルートメールのみ
・第一メール → ルートメールの順で受信した場合は、ルートメールと第一メールがメール保存部115に保存される。なお、第一メールを先に受信した場合の処理については、後述する。
【0090】
ルートメール受信許可がない場合(ステップS1001で「いいえ」の場合)、受信したルートメールを基点とする暗号化メールスレッドを受信することができないため、差出人へ通知を行うかどうかを判断する(ステップS1005)。図7で例示した動作ルール700において、動作ルール706が差出人通知に関するものである。動作ルール706の例示では、利用者hayashi、tanaka、umedaに差出人通知許可が与えられている。
【0091】
差出人通知許可がある場合(ステップS1005で「はい」の場合)、差出人通知を行う(ステップS1006)。この場合は、ルートメールの受信ができない旨を通知する。差出人通知が許可されていない場合(ステップS1005で「いいえ」の場合)は、ステップS1006をスキップする。
【0092】
続いて、受信できないルートメールを基点とする暗号化メールスレッドを構成するメールが一時保存されていた場合、これらをすべて消去する。ステップS1007で検索メールにルートメールを設定し、図11における関連メール移動処理と同様に、一時保存からメールを検索し、消去する(ステップS1008〜S1001)。関連するすべてのメールを検索・削除した後(ステップS1009で「いいえ」の場合)、受信拒否としてルートメール受信処理を終了する。
なお、ステップS1007からS1011までの処理は、定期的に実行してもよい。
【0093】
図9に戻って、ステップS901でルートメールでないと判断した場合(「いいえ」の場合)、暗号化メールであるかどうかを判断する(ステップS903)。判断基準には、前記ヘッダ情報2209(Content−type)の値が、application/x−cryptthread−mailであるか否かで判断することができる。暗号化メールであると判断した場合は(ステップS903で「はい」の場合)、ステップS904へ進み、暗号化メール受信処理を行う。
【0094】
暗号化メール受信処理を、図12に示す。受信した暗号化メールは、暗号化メールスレッドを構成するための親メールを特定する必要がある。ステップS1201において、検索メールに受信した暗号化メールを設定し、ステップS1202において親メールの検索を実施する。
【0095】
図13に親メール検索処理を、図23に親メール検索条件選定処理を示す。
【0096】
ステップS1301において、親メールの検索条件を選定する。図23に移って、ステップS2301において、検索メールに設定した暗号化メールにIn−reply−toヘッダ情報が存在しているか確認する。例えば、図22における暗号化メール2204にはヘッダ情報2206(In−reply−to)が存在する。従って、ステップS2302へ進み、検索キーにIn−reply−to値、検索範囲を「なし」にする。検索範囲を指定しないのは、In−reply−to値であるMessage−IDのみでメールを一意に特定できるためである。
【0097】
ステップS2301で「いいえ」の場合、即ち、In−reply−toヘッダ情報が存在しない場合、ステップS2303に進む。ステップS2303では、検索メールにタグが付与されているかどうかを確認する。タグが付与されている場合(ステップS2303で「はい」の場合)は、ステップS2304に進み、検索キーにタグ値、検索範囲を「時刻(過去)」とする。時刻(過去)とは、検索メールが送信された時刻より過去の時刻を示すものである。親メール検索処理では、検索メールよりも未来のメールを検索対象とする必要はない。
【0098】
ステップS2303でタグが付与されていない場合(「いいえ」の場合)は、ステップS2305に進み、検索キーに件名、検索範囲を「時刻(過去)」とする。なお、以降ではステップS2302で検索キーにIn−reply−to値を設定した場合を例示して説明する。
【0099】
図13に戻って、ステップS1302において、設定した検索キー(In−reply−to値)をMessage−IDヘッダ情報に持つメールを保存メールから検索する。検索キーがIn−reply−to値(Message−ID)であるので、検索結果は一意に決まる。ステップS1303へ進み、検索結果を確認する。検索キーを持つメールが保存されていない場合(ステップS1303で「いいえ」の場合)は、親メール検索に失敗する。検索キーを持つメールがあった場合(ステップS1303で「はい」の場合)は、ステップS1304に進む。
【0100】
ここで、検索キーがIn−reply−to値でない場合、即ち、検索キーがタグ、もしくは件名の場合はステップS1305へ進み、検索結果の中から最新のメールをひとつ選択し、これを親メールとする。検索キーがIn−reply−to値の場合は検索結果が一意に決まるため、ステップS1305をスキップし、親メール検索処理を終了する。
【0101】
図12に戻って、ステップS1203において親メールの検索が成功した場合(「はい」の場合)、ステップS1204へ進み、受信した暗号化メールをメール保存部115に保存する。続いて、ステップS1205で検索メールに前記暗号化メールを設定し、ステップS1206で前記暗号化メールを親に持つ暗号化メールが一時保存されていないかを確認し、暗号化メール受信処理を終了する。
【0102】
親メール検索で親メールが検出されなかった場合(ステップS1203で「いいえ」の場合)、ステップS1207へ進み、差出人通知が許可されているかをルール管理部112の動作ルールで確認する。差出人通知が許可されている場合(ステップS1207で「はい」の場合)は、ステップS1208で差出人通知を実施する。この場合、暗号化メールの受信に際して親メールが発見できなかった旨を通知する。差出人通知が許可されていない場合(ステップS1207で「いいえ」の場合)は、ステップS1208をスキップする。ステップS1209に進み、前期暗号化メールを一時保存領域に保存し、暗号化メール受信処理を終了する。
【0103】
図9に戻って、ステップS903で暗号化メールでないと判断した場合(「いいえ」の場合、ステップS905へ進み、全親スレッドメールであるかどうかを判断する。全親スレッドメールの詳細については、後述する。全親スレッドメールであると判断した場合は、ステップS906へ進み、全親スレッドメール受信処理を実施する。
【0104】
全親スレッドメールでないと判断した場合(ステップS905で「いいえ」の場合)、ステップS907へ進み、差出人通知かどうかを判断する。差出人通知であると判断した場合(ステップS907で「はい」の場合)、差出人通知受信処理を実施する(ステップS908)。差出人通知受信処理では、受信した通知データを表示部116に表示したり、通知の原因となった暗号化メールへの通知マークを自動的に付与したりすることで、利用者への通知を実施する。
【0105】
以上の条件に当てはまらないメールは(ステップS907で「いいえ」の場合)、ステップS909へ進み、通常メールとして受信する。
【0106】
次に、暗号化メールの返信処理について、図15を用いて説明する。
【0107】
ステップS1501で返信対象となるメールを、検索メールに設定する。続くステップS1502においてメール復号処理を実施するが、本発明における暗号化メールスレッド構造の場合、返信対象となる暗号化メールを復号するためには、当該暗号化メールスレッドをルートメールまで遷移し、第一メールから順に復号していく必要がある。
【0108】
このような暗号化メールの復号処理について、図16を用いて説明する。
【0109】
ステップS1601で暗号化メールを保存するスタックを初期化する。ステップS1602で検索メールに復号対象となる暗号化メールを設定し、ステップS1603において親メールを検索する、復号するためには、親メールを含むすべての暗号化メールスレッドを構成するメールが必要であるため、親メール検索に失敗した場合(ステップS1604で「いいえ」の場合)、暗号化メールの復号処理に失敗して終了する。
【0110】
親メール検索に成功した場合(ステップS1604で「はい」の場合)、続くステップS1605で検索結果のメールがルートメールであるかどうかを判断する。ルートメールでない場合(ステップS1605で「いいえ」の場合)、ステップS1606へ進み、検索結果のメールをメールスタックへプッシュする。続く、ステップS1607にて、検索メールに検索結果の暗号化メールを設定し、ステップS1603に戻る。これら一連の処理を実施することで、復号対象メールからルートメールまでの暗号化メールスレッドを抽出することができる。
【0111】
ステップS1605でルートメールであった場合(「はい」の場合)、ステップS1608においてルートメール情報を抽出する。続くステップS1609で、ルートメール情報のうち、メールスレッド管理情報を参照し、例えば、図19における失効時間1905を確認することで、有効な暗号であるかどうかを判断する。暗号が無効であると判断した場合(ステップS1609で「いいえ」の場合)、メール復号処理を失敗して終了する。
【0112】
暗号が有効であると判断した場合(ステップS1609で「はい」の場合)、暗号化メールスレッドを利用した復号処理を実施する。ステップS1610に進み、共通鍵ファイルとしてルートメールを設定する。続くステップS1611で、前記メールスタックが空でない間、メールスタックから暗号化メールを取り出し(ステップS1612)、共通鍵ファイルを参照して、暗号化メール本文を復号する(ステップS1613)。このとき、必要であればパスフレーズ1618の入力が必要となる。
【0113】
暗号化メールの復号に失敗した場合(ステップS1614で「いいえ」の場合)、メール復号処理を失敗して終了する。復号に成功した場合(ステップS1614で「はい」の場合)、復号した暗号化メール本文を共通鍵ファイルに設定し(ステップS1615)、ステップS1611に戻る。このようにメールスタックが空になるまで暗号化メールの復号処理を実施し、復号対象メールの親メールまで復号する。
【0114】
ステップS1619で前記親メール本文を共通鍵ファイルとして、復号対象メールを復号する。ステップS1619での復号処理に失敗した場合(ステップS1620で「いいえ」の場合)、メール復号処理を失敗して終了する。復号処理に成功した場合(ステップS1620で「はい」の場合)、メール復号処理を終了する。
【0115】
図15に戻って、ステップS1503で返信元メールの復号処理に失敗した場合、メール返信処理を終了する。復号処理に成功した場合は、復号した返信元メールを利用者へ提示して返信メールの入力を行う(ステップS1504)。
【0116】
ステップS1504で返信メールを入力した後、返信メールを配送するが、このとき、返信元メールに対して返信宛先が利用者によって修正される場合がある。この場合、本発明における暗号化メールスレッド方式では、新規宛先側には当該暗号化メールスレッドを構成するルートメールを始めとした返信元メールまでの一連の親メールが存在しないことから、返信メールを受信してもその内容を復号することができないため、新規に追加された宛先のみ処理をわける必要がある。従って、ステップS1505で作成された返信メールに宛先の追加があるか否かを確認する。
【0117】
追加宛先がない場合(ステップS1505で「いいえ」の場合)、前記返信元メールを共通鍵ファイルとして作成した返信メールを暗号化処理する(ステップS1506)。続くステップS1507及びステップS1508において、すべての返信宛先に対して暗号化した返信メールを配信する。
【0118】
すべての宛先への返信を終了後、ステップS1509で作成した暗号化メールをメール保存部115に保存し、メール返信処理を終了する。
【0119】
ステップS1505で宛先の追加があった場合(「はい」の場合)、ステップS1510へ進み、追加されたすべての宛先について、以下の処理を実施する。
【0120】
ステップS1511において、動作ルールを確認し、その宛先や返信メールの内容から暗号化するルールであるかを判断する。暗号化するルールでない場合(ステップS1511で「いいえ」の場合)、暗号化メールの返信を非暗号化することになるため、ステップS1521へ進み、返信禁止の旨を表示し、ステップS1510へ戻る。
【0121】
暗号化するルールである場合(ステップS1511で「はい」の場合)、ステップS1512へ進み、動作ルールを確認し、全親スレッドが送信できるか否かを確認する。新規宛先が暗号化された返信メールを受信した場合、その復号のためにルートメールを含む当該暗号化メールスレッドを持っていなければならない。全親スレッドとは、当該暗号化メールスレッドを構成する全親メールを意味する。図7に例示した動作ルール700において、動作ルール707は、利用者hayashi及びtanakaに全スレッド受信許可の例である。
【0122】
当該宛先に対して全親スレッド送信許可がある場合(ステップS1512で「はい」の場合)、メール保存部107より全親スレッドを抽出する(ステップS1513)。続くステップS1514で、ステップS1506と同様に、返信元である親メールを共通鍵ファイルとして作成した返信メールを暗号化する。続くステップS1515で全親スレッドを送信し、ステップS1516で前記暗号化した返信メールを送信し、ステップS1510に戻る。
【0123】
全親スレッドが送信不可であると判断した場合(ステップS1512で「いいえ」の場合)、直前のステップS1511で暗号化すべきメールであると判断しているため、ステップS1517において新規スレッドとして作成できるか否かを動作ルールで確認する。新規スレッド作成許可がない場合(ステップS1517で「いいえ」の場合)、ステップS1521へ進み、返信禁止の旨を利用者へ提示する。
【0124】
新規スレッド作成許可がある場合(ステップS1517で「はい」の場合)、ルートメールを作成し(ステップS1518)、ルートメールを共通鍵ファイルといて返信メールを暗号化する(ステップS1519)。続くステップS1520でルートメールを送信し、ステップS1516で暗号化された返信メールを送信し、ステップS1510へ戻る。
【0125】
ステップS1510において、すべての追加宛先に対しての返信処理を終了すると、ステップS1522へ進む。動作ルールを参照した結果、追加宛先があるにも関わらず当該追加宛先へ全く返信処理が実施されていない場合(ステップS1522で「いいえ」の場合)、宛先の指定に不正があるものとみなし、既存宛先の有無に関わらずメール返信処理を終了する。追加宛先への返信があった場合(ステップS1522で「はい」の場合)、ステップS1506へ進み、既存宛先に対しての返信処理を実施する。
【0126】
図15のステップS1515で送信した全親スレッドメールは、図9のメール受信処理において、ステップS906を通して処理される。全親スレッド受信処理について、図17を用いて説明する。
【0127】
ステップS1701において動作ルールを参照し、全親スレッドの受信許可があるか否かを確認する。受信許可がない場合(ステップS1701で「いいえ」の場合)、ステップS1705へ進み、差出人通知許可があるか否かを動作ルールで確認する。差出人通知が許可されている場合(ステップS1705で「はい」の場合)、差出人へ全親スレッドの受信不可である旨を通知する(ステップS1706)。差出人通知許可がない場合(ステップS1705で「いいえ」の場合)、ステップS1706をスキップし、全親スレッドの受信を拒否する。
【0128】
全親スレッドの受信が許可されている場合(ステップS1701で「はい」の場合)、全親スレッドをメール保存部115に保存する(ステップS1702)。続くステップS1703で検索メールに全親スレッド内での最終メールを設定し、関連メール移動処理を実施する(ステップS1704)。これは、全親スレッドに続く暗号化メールを先に受信していないかを確認するための処理となる。
【0129】
次に、暗号化メールの転送処理について、図18を用いて説明する。
【0130】
ステップS1801で転送対象となるメールを、検索メールに設定する。続くステップS1802において、メール返信処理と同様に、転送対象となる暗号化メールを復号する。転送元メールの復号処理に失敗した場合(ステップS1803で「いいえ」の場合)、メール転送を終了する。
【0131】
転送元メールの復号に成功した場合(ステップS1803で「はい」の場合)、復号した転送元メールを利用者へ提示して転送メールの入力を行う(ステップS1804)。
【0132】
メール転送では転送元メールの宛先は継承されないため、ステップS1805からの一連の処理において、すべての宛先が対象となる。ステップS1806において、暗号化するルールではなかった場合(「いいえ」に場合)、暗号化メールを非暗号化で転送することになるため、ステップS1816に進み、転送禁止を利用者へ提示し、ステップS1805へ戻る。
【0133】
暗号化するルールであった場合(ステップS1806で「はい」の場合)、ステップS1807へ進み、動作ルールを確認し、全親スレッドが送信できるか否かを確認する。宛先が暗号化された転送メールを受信した場合、その復号のためにルートメールを含む当該暗号化メールスレッドを持っていなければならない。
【0134】
当該宛先に対して全親スレッド送信許可がある場合(ステップS1807で「はい」の場合)、メール保存部107より全親スレッドを抽出する(ステップS1808)。続くステップS1809で、転送元である親メールを共通鍵ファイルとして作成した転送メールを暗号化する。続くステップS1810で全親スレッドを送信し、ステップS1811で前記暗号化した転送メールを送信し、ステップS1805に戻る。
【0135】
全親スレッドが送信不可であると判断した場合(ステップS1807で「いいえ」の場合)、直前のステップS1806で暗号化すべきメールであると判断しているため、ステップS1812において新規スレッドとして作成できるか否かを動作ルールで確認する。新規スレッド作成許可がない場合(ステップS1812で「いいえ」の場合)、ステップS1816へ進み、転送禁止の旨を利用者へ提示する。
【0136】
新規スレッド作成許可がある場合(ステップS1812で「はい」の場合)、ルートメールを作成し(ステップS1813)、ルートメールを共通鍵ファイルとして作成した転送メールを暗号化する(ステップS1814)。続いて、ルートメールを送信し(ステップS1815)、暗号化した転送メールを送信し(ステップS1811)、ステップS1805へ戻る。
【0137】
ステップS1805から一連の処理をすべての宛先に対して実施した後、ステップS1817へ進み、全く転送が実施されなかった場合(「いいえ」の場合)は、メール転送処理を終了する。ひとつ以上の宛先へ暗号化メール転送処理が実施された場合(ステップS1817で「はい」の場合)は、作成した暗号化メールをメール保存部107に保存する(ステップS1818)。
【0138】
次に、メールゲートウェイ上で送受信される暗号化メールを監査する方法について、説明する。
【0139】
本発明における暗号化メールスレッド方式では、ルートメールを含むすべてのメールを所持していない限り、暗号化メールを復号することができない特徴がある。しかしながら、共通鍵ファイルである親メールのみ所持していることで、暗号化メールは復号することが可能である。この特徴を利用し、メールゲートウェイ上で監査目的に暗号化メールを復号する場合、直前のメールを復号した上で所持すればよい。
【0140】
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様を取ることが可能であり、具体的には、暗号化メール送信装置及び暗号化メール受信装置については、それぞれ複数の機器から構成されるシステムに適用しても、ひとつの機器からなるシステムに適用してもよい。
【0141】
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な内容で構成されることは言うまでもない。
【0142】
また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのソフトウェアによって表されるプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0143】
さらに、本発明を達成するためのソフトウェアによって表されるプログラムをネットワーク上のサーバ、データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0144】
なお、上述した各実施形態及びその変形例を組み合わせた構成もすべて本発明に含まれるものである。
【0145】
本発明によれば、電子メールはメールスレッド暗号化方式によって連鎖的に本文部を暗号化することができ、更にメールスレッド単位の原本保証性を確保できる。また、誤送信が発生した場合では、誤送信先がメールスレッド全体を所持していない限り、内容の閲覧はできないため、情報セキュリティが確保できる。更に、メールスレッド暗号化方式は電子メールの本文部が共通鍵ファイルとなるため鍵管理コストが軽減され、メールゲートウェイ上に電子メール本文部を保存しておくことで、情報監視が可能となる。また、ルートメールに記載される情報によって、メールスレッド単位で電子メールの送受信を含めた情報管理が可能となる等の効果を奏する。
【符号の説明】
【0146】
100 暗号化メール送信装置
101 メール入力部
102 メール本文変更部
103 スレッド検索部
104 スレッド暗号部
105 ルール管理部
106 送信部
107 メール保存部
108 ルートメール作成部
110 暗号化メール受信装置
111 受信部
112 ルール管理部
113 スレッド復号部
114 スレッド検索部
115 メール保存部
116 表示部
120 広域ネットワーク網
201 CPU
202 RAM
203 ROM
204 HDD
205 ネットワークI/F
206 記憶媒体ドライブ
207 キーボード
208 ポインティングデバイス
209 表示部
210 外部機器接続I/F
211 バス
【技術分野】
【0001】
本発明は、メール暗号複合制御システムに関し、特に暗号化電子メールにおける制御技術に関するものである。
【背景技術】
【0002】
近年のネットワーク技術の発達により、情報のやりとりにかかるコストが格段に低下する中、個人や各企業では電子メールやウェブサービスといったインターネットを利用した各種サービスを利用することにより、効率的な情報伝達ができるようになった。
【0003】
2005年の個人情報保護法の施行を始めとして、特に企業を始めとした組織では情報管理について厳格な対応を求められることになり、例えば、情報漏洩対策として、社外へ外部送信する電子メールの内容チェックを行うなど、組織が予め定めた基準に合致した場合のみ、外部への情報送信を許可するといった送信制御システムを導入することが一般的になっている。
【0004】
しかしながら、このような送信制御システムを導入しても、誤送信を始めとした情報漏洩に関する事故は後を絶たないため、情報セキュリティおける多段防御の施策として、暗号化メールの利用を検討する組織もある。
【0005】
現在、暗号化メールとして利用可能な技術として、S/MIME、PGP(Pretty Good Privacy)や、送信経路上のみを暗号化通信する製品等が販売されている。今では企業におけるメールゲートウェイでのウィルスチェックは一般的であるが、暗号化メールはEnd−To−Endの仕組みであるため、このような暗号化メールのウィルスチェックは実施不可能である。このような場合、組織外から直接、組織内部へウィルスが送り込まれることが可能である。更に言えば、暗号化メールを利用することで、組織内から機密情報が送出されたかどうかの確認も不可能であることから、暗号化メールの積極的な利用には、懸念が生じている。
【0006】
このような状況の下、パスワード保護されたZIPアーカイブを添付ファイルに利用する人が多くなってきた。パスワード保護されたZIPアーカイブを添付したメールを送信し、別メールにパスワードを記述して同じ宛先へ再び送信するという手法である。この手法では、
・別経路でパスワードを送付する等しない限り、盗聴される可能性が非常に高く、添付ファイルが保護できない
・利用者が注意深く2通目を送信しない限り、誤送信する可能性が非常に高い
という特徴があり、本質的に安全な手法とは言えない。しかしながら、組織の情報管理の観点から見れば、送受信される電子メールをすべて保存しておくことで、暗号化された添付ファイルも事後確認可能であることや、人的コストの増加で対策できることから、本質的に安全でなくても積極的に利用されている理由のひとつとされている。
また、コンテンツを暗号化して送信する手法として、特許文献1に開示されている手法では、予め受信して蓄積した複数コンテンツに組み込まれた複数鍵を使用してコンテンツの復号を実施する方法を開示している。
【先行技術文献】
【0007】
【特許文献】
【特許文献】特開2008−165486号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
このように暗号化メールを利用するにあたって、情報保護(暗号化)と情報監視(内容監査)という、相反する要求があり、更には、公開鍵暗号方式における認証局のような鍵管理コスト(運用コスト)を可能な限り抑えたいという課題がある。
更に、スレッド単位で電子メールの改竄がされていないことの確かめることが困難であった(スレッド単位で電子メールの原本性を保証することが困難であった)。
即ち、暗号化メールシステムの運用コストを抑えつつ情報監視が可能であり、第三者への誤送信が発生しても容易に情報漏洩をさせない仕組みを提供することが困難であった。
更に、インターネットサービスプロバイダ(ISP)などが提供している外部のネットワークに送信される電子メールの内容を、外部の者(ISPなど)に閲覧出来ないようにすることにより、情報漏洩を防止することが困難であった。
【0009】
本発明の目的は、同一スレッドの電子メールのデータを共通鍵として用いることにより、外部のネットワークに送出される電子メールによる情報漏洩を防止する仕組みを提供することである。
【課題を解決するための手段】
【0010】
本発明は、電子メールの暗号化と復号化を制御するメール暗号複合制御装置であって、返信ではない新規の電子メールを送信する場合に、当該新規の電子メールを暗号化及び復号化するための共通鍵データとなるルートメールを生成するルートメール生成手段と、前記ルートメール生成手段で生成されるルートメールから得られる共通鍵データを用いて、前記新規の電子メールを暗号化する第1暗号化手段と、返信の電子メールを送信する場合に、返信元メールから得られる共通鍵データを用いて、前記返信の電子メールを暗号化する第2暗号化手段と、前記ルートメール生成手段により生成されたルートメールと、前記第1暗号化手段により暗号化された電子メールと、前記第2暗号化手段により暗号化された電子メールと、暗号化されて外部から送信されてくる電子メールとを記憶する記憶手段と、暗号化されて外部から送信されてくる電子メールの親となる電子メールを、前記ルートメールまで、前記記憶手段で記憶されたデータの中から特定して暗号化メールスレッドを抽出する抽出手段と、前記抽出手段により抽出された暗号化メールスレッド中のルートメール及び電子メールに含まれる前記共通鍵データを用いて、前記暗号化されて外部から送信されてくる電子メールを復号化する復号化手段と、を備えることを特徴とする。
【発明の効果】
【0011】
本発明によれば、同一スレッドの電子メールのデータを共通鍵として用いることにより、外部のネットワークに送出される電子メールによる情報漏洩を防止することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の実施形態に係るシステムの構成例を示す模式図である。
【図2】本発明の実施形態の暗号化メール送信装置100のハードウェア構成を示す図である。
【図3】本発明の実施形態のメールサマリの一例を示す図である。
【図4】本発明の実施形態の暗号化メールスレッドの構成例を示す図である。
【図5】本発明の実施形態の転送処理を含む暗号化メールスレッドの構成例を示す図である。
【図6】本発明の実施形態の暗号化メールの新規作成を示すフローチャートである。
【図7】本発明の実施形態のルール管理部105の一例である。
【図8】本発明の実施形態のメール暗号化処理を示すフローチャートである。
【図9】本発明の実施形態のメール受信処理を示すフローチャートである。
【図10】本発明の実施形態のルートメール受信処理を示すフローチャートである。
【図11】本発明の実施形態の関連メール移動処理を示すフローチャートである。
【図12】本発明の実施形態の暗号化メール受信処理を示すフローチャートである。
【図13】本発明の実施形態の親メール検索処理を示すフローチャートである。
【図14】本発明の実施形態の検索条件選定処理を示すフローチャートである。
【図15】本発明の実施形態の暗号化メールの返信処理を示すフローチャートである。
【図16】本発明の実施形態の暗号化メールの復号処理を示すフローチャートである。
【図17】本発明の実施形態の暗号化メールスレッドにおける全親スレッドの受信処理を示すフローチャートである。
【図18】本発明の実施形態の暗号化メールの転送処理を示すフローチャートである。
【図19】本発明の実施形態のルートメール情報の一例を示す図である。
【図20】本発明の実施形態のルートメール情報の実施例を示す図である。
【図21】本発明の実施形態のメールスレッドの実施例を示す図である。
【図22】本発明の実施形態の暗号化メールスレッドの実施例を示す図である。
【図23】本発明の実施形態の親メール検索条件選定処理を示すフローチャートである。
【発明を実施するための形態】
【0013】
以下、添付図面を参照して、本発明を好適な実施形態に従って詳細に説明する。
【0014】
図1は、本発明の一実施形態を示す電子メール管理装置について、システムの構成例を示す模式図である。
【0015】
図1において、100は暗号化メール送信装置を表し、暗号化メールを送信する機能を示した模式図である。110は暗号化メール受信装置を表し、暗号化メールを受信する機能を示した模式図である。広域ネットワーク網120は、インターネットを始めとするネットワークである。
【0016】
暗号化メール送信装置100は、メール入力部101と、メール本文変更部102と、スレッド検索部103と、スレッド暗号部104と、ルール管理部105と、送信部106と、メール保存部107と、ルートメール作成部108とを備える。
【0017】
メール入力部101は、暗号化メール送信装置100にデータを入力するものであり、キーボードやマウスといった入力装置である。メール入力部101で入力されたメールは、メール本文変更部102で暗号化された本文に変更され、送信部106で暗号化メールとして送信される。なお、メール本文変更部102で変更されるメール本文は、スレッド暗号部104に送られ、スレッド検索部103がメール保存部107から検索した電子メールスレッドもしくはルートメール作成部108で作成したルートメールに基づいて暗号化される。これら一連のメールスレッド暗号化処理の詳細については、後述する。
【0018】
暗号化メール受信装置110は、受信部111と、ルール管理部112と、スレッド復号部113と、スレッド検索部114と、メール保存部115と、表示部116とを備える。
【0019】
受信部111で受信した暗号化メールはメール保存部115へ保存される。利用者が当該暗号化メールの閲覧を所望した場合は、その命令を受けたスレッド復号部113がスレッド検索部114を介してメール保存部115より当該暗号化メールを含む電子メールスレッドを検索し、スレッド復号処理を実施した上で、表示部116に表示する。これら一連のスレッド復号処理の詳細については、後述する。
【0020】
なお、スレッド検索部103とスレッド検索部114、及びルール管理部105とルール管理部112、及びメール保存部107とメール保存部115は同一機能である。
また、図1は、説明を分かりやすくするために、暗号化メール送信装置100と暗号化メール受信装置110とに分けて説明したが、暗号化メール送信装置100に示す機能及び構成は、暗号化メール受信装置110にも有しており、更に、暗号化メール受信装置110に示す機能及び構成は、暗号化メール送信装置100にも有している。したがって、暗号化メール送信装置100と暗号化メール受信装置110は、相互に暗号化メールを送受信することが可能である。
【0021】
図2は、暗号化メール送信装置100(メール暗号複合制御装置)及び暗号化メール受信装置110(メール暗号複合制御装置)のハードウェア構成を示すブロック図である。
【0022】
図2において、201はCPUで、RAM202やROM204に格納されているプログラムやデータを用いて暗号化メール送信装置100全体の制御を行うと共に、暗号化メール送信装置100が行う後述の各処理を実施する。
【0023】
RAM202は、HDD(ハードディスクドライブ)204や記憶媒体ドライブ206からロードされたプログラムやデータ、ネットワークI/F(インターフェース)205を介して外部から受信したプログラムやデータなどを一時的に記憶するためのエリアや、CPU201が各種の処理を実行する際に用いるワークエリアなど、各種のエリアを適宜提供することができる。
【0024】
ROM203は、暗号化メール送信装置100の設定データや、ブートプログラムなどを格納する。
【0025】
HDD204は、OS(オペレーティングシステム)や、暗号化メール送信装置100が行う後述の各処理をCPU201に実行させるためのプログラムやデータなどを保存するためのものであり、これらはCPU201による制御に従って適宜RAM202にロードされ、CPU201による処理対象となる。
【0026】
ネットワークI/F205は、暗号化メール送信装置100を広域ネットワーク網120に接続するためのものであり、暗号化メール送信装置100はこのネットワークI/F205を介して、広域ネットワーク網120に接続されている各装置とのデータ通信を行うことができる。
【0027】
記憶媒体ドライブ206は、CD−ROM、CD−R/RW、DVD−ROM、DVD−R/RW、DVD−RAM等の記憶媒体に記録されているプログラムやデータを読み出し、RAM202やHDD204に出力する。なお、RAM202やHDD204が保持している情報のうち一部をこの記憶媒体に記録させておいてもよい。
【0028】
キーボード207、及びマウスやジョイスティック等により構成されているポインティングデバイス208は、暗号化メール送信装置100の操作者が操作することで、各種の指示をCPU201に対して入力することができる。
【0029】
表示部209は、CRTや液晶画面等により構成されており、CPU201による処理結果を画像や文字等をもって表示することができる。
【0030】
外部機器接続I/F210は、周辺機器を暗号化メール送信装置100に接続させるためのインターフェースである。暗号化メール送信装置100は、この外部機器接続I/F210を介して、この周辺機器とのデータ送受信を行う。外部機器接続I/F210は、USBやIEEE1394等により構成されており、通常複数の外部機器接続I/Fを有する。周辺機器との接続形態は有線/無線を問わない。
【0031】
バス211は上述の各部をつなぐものである。
【0032】
なお、暗号化メール送信装置100のハードウェア構成は図2に示した構成を有するとして説明するが、必ずしも同図の構成を有することに限定するものではなく、暗号化メール送信装置100が行う処理として説明する以下の処理が実行可能な構成であれば、暗号化メール送信装置100の構成は適宜変形してもよい。
【0033】
また、暗号化メール受信装置110のハードウェア構成については、これらには一般のコンピュータを適用するので、周知の如く、概ね図2に示した構成を有する。更には、暗号化メール送信装置100及び暗号化メール受信装置110は同一のハードウェア上で構成してもよい。
【0034】
次に、メールスレッドについて図3及び図21を用いて説明する。
【0035】
図3はメールサマリの一例を示す図である。メールサマリ300は利用者のクライアント端末装置に保存されているメールの一部を表示したものである。また、ひとつの話題について差出人及びメール受信者の間でやりとりされた複数のメールを時系列に並べたものを、メールスレッドと呼ぶ。
【0036】
メールサマリ300において、メール301を基点としたメール302、メール303、メール304及びメール305が第一のメールスレッドを構成している。メール302、メール303、メール304及びメール305はすべて直前のメールへの返信処理であることを示している。
【0037】
また、メール306を基点としてメール307及びメール308は第二のメールスレッドを構成している。なお、メール308については、メール307の返信処理ではなく、メール306を差出人hayashiが宛先umedaへ転送したことを示している。
【0038】
このように、複数メールからなるメールスレッドの構成を判断する第一の手法として、RFC(Request for Comments)2822に記述されている、Message−ID、In−Reply−ToもしくはReferenceの各ヘッダ情報を参照する手法がある。
【0039】
第一の手法について、図21を用いて詳しく説明する。メール2101は電子メールの一例であり、RFC2822に記述されているように、メール2101が唯一のものであると識別するために、Message−IDヘッダ2102を有している。また、メール2103は電子メールを返信した場合の一例であり、メール2101に対する返信処理を実施したものである。
【0040】
RFC2822に記述されているように、返信処理において返信元となるメールの識別情報をIn−Reply−Toヘッダに記載するべきであるとされており、メール2103において、In−Reply−Toヘッダ2104が付与されており、その値としてメール2101のMessage−IDヘッダ2102の値が記載されている。
【0041】
メール2101を送信しメール2103を受信した差出人のクライアント端末装置では、これらのへッダ情報を参照することで、メール2101の返信がメール2103であるとわかることから、メール2101とメール2103がメールスレッドを構成すると判断することができる。
【0042】
同様に、メール2106においても、In−Reply−Toヘッダ2108の値は、メール2103のMessage−IDヘッダ2105の値となっている。従って、メール2106も前記メールスレッドを構成するメールの一部であると判断できる。
【0043】
メールスレッドを構成するメールであると判断する第二の手法として、任意につけられたタグと呼ばれるものを使用する手法がある。タグは、クライアント端末利用者が任意に付与することもあれば、電子メールシステムで自動的に付与する場合もある。システムで自動化する場合は、例えば、複数の差出人をグループ化したものを利用する場合や、ある特定のヘッダ情報が同一のものに対して付与する場合がある。
【0044】
メールスレッドの構成を判断する第三の手法として、件名が同じものを集めるという手法がある。返信メールや転送メールの場合、基になるメールの件名に返信を表す「Re:」や、転送を表す「Fw:」といった形式的な文字列を付与する。従って、このような文字列を除いた件名を持つ同一のメールがメールスレッドを構成すると判断する手法である。
【0045】
なお、前記第二及び前記第三の手法では、条件に該当する複数通のメールが検出されるため、時間順で並べるために各メールにおける送信時刻が参照される。
【0046】
以上、メールスレッドの構成判断手法について説明したが、以降の例では第一の手法(RFC2822)を主体として説明する。
【0047】
次に、メールスレッド構造を利用したメールスレッド暗号化の概要について、図4及び図5を用いて説明する。
【0048】
図3におけるメール301を基点とした第一のメールスレッドが暗号化メールスレッドである場合の構成例の一部を、図4に示す。暗号化メール構造402はメール301に相当し、暗号化メール構造405はメール302に相当する。このとき、メール本文部は暗号化された状態(403及び406)にある。
【0049】
メールスレッド暗号化方式における復号処理は、当該メールの親メールの本文部を共通鍵ファイルとして使用する特徴を持つ。従って、暗号化本文406の復号鍵は、親メールにあたる暗号化メール構造402の暗号化本文403を復号したメール本文404である。即ち、メール本文404を共通鍵ファイルとして暗号化本文406を復号し、メール本文407を得る。
【0050】
このとき、共通鍵ファイルであるメール本文404を得るためには、暗号化本文403を復号しなければならない。この復号鍵となるのがルートメール構造400のルートメール本文401である。ルートメールの詳細については、後述する。
【0051】
図3におけるメール303を基点とした第二のメールスレッドが暗号化メールスレッドである場合の構成例の一部を、図5に示す。暗号化メール構造502はメール306に相当し、暗号化メール構造505はメール307に相当し、暗号化メール構造508はメール308に相当する。暗号化メール構造508は暗号化メール構造502と転送処理関係にある。従って、暗号化メール構造508の暗号化本文509を復号する共通鍵ファイルは、暗号化メール構造502の復号したメール本文504であり、暗号化メール構造505の暗号化本文506を復号する共通鍵ファイルと同一である。
【0052】
このようにメールスレッド暗号化方式では、暗号化された本文部を復号するために親メールを連鎖的に復号していく必要がある。従って、ルートメールを含むメールスレッドを構成するすべてのメールを所持していない限り、暗号化本文を復号できない構造を特徴としている。
【0053】
次に、メールスレッド暗号化方式において、メールを新規作成する場合の手順について、図1、図6、図7、図8を用いて説明する。
【0054】
図6に暗号化メールを新規作成する場合のフローを示す。ステップS601において、利用者が図1におけるメール入力部101を操作することにより、新規メールを作成する。新規作成したメールを第一メールと呼び、この時点で第一メールは暗号化されていない。
【0055】
続いて、ステップS602において、第一メールが暗号化の対象であるかどうかを確認する。即ち、図1においてメール本文変更部102へ送られた第一メールに対して、ルール管理部105が動作ルールを参照する。
【0056】
図7に、動作ルール700の一例を示す。動作ルールとは、作成されたメールの内容や宛先などの各種条件に応じて、システムがどのような動作を行うかを記述した管理テーブルである。例えば、動作ルール701は「宛先が組織外を含む場合は暗号化する」を示し、動作ルール702は、「キーワード検査の結果に“社外秘”を含む場合は暗号化する」を示し、動作ルール703は「添付ファイルがある場合は暗号化する」を示す。
【0057】
図6に戻って、ステップS602で「いいえ」の場合、即ち、暗号化対象外のメールであると判断した場合は、ステップS610において第一メールは非暗号化状態のまま送信部106へ送られ、送信処理を完了する。続くステップS609において、第一メールは非暗号化状態のままメール保存部107に保存される。
【0058】
第一メールが暗号化対象であると判断した場合(ステップS602で「はい」の場合)、ステップS603へ進み、当該第一メールを作成した利用者に新規スレッド作成許可があるかどうかをルール管理部105で参照する。例えば、図7における動作ルール704は「利用者hayashi及びtanakaには新規作成許可がある」ことを示している。当該利用者に新規スレッド作成許可がない場合(ステップS603で「いいえ」の場合)は、その旨を当該利用者に通知し、処理を停止する。
【0059】
当該利用者に新規スレッド作成許可がある場合(ステップS603で「はい」の場合)、ステップS604に進み、ルートメール作成部108においてルートメールを作成する。ルートメールとは、前記暗号化メール構造400及び前記暗号化メール構造500に示したように暗号化メールスレッドの基点となる特殊なメールであり、第一メールの本文部の暗号/復号処理の共通鍵ファイルとなるメールである。ルートメールの詳細については、後述する。
【0060】
ステップS604で作成されたルートメールを共通鍵ファイルとして、ステップS605において、第一メールの暗号化処理を実施する。ここで、図8を用いて暗号化処理について説明する。
【0061】
図8のステップS801において、前記第一メールの暗号化対象となるメール本文を抽出する。続いて、ステップS802において、前記ルートメールを共通鍵ファイルとして抽出したメール本文を暗号化する。このとき、ルートメールの作成時にパスフレーズの利用を指定することで、パスフレーズを利用者が入力し、暗号化強度を向上することもできる。パスフレーズを始めとしたルートメールの詳細については、後述する。
【0062】
続くステップS803において、暗号化されたメール本文はメールサーバーで処理できるようにテキスト文字列に変換され、前記第一メールの本文と差替えられる。また、第一メールのヘッダ部には、前記ルートメールから連鎖していることを示すために、RFC2822に基づいたIn−Reply−To(もしくはReferenceヘッダ)が付与される。このとき、前記ルートメールに付与したMessage−IDの識別子がヘッダ値として付与される。これらルートメールを基点とした連鎖関係の詳細については、後述する。
【0063】
図6に戻って、ステップS606で前記ルートメールは送信部106より送信される。続いて、ステップS607で暗号化された第一メールが送信部106より送信される。送信完了後、ステップS608において、前記ルートメールはメール保存部107に保存され、続くステップS609において、前記暗号化第一メールもメール保存部107へ保存され、新規作成処理を終了する。
【0064】
ここで、ステップS604で作成するルートメールについて説明する。
【0065】
前述のように、ルートメールは暗号化メールスレッドの基点となるものであり、第一メールの作成時等において自動的に作成されるものである。ルートメール作成時において当該ルートメールには、以下の何れか一つ以上の情報が記載される。
(1)メール識別子に関する情報
(2)暗号化用の補助情報
(3)メールスレッド管理方法に関する情報
(4)第一メールの送信情報を証明する情報
このようなルートメール情報について、図19を用いて詳しく説明し、図20に実施例を示す。
【0066】
図19におけるルートメール情報1900は、ルートメールに記載されるルートメール情報の一例を示している。ルートメール識別子1901、第一メール識別子1902はメール識別子に関する情報である。ルートメール識別子1901は当該ルートメールを唯一のものであると判断するための任意の文字列情報であり、前記RFC2822のMessage−IDに相当する。また、第一メール識別子1902は、例えば、図6におけるステップS601で作成した前記第一メールのMessage−IDを示す。
【0067】
図20において、ルートメール2000はルートメールの実施例を示す。ヘッダ情報2001(Message−ID)が前記ルートメール識別子1901の実施例であり、ヘッダ情報2002(X−CryptThread−Mail)が前記第一メール識別子1902の実施例である。
【0068】
暗号化補助文字列1903は、ルートメール自体を共通鍵ファイルとするときの暗号強度を強化させるために、ランダムな文字列を予め記載しておくものである。図20において、暗号化補助文字列2003が前記暗号化補助文字列1903の実施例である。暗号化補助文字列2003は、メール本文領域に記述される。
【0069】
ルートメール識別子1901、第一メール識別子1902、及び暗号化補助文字列1903はルートメール情報として必須項目である。
【0070】
メールスレッド管理情報として、公開範囲1904、失効時間1905、及びパスフレーズ1906がある。これらの情報は、前記第一メールを基点としたメールスレッドの管理に関する情報であり、任意項目である。公開範囲1904は、予め指定した範囲外へのメール送信を制限するものである。後述する暗号化メールスレッドからの返信や転送処理において利用される。失効時間1905は、暗号化メールスレッドの失効時間を指定するものである。
【0071】
パスフレーズ1906は、メールの暗号化及び復号処理において、利用者にパスフレーズの入力を強要するものである。例えば、前記ステップS802のメール本文の暗号化処理において、当該暗号化メールスレッドのルートメールにパスフレーズの記載がある場合、パスフレーズの入力が強要され、入力したパスフレーズとルートメールに記載されたパスフレーズが一致しないと、暗号化処理に失敗することとなる。なお、パスフレーズ1906には、入力すべきパスフレーズがそのまま記載されるのではなく、例えば、SHA(Secure Hash Algorithm)を始めとしたハッシュ関数の値を記載しておき、入力されたパスフレーズのハッシュ値と比較する方式が望ましい。
【0072】
第一メールの送信情報を証明する情報として、証明書1907及び送信時刻1908がある。証明書1907は第一メールの送信者を証明するものであり、送信時刻1908は、第一メールの送信時刻を証明する情報(タイムスタンプ)を示す。これらの証明情報は、前述のように管理コストの増大を招くため、暗号化システムの安全性や信頼性とのバランスを考慮して利用できるよう、任意項目である。
【0073】
図20において、領域2004に前記メールスレッド管理情報及び前記証明書に関する情報の実施例である。領域2004はメール本文であり、前記暗号化補助文字列2003と空行を挟んで区別される。図20の実施例では、公開範囲を*@example.co.jpに制限し、パスフレーズを有効にし、失効時間や送信者証明及び送信時刻証明は設定されていない。即ち、ルートメール2000を基点とする暗号化メールスレッドは、暗号/復号処理に際してパスフレーズの入力が必要であり、且つexample.co.jpドメイン以外への送信ができない、という管理がなされている。
【0074】
ここで、ルートメール2000を基点とする暗号化メールスレッドの例を、図22に示す。メール2201はルートメール2000である。メール2201にはメール識別子であるヘッダ情報2202(Message−ID)が付与されている。メール2201はルートメールであるため、第一メール識別子を示すヘッダ情報2203が付与されており、その値はメール2204のメール識別子であるヘッダ情報2205の値と同一である。
【0075】
さらに、メール2204はルートメール2201を基点としたメールスレッドを示すためのヘッダ情報2206(In−reply−to)を持つ。ヘッダ情報2206の値は、ルートメール識別子2202の値と同一である。以下、同様にして、メール2207、メール2208と暗号化メールスレッドを構成している。
【0076】
また、ヘッダ情報2209(Content−type)は、その値がapplication/x−cryptthread−mailである場合、暗号化メールスレッドを構成する暗号化メールであることを示すものである。
【0077】
次に、図1における暗号化メール受信装置110における暗号化メール受信の処理について、図9〜図14、及び図23を用いて説明する。
【0078】
暗号化メールの新規作成において(図6)、ステップS606でルートメールを、ステップS607で暗号化された第一メールを送信している。このように、本システムでは複数の種類のメールを送信するため、暗号化メール受信装置110における受信部111では、受信したメールの種類によって処理をわける必要がある。図9にメール受信処理を示す。
【0079】
ステップS901で受信したメールがルートメールかどうかを判断する。判断基準には、例えば、図22におけるルートメール識別子2203があるか否かで判断することができる。ルートメールと判断した場合は(ステップS901で「はい」の場合)、ステップS902へ進み、ルートメール受信処理を行う。
【0080】
ルートメール受信処理を、図10に示す。ステップS1001において、利用者にルートメール受信許可があるかどうか、ルール管理部112の動作ルールで判断する。図7で例示した動作ルール700において、動作ルール705がルートメール受信許可に関するものである。動作ルール705の例示では、利用者hayashiとtanakaにルートメール受信許可が与えられている。
【0081】
ルートメール受信許可がある場合(ステップS1001で「はい」の場合)、ステップS1002へ進み、受信したルートメールをメール保存部115に保存する。続くステップS1003で検索するメール(検索メール)をルートメールに設定し、ステップS1004で関連メール移動処理を実施する。
【0082】
関連メール移動処理とは、電子メールの遅延配送を考慮した処理である。電子メールは送信順に受信が保証されるシステムではない。例えば、図6における暗号化メールの新規作成において、ルートメールと第一メールを送信したとき、先に第一メールを受信する場合がある。このとき、第一メールの基点となるルートメールが存在しないため、暗号化メールスレッドを構成することができない。このような状況でルートメールを受信したときの処理となる。
【0083】
図11に関連メール移動処理を、図14に検索条件選定処理を示す。
ステップS1401で「いいえ」と判定されるのは、WEBメールの場合である。また、SMTPで送受信するメールは、ステップS1401で「はい」と判定される。即ち、WEBメールは、一般にMessage−IDを有していないためである。したがって、WEBメールの場合は、ステップS1404又はS1405の処理が実行されることとなる。後述する図23もこれと同様である。すなわち、S2301で「いいえ」と判定されるのは、WEBメールの場合である。また、SMTPで送受信するメールは、ステップS2301で「はい」と判定される。
【0084】
ステップS1101において、検索条件を選定する。図14に移って、ステップS1401において、検索メールに設定したメールにMessage−IDヘッダ情報が存在しているかを確認する。ここでは、図10におけるステップS1003で検索メールにルートメールを設定しているためルートメール識別子が存在し、ステップS1402へ進み、検索キーにMessage−ID値、検索範囲を「なし」にする。検索範囲を指定しないのは、Message−IDのみでメールを一意に特定できるためである。
【0085】
ステップS1401で「いいえ」の場合、即ち、Message−IDヘッダ情報が存在しない場合、ステップS1403に進む。ステップS1403では、検索メールにタグが付与されているかどうかを確認する。タグが付与されている場合(ステップS1403で「はい」の場合)は、ステップS1404に進み、検索キーにタグ値、検索範囲を「時刻(未来)」とする。時刻(未来)とは、検索メールが送信された時刻より未来の時刻を示すものである。関連メール移動処理の目的は、遅延配送された検索メールよりも前に受信した検索メールを基点としたメールを検出することにある。即ち、本来ならば検索メールより後に受信すべきメールを先に受信していないかを確認することである。
【0086】
ステップS1403でタグが付与されていない場合(「いいえ」の場合)は、ステップS1405に進み、検索キーに件名、検索範囲を「時刻(未来)」とする。なお、以降では検索キーにMessage−ID値を設定した場合を例示して説明する。
【0087】
図11に戻って、ステップS1102において、設定した検索キー(Message−ID値)をIn−reply−toヘッダ情報に持つメールを一時保存領域から検索する。一時保存領域とは、前記第一メールのように遅延配送された基点を持たないメールを一時的に保存しておく領域である。検索キーがMessage−ID値であるので、検索結果は一意に決まる。
【0088】
検索結果があった場合(ステップS1103で「はい」の場合)、ステップS1104へ進み、検索メールを検索結果メールに設定し、検索結果メールは一時保存から通常の保存領域へ移動する(ステップS1105)。その後、ステップS1101へ戻り、再度、一時保存のメール検索(検索結果で見つかったメールを親とするメールを検索)を実施する。即ち、これら一連の処理は、一時保存されているメールから暗号化メールスレッドを構成するすべてのメールを検索するための処理である。すべてのメールを検索すると(ステップS1103で「いいえ」の場合)、関連メール移動処理を終了する。
【0089】
図10に戻って、ステップS1004で関連メール移動処理を実施すると、
・ルートメール → 第一メールの順で受信した場合は、ルートメールのみ
・第一メール → ルートメールの順で受信した場合は、ルートメールと第一メールがメール保存部115に保存される。なお、第一メールを先に受信した場合の処理については、後述する。
【0090】
ルートメール受信許可がない場合(ステップS1001で「いいえ」の場合)、受信したルートメールを基点とする暗号化メールスレッドを受信することができないため、差出人へ通知を行うかどうかを判断する(ステップS1005)。図7で例示した動作ルール700において、動作ルール706が差出人通知に関するものである。動作ルール706の例示では、利用者hayashi、tanaka、umedaに差出人通知許可が与えられている。
【0091】
差出人通知許可がある場合(ステップS1005で「はい」の場合)、差出人通知を行う(ステップS1006)。この場合は、ルートメールの受信ができない旨を通知する。差出人通知が許可されていない場合(ステップS1005で「いいえ」の場合)は、ステップS1006をスキップする。
【0092】
続いて、受信できないルートメールを基点とする暗号化メールスレッドを構成するメールが一時保存されていた場合、これらをすべて消去する。ステップS1007で検索メールにルートメールを設定し、図11における関連メール移動処理と同様に、一時保存からメールを検索し、消去する(ステップS1008〜S1001)。関連するすべてのメールを検索・削除した後(ステップS1009で「いいえ」の場合)、受信拒否としてルートメール受信処理を終了する。
なお、ステップS1007からS1011までの処理は、定期的に実行してもよい。
【0093】
図9に戻って、ステップS901でルートメールでないと判断した場合(「いいえ」の場合)、暗号化メールであるかどうかを判断する(ステップS903)。判断基準には、前記ヘッダ情報2209(Content−type)の値が、application/x−cryptthread−mailであるか否かで判断することができる。暗号化メールであると判断した場合は(ステップS903で「はい」の場合)、ステップS904へ進み、暗号化メール受信処理を行う。
【0094】
暗号化メール受信処理を、図12に示す。受信した暗号化メールは、暗号化メールスレッドを構成するための親メールを特定する必要がある。ステップS1201において、検索メールに受信した暗号化メールを設定し、ステップS1202において親メールの検索を実施する。
【0095】
図13に親メール検索処理を、図23に親メール検索条件選定処理を示す。
【0096】
ステップS1301において、親メールの検索条件を選定する。図23に移って、ステップS2301において、検索メールに設定した暗号化メールにIn−reply−toヘッダ情報が存在しているか確認する。例えば、図22における暗号化メール2204にはヘッダ情報2206(In−reply−to)が存在する。従って、ステップS2302へ進み、検索キーにIn−reply−to値、検索範囲を「なし」にする。検索範囲を指定しないのは、In−reply−to値であるMessage−IDのみでメールを一意に特定できるためである。
【0097】
ステップS2301で「いいえ」の場合、即ち、In−reply−toヘッダ情報が存在しない場合、ステップS2303に進む。ステップS2303では、検索メールにタグが付与されているかどうかを確認する。タグが付与されている場合(ステップS2303で「はい」の場合)は、ステップS2304に進み、検索キーにタグ値、検索範囲を「時刻(過去)」とする。時刻(過去)とは、検索メールが送信された時刻より過去の時刻を示すものである。親メール検索処理では、検索メールよりも未来のメールを検索対象とする必要はない。
【0098】
ステップS2303でタグが付与されていない場合(「いいえ」の場合)は、ステップS2305に進み、検索キーに件名、検索範囲を「時刻(過去)」とする。なお、以降ではステップS2302で検索キーにIn−reply−to値を設定した場合を例示して説明する。
【0099】
図13に戻って、ステップS1302において、設定した検索キー(In−reply−to値)をMessage−IDヘッダ情報に持つメールを保存メールから検索する。検索キーがIn−reply−to値(Message−ID)であるので、検索結果は一意に決まる。ステップS1303へ進み、検索結果を確認する。検索キーを持つメールが保存されていない場合(ステップS1303で「いいえ」の場合)は、親メール検索に失敗する。検索キーを持つメールがあった場合(ステップS1303で「はい」の場合)は、ステップS1304に進む。
【0100】
ここで、検索キーがIn−reply−to値でない場合、即ち、検索キーがタグ、もしくは件名の場合はステップS1305へ進み、検索結果の中から最新のメールをひとつ選択し、これを親メールとする。検索キーがIn−reply−to値の場合は検索結果が一意に決まるため、ステップS1305をスキップし、親メール検索処理を終了する。
【0101】
図12に戻って、ステップS1203において親メールの検索が成功した場合(「はい」の場合)、ステップS1204へ進み、受信した暗号化メールをメール保存部115に保存する。続いて、ステップS1205で検索メールに前記暗号化メールを設定し、ステップS1206で前記暗号化メールを親に持つ暗号化メールが一時保存されていないかを確認し、暗号化メール受信処理を終了する。
【0102】
親メール検索で親メールが検出されなかった場合(ステップS1203で「いいえ」の場合)、ステップS1207へ進み、差出人通知が許可されているかをルール管理部112の動作ルールで確認する。差出人通知が許可されている場合(ステップS1207で「はい」の場合)は、ステップS1208で差出人通知を実施する。この場合、暗号化メールの受信に際して親メールが発見できなかった旨を通知する。差出人通知が許可されていない場合(ステップS1207で「いいえ」の場合)は、ステップS1208をスキップする。ステップS1209に進み、前期暗号化メールを一時保存領域に保存し、暗号化メール受信処理を終了する。
【0103】
図9に戻って、ステップS903で暗号化メールでないと判断した場合(「いいえ」の場合、ステップS905へ進み、全親スレッドメールであるかどうかを判断する。全親スレッドメールの詳細については、後述する。全親スレッドメールであると判断した場合は、ステップS906へ進み、全親スレッドメール受信処理を実施する。
【0104】
全親スレッドメールでないと判断した場合(ステップS905で「いいえ」の場合)、ステップS907へ進み、差出人通知かどうかを判断する。差出人通知であると判断した場合(ステップS907で「はい」の場合)、差出人通知受信処理を実施する(ステップS908)。差出人通知受信処理では、受信した通知データを表示部116に表示したり、通知の原因となった暗号化メールへの通知マークを自動的に付与したりすることで、利用者への通知を実施する。
【0105】
以上の条件に当てはまらないメールは(ステップS907で「いいえ」の場合)、ステップS909へ進み、通常メールとして受信する。
【0106】
次に、暗号化メールの返信処理について、図15を用いて説明する。
【0107】
ステップS1501で返信対象となるメールを、検索メールに設定する。続くステップS1502においてメール復号処理を実施するが、本発明における暗号化メールスレッド構造の場合、返信対象となる暗号化メールを復号するためには、当該暗号化メールスレッドをルートメールまで遷移し、第一メールから順に復号していく必要がある。
【0108】
このような暗号化メールの復号処理について、図16を用いて説明する。
【0109】
ステップS1601で暗号化メールを保存するスタックを初期化する。ステップS1602で検索メールに復号対象となる暗号化メールを設定し、ステップS1603において親メールを検索する、復号するためには、親メールを含むすべての暗号化メールスレッドを構成するメールが必要であるため、親メール検索に失敗した場合(ステップS1604で「いいえ」の場合)、暗号化メールの復号処理に失敗して終了する。
【0110】
親メール検索に成功した場合(ステップS1604で「はい」の場合)、続くステップS1605で検索結果のメールがルートメールであるかどうかを判断する。ルートメールでない場合(ステップS1605で「いいえ」の場合)、ステップS1606へ進み、検索結果のメールをメールスタックへプッシュする。続く、ステップS1607にて、検索メールに検索結果の暗号化メールを設定し、ステップS1603に戻る。これら一連の処理を実施することで、復号対象メールからルートメールまでの暗号化メールスレッドを抽出することができる。
【0111】
ステップS1605でルートメールであった場合(「はい」の場合)、ステップS1608においてルートメール情報を抽出する。続くステップS1609で、ルートメール情報のうち、メールスレッド管理情報を参照し、例えば、図19における失効時間1905を確認することで、有効な暗号であるかどうかを判断する。暗号が無効であると判断した場合(ステップS1609で「いいえ」の場合)、メール復号処理を失敗して終了する。
【0112】
暗号が有効であると判断した場合(ステップS1609で「はい」の場合)、暗号化メールスレッドを利用した復号処理を実施する。ステップS1610に進み、共通鍵ファイルとしてルートメールを設定する。続くステップS1611で、前記メールスタックが空でない間、メールスタックから暗号化メールを取り出し(ステップS1612)、共通鍵ファイルを参照して、暗号化メール本文を復号する(ステップS1613)。このとき、必要であればパスフレーズ1618の入力が必要となる。
【0113】
暗号化メールの復号に失敗した場合(ステップS1614で「いいえ」の場合)、メール復号処理を失敗して終了する。復号に成功した場合(ステップS1614で「はい」の場合)、復号した暗号化メール本文を共通鍵ファイルに設定し(ステップS1615)、ステップS1611に戻る。このようにメールスタックが空になるまで暗号化メールの復号処理を実施し、復号対象メールの親メールまで復号する。
【0114】
ステップS1619で前記親メール本文を共通鍵ファイルとして、復号対象メールを復号する。ステップS1619での復号処理に失敗した場合(ステップS1620で「いいえ」の場合)、メール復号処理を失敗して終了する。復号処理に成功した場合(ステップS1620で「はい」の場合)、メール復号処理を終了する。
【0115】
図15に戻って、ステップS1503で返信元メールの復号処理に失敗した場合、メール返信処理を終了する。復号処理に成功した場合は、復号した返信元メールを利用者へ提示して返信メールの入力を行う(ステップS1504)。
【0116】
ステップS1504で返信メールを入力した後、返信メールを配送するが、このとき、返信元メールに対して返信宛先が利用者によって修正される場合がある。この場合、本発明における暗号化メールスレッド方式では、新規宛先側には当該暗号化メールスレッドを構成するルートメールを始めとした返信元メールまでの一連の親メールが存在しないことから、返信メールを受信してもその内容を復号することができないため、新規に追加された宛先のみ処理をわける必要がある。従って、ステップS1505で作成された返信メールに宛先の追加があるか否かを確認する。
【0117】
追加宛先がない場合(ステップS1505で「いいえ」の場合)、前記返信元メールを共通鍵ファイルとして作成した返信メールを暗号化処理する(ステップS1506)。続くステップS1507及びステップS1508において、すべての返信宛先に対して暗号化した返信メールを配信する。
【0118】
すべての宛先への返信を終了後、ステップS1509で作成した暗号化メールをメール保存部115に保存し、メール返信処理を終了する。
【0119】
ステップS1505で宛先の追加があった場合(「はい」の場合)、ステップS1510へ進み、追加されたすべての宛先について、以下の処理を実施する。
【0120】
ステップS1511において、動作ルールを確認し、その宛先や返信メールの内容から暗号化するルールであるかを判断する。暗号化するルールでない場合(ステップS1511で「いいえ」の場合)、暗号化メールの返信を非暗号化することになるため、ステップS1521へ進み、返信禁止の旨を表示し、ステップS1510へ戻る。
【0121】
暗号化するルールである場合(ステップS1511で「はい」の場合)、ステップS1512へ進み、動作ルールを確認し、全親スレッドが送信できるか否かを確認する。新規宛先が暗号化された返信メールを受信した場合、その復号のためにルートメールを含む当該暗号化メールスレッドを持っていなければならない。全親スレッドとは、当該暗号化メールスレッドを構成する全親メールを意味する。図7に例示した動作ルール700において、動作ルール707は、利用者hayashi及びtanakaに全スレッド受信許可の例である。
【0122】
当該宛先に対して全親スレッド送信許可がある場合(ステップS1512で「はい」の場合)、メール保存部107より全親スレッドを抽出する(ステップS1513)。続くステップS1514で、ステップS1506と同様に、返信元である親メールを共通鍵ファイルとして作成した返信メールを暗号化する。続くステップS1515で全親スレッドを送信し、ステップS1516で前記暗号化した返信メールを送信し、ステップS1510に戻る。
【0123】
全親スレッドが送信不可であると判断した場合(ステップS1512で「いいえ」の場合)、直前のステップS1511で暗号化すべきメールであると判断しているため、ステップS1517において新規スレッドとして作成できるか否かを動作ルールで確認する。新規スレッド作成許可がない場合(ステップS1517で「いいえ」の場合)、ステップS1521へ進み、返信禁止の旨を利用者へ提示する。
【0124】
新規スレッド作成許可がある場合(ステップS1517で「はい」の場合)、ルートメールを作成し(ステップS1518)、ルートメールを共通鍵ファイルといて返信メールを暗号化する(ステップS1519)。続くステップS1520でルートメールを送信し、ステップS1516で暗号化された返信メールを送信し、ステップS1510へ戻る。
【0125】
ステップS1510において、すべての追加宛先に対しての返信処理を終了すると、ステップS1522へ進む。動作ルールを参照した結果、追加宛先があるにも関わらず当該追加宛先へ全く返信処理が実施されていない場合(ステップS1522で「いいえ」の場合)、宛先の指定に不正があるものとみなし、既存宛先の有無に関わらずメール返信処理を終了する。追加宛先への返信があった場合(ステップS1522で「はい」の場合)、ステップS1506へ進み、既存宛先に対しての返信処理を実施する。
【0126】
図15のステップS1515で送信した全親スレッドメールは、図9のメール受信処理において、ステップS906を通して処理される。全親スレッド受信処理について、図17を用いて説明する。
【0127】
ステップS1701において動作ルールを参照し、全親スレッドの受信許可があるか否かを確認する。受信許可がない場合(ステップS1701で「いいえ」の場合)、ステップS1705へ進み、差出人通知許可があるか否かを動作ルールで確認する。差出人通知が許可されている場合(ステップS1705で「はい」の場合)、差出人へ全親スレッドの受信不可である旨を通知する(ステップS1706)。差出人通知許可がない場合(ステップS1705で「いいえ」の場合)、ステップS1706をスキップし、全親スレッドの受信を拒否する。
【0128】
全親スレッドの受信が許可されている場合(ステップS1701で「はい」の場合)、全親スレッドをメール保存部115に保存する(ステップS1702)。続くステップS1703で検索メールに全親スレッド内での最終メールを設定し、関連メール移動処理を実施する(ステップS1704)。これは、全親スレッドに続く暗号化メールを先に受信していないかを確認するための処理となる。
【0129】
次に、暗号化メールの転送処理について、図18を用いて説明する。
【0130】
ステップS1801で転送対象となるメールを、検索メールに設定する。続くステップS1802において、メール返信処理と同様に、転送対象となる暗号化メールを復号する。転送元メールの復号処理に失敗した場合(ステップS1803で「いいえ」の場合)、メール転送を終了する。
【0131】
転送元メールの復号に成功した場合(ステップS1803で「はい」の場合)、復号した転送元メールを利用者へ提示して転送メールの入力を行う(ステップS1804)。
【0132】
メール転送では転送元メールの宛先は継承されないため、ステップS1805からの一連の処理において、すべての宛先が対象となる。ステップS1806において、暗号化するルールではなかった場合(「いいえ」に場合)、暗号化メールを非暗号化で転送することになるため、ステップS1816に進み、転送禁止を利用者へ提示し、ステップS1805へ戻る。
【0133】
暗号化するルールであった場合(ステップS1806で「はい」の場合)、ステップS1807へ進み、動作ルールを確認し、全親スレッドが送信できるか否かを確認する。宛先が暗号化された転送メールを受信した場合、その復号のためにルートメールを含む当該暗号化メールスレッドを持っていなければならない。
【0134】
当該宛先に対して全親スレッド送信許可がある場合(ステップS1807で「はい」の場合)、メール保存部107より全親スレッドを抽出する(ステップS1808)。続くステップS1809で、転送元である親メールを共通鍵ファイルとして作成した転送メールを暗号化する。続くステップS1810で全親スレッドを送信し、ステップS1811で前記暗号化した転送メールを送信し、ステップS1805に戻る。
【0135】
全親スレッドが送信不可であると判断した場合(ステップS1807で「いいえ」の場合)、直前のステップS1806で暗号化すべきメールであると判断しているため、ステップS1812において新規スレッドとして作成できるか否かを動作ルールで確認する。新規スレッド作成許可がない場合(ステップS1812で「いいえ」の場合)、ステップS1816へ進み、転送禁止の旨を利用者へ提示する。
【0136】
新規スレッド作成許可がある場合(ステップS1812で「はい」の場合)、ルートメールを作成し(ステップS1813)、ルートメールを共通鍵ファイルとして作成した転送メールを暗号化する(ステップS1814)。続いて、ルートメールを送信し(ステップS1815)、暗号化した転送メールを送信し(ステップS1811)、ステップS1805へ戻る。
【0137】
ステップS1805から一連の処理をすべての宛先に対して実施した後、ステップS1817へ進み、全く転送が実施されなかった場合(「いいえ」の場合)は、メール転送処理を終了する。ひとつ以上の宛先へ暗号化メール転送処理が実施された場合(ステップS1817で「はい」の場合)は、作成した暗号化メールをメール保存部107に保存する(ステップS1818)。
【0138】
次に、メールゲートウェイ上で送受信される暗号化メールを監査する方法について、説明する。
【0139】
本発明における暗号化メールスレッド方式では、ルートメールを含むすべてのメールを所持していない限り、暗号化メールを復号することができない特徴がある。しかしながら、共通鍵ファイルである親メールのみ所持していることで、暗号化メールは復号することが可能である。この特徴を利用し、メールゲートウェイ上で監査目的に暗号化メールを復号する場合、直前のメールを復号した上で所持すればよい。
【0140】
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様を取ることが可能であり、具体的には、暗号化メール送信装置及び暗号化メール受信装置については、それぞれ複数の機器から構成されるシステムに適用しても、ひとつの機器からなるシステムに適用してもよい。
【0141】
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な内容で構成されることは言うまでもない。
【0142】
また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのソフトウェアによって表されるプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0143】
さらに、本発明を達成するためのソフトウェアによって表されるプログラムをネットワーク上のサーバ、データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0144】
なお、上述した各実施形態及びその変形例を組み合わせた構成もすべて本発明に含まれるものである。
【0145】
本発明によれば、電子メールはメールスレッド暗号化方式によって連鎖的に本文部を暗号化することができ、更にメールスレッド単位の原本保証性を確保できる。また、誤送信が発生した場合では、誤送信先がメールスレッド全体を所持していない限り、内容の閲覧はできないため、情報セキュリティが確保できる。更に、メールスレッド暗号化方式は電子メールの本文部が共通鍵ファイルとなるため鍵管理コストが軽減され、メールゲートウェイ上に電子メール本文部を保存しておくことで、情報監視が可能となる。また、ルートメールに記載される情報によって、メールスレッド単位で電子メールの送受信を含めた情報管理が可能となる等の効果を奏する。
【符号の説明】
【0146】
100 暗号化メール送信装置
101 メール入力部
102 メール本文変更部
103 スレッド検索部
104 スレッド暗号部
105 ルール管理部
106 送信部
107 メール保存部
108 ルートメール作成部
110 暗号化メール受信装置
111 受信部
112 ルール管理部
113 スレッド復号部
114 スレッド検索部
115 メール保存部
116 表示部
120 広域ネットワーク網
201 CPU
202 RAM
203 ROM
204 HDD
205 ネットワークI/F
206 記憶媒体ドライブ
207 キーボード
208 ポインティングデバイス
209 表示部
210 外部機器接続I/F
211 バス
【特許請求の範囲】
【請求項1】
電子メールの暗号化と復号化を制御するメール暗号複合制御装置であって、
返信ではない新規の電子メールを送信する場合に、当該新規の電子メールを暗号化及び復号化するための共通鍵データとなるルートメールを生成するルートメール生成手段と、
前記ルートメール生成手段で生成されるルートメールから得られる共通鍵データを用いて、前記新規の電子メールを暗号化する第1暗号化手段と、
返信の電子メールを送信する場合に、返信元メールから得られる共通鍵データを用いて、前記返信の電子メールを暗号化する第2暗号化手段と、
前記ルートメール生成手段により生成されたルートメールと、前記第1暗号化手段により暗号化された電子メールと、前記第2暗号化手段により暗号化された電子メールと、暗号化されて外部から送信されてくる電子メールとを記憶する記憶手段と、
暗号化されて外部から送信されてくる電子メールの親となる電子メールを、前記ルートメールまで、前記記憶手段で記憶されたデータの中から特定して暗号化メールスレッドを抽出する抽出手段と、
前記抽出手段により抽出された暗号化メールスレッド中のルートメール及び電子メールに含まれる前記共通鍵データを用いて、前記暗号化されて外部から送信されてくる電子メールを復号化する復号化手段と、
を備えることを特徴とするメール暗号複合制御装置。
【請求項2】
前記返信の電子メールを送信する場合に、前記返信元メールの宛先及び送信元に設定されていないメールアドレスが、当該返信の電子メールの宛先に新規に追加されたかを判定する判定手段と、
前記判定手段で、返信の電子メールの宛先に当該メールアドレスが追加されたと判定された場合に、当該追加された宛先に対して、前記抽出手段により抽出される暗号化メールスレッドを送信する送信手段と、
を更に備えることを特徴とする請求項1に記載のメール暗号複合制御装置。
【請求項3】
前記判定手段で、返信の電子メールの宛先に当該メールアドレスが追加されたと判定された場合に、当該追加された宛先の電子メールを前記新規の電子メールとして送信するかを判定する送信判定手段と、を更に備え、
前記送信手段は、前記送信判定手段で当該新規の電子メールとして送信すると判定された場合に、前記ルートメール生成手段で生成されるルートメールと前記第1暗号化手段で暗号化される当該新規の電子メールとを当該追加された宛先に送信することを特徴とする請求項2に記載のメール暗号複合制御装置。
【請求項4】
電子メールの暗号化と復号化を制御するメール暗号複合制御装置における制御方法であって、
ルートメール生成手段が、返信ではない新規の電子メールを送信する場合に、当該新規の電子メールを暗号化及び復号化するための共通鍵データとなるルートメールを生成するルートメール生成工程と、
第1暗号化手段が、前記ルートメール生成手段で生成されるルートメールから得られる共通鍵データを用いて、前記新規の電子メールを暗号化する第1暗号化工程と、
第2暗号化手段が、返信の電子メールを送信する場合に、返信元メールから得られる共通鍵データを用いて、前記返信の電子メールを暗号化する第2暗号化工程と、
記憶手段が、前記ルートメール生成手段により生成されたルートメールと、前記第1暗号化手段により暗号化された電子メールと、前記第2暗号化手段により暗号化された電子メールと、暗号化されて外部から送信されてくる電子メールとを記憶する記憶工程と、
抽出手段が、暗号化されて外部から送信されてくる電子メールの親となる電子メールを、前記ルートメールまで、前記記憶手段で記憶されたデータの中から特定して暗号化メールスレッドを抽出する抽出工程と、
復号化手段が、前記抽出手段により抽出された暗号化メールスレッド中のルートメール及び電子メールに含まれる前記共通鍵データを用いて、前記暗号化されて外部から送信されてくる電子メールを復号化する復号化工程と、
を備えることを特徴とするメール暗号複合制御装置における制御方法。
【請求項5】
電子メールの暗号化と復号化を制御するメール暗号複合制御装置において実行可能なプログラムであって、
前記メール暗号複合制御装置を、
返信ではない新規の電子メールを送信する場合に、当該新規の電子メールを暗号化及び復号化するための共通鍵データとなるルートメールを生成するルートメール生成手段と、
前記ルートメール生成手段で生成されるルートメールから得られる共通鍵データを用いて、前記新規の電子メールを暗号化する第1暗号化手段と、
返信の電子メールを送信する場合に、返信元メールから得られる共通鍵データを用いて、前記返信の電子メールを暗号化する第2暗号化手段と、
前記ルートメール生成手段により生成されたルートメールと、前記第1暗号化手段により暗号化された電子メールと、前記第2暗号化手段により暗号化された電子メールと、暗号化されて外部から送信されてくる電子メールとを記憶する記憶手段と、
暗号化されて外部から送信されてくる電子メールの親となる電子メールを、前記ルートメールまで、前記記憶手段で記憶されたデータの中から特定して暗号化メールスレッドを抽出する抽出手段と、
前記抽出手段により抽出された暗号化メールスレッド中のルートメール及び電子メールに含まれる前記共通鍵データを用いて、前記暗号化されて外部から送信されてくる電子メールを復号化する復号化手段として機能させるためのプログラム。
【請求項1】
電子メールの暗号化と復号化を制御するメール暗号複合制御装置であって、
返信ではない新規の電子メールを送信する場合に、当該新規の電子メールを暗号化及び復号化するための共通鍵データとなるルートメールを生成するルートメール生成手段と、
前記ルートメール生成手段で生成されるルートメールから得られる共通鍵データを用いて、前記新規の電子メールを暗号化する第1暗号化手段と、
返信の電子メールを送信する場合に、返信元メールから得られる共通鍵データを用いて、前記返信の電子メールを暗号化する第2暗号化手段と、
前記ルートメール生成手段により生成されたルートメールと、前記第1暗号化手段により暗号化された電子メールと、前記第2暗号化手段により暗号化された電子メールと、暗号化されて外部から送信されてくる電子メールとを記憶する記憶手段と、
暗号化されて外部から送信されてくる電子メールの親となる電子メールを、前記ルートメールまで、前記記憶手段で記憶されたデータの中から特定して暗号化メールスレッドを抽出する抽出手段と、
前記抽出手段により抽出された暗号化メールスレッド中のルートメール及び電子メールに含まれる前記共通鍵データを用いて、前記暗号化されて外部から送信されてくる電子メールを復号化する復号化手段と、
を備えることを特徴とするメール暗号複合制御装置。
【請求項2】
前記返信の電子メールを送信する場合に、前記返信元メールの宛先及び送信元に設定されていないメールアドレスが、当該返信の電子メールの宛先に新規に追加されたかを判定する判定手段と、
前記判定手段で、返信の電子メールの宛先に当該メールアドレスが追加されたと判定された場合に、当該追加された宛先に対して、前記抽出手段により抽出される暗号化メールスレッドを送信する送信手段と、
を更に備えることを特徴とする請求項1に記載のメール暗号複合制御装置。
【請求項3】
前記判定手段で、返信の電子メールの宛先に当該メールアドレスが追加されたと判定された場合に、当該追加された宛先の電子メールを前記新規の電子メールとして送信するかを判定する送信判定手段と、を更に備え、
前記送信手段は、前記送信判定手段で当該新規の電子メールとして送信すると判定された場合に、前記ルートメール生成手段で生成されるルートメールと前記第1暗号化手段で暗号化される当該新規の電子メールとを当該追加された宛先に送信することを特徴とする請求項2に記載のメール暗号複合制御装置。
【請求項4】
電子メールの暗号化と復号化を制御するメール暗号複合制御装置における制御方法であって、
ルートメール生成手段が、返信ではない新規の電子メールを送信する場合に、当該新規の電子メールを暗号化及び復号化するための共通鍵データとなるルートメールを生成するルートメール生成工程と、
第1暗号化手段が、前記ルートメール生成手段で生成されるルートメールから得られる共通鍵データを用いて、前記新規の電子メールを暗号化する第1暗号化工程と、
第2暗号化手段が、返信の電子メールを送信する場合に、返信元メールから得られる共通鍵データを用いて、前記返信の電子メールを暗号化する第2暗号化工程と、
記憶手段が、前記ルートメール生成手段により生成されたルートメールと、前記第1暗号化手段により暗号化された電子メールと、前記第2暗号化手段により暗号化された電子メールと、暗号化されて外部から送信されてくる電子メールとを記憶する記憶工程と、
抽出手段が、暗号化されて外部から送信されてくる電子メールの親となる電子メールを、前記ルートメールまで、前記記憶手段で記憶されたデータの中から特定して暗号化メールスレッドを抽出する抽出工程と、
復号化手段が、前記抽出手段により抽出された暗号化メールスレッド中のルートメール及び電子メールに含まれる前記共通鍵データを用いて、前記暗号化されて外部から送信されてくる電子メールを復号化する復号化工程と、
を備えることを特徴とするメール暗号複合制御装置における制御方法。
【請求項5】
電子メールの暗号化と復号化を制御するメール暗号複合制御装置において実行可能なプログラムであって、
前記メール暗号複合制御装置を、
返信ではない新規の電子メールを送信する場合に、当該新規の電子メールを暗号化及び復号化するための共通鍵データとなるルートメールを生成するルートメール生成手段と、
前記ルートメール生成手段で生成されるルートメールから得られる共通鍵データを用いて、前記新規の電子メールを暗号化する第1暗号化手段と、
返信の電子メールを送信する場合に、返信元メールから得られる共通鍵データを用いて、前記返信の電子メールを暗号化する第2暗号化手段と、
前記ルートメール生成手段により生成されたルートメールと、前記第1暗号化手段により暗号化された電子メールと、前記第2暗号化手段により暗号化された電子メールと、暗号化されて外部から送信されてくる電子メールとを記憶する記憶手段と、
暗号化されて外部から送信されてくる電子メールの親となる電子メールを、前記ルートメールまで、前記記憶手段で記憶されたデータの中から特定して暗号化メールスレッドを抽出する抽出手段と、
前記抽出手段により抽出された暗号化メールスレッド中のルートメール及び電子メールに含まれる前記共通鍵データを用いて、前記暗号化されて外部から送信されてくる電子メールを復号化する復号化手段として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【公開番号】特開2010−273311(P2010−273311A)
【公開日】平成22年12月2日(2010.12.2)
【国際特許分類】
【出願番号】特願2009−139648(P2009−139648)
【出願日】平成21年5月19日(2009.5.19)
【出願人】(592135203)キヤノンITソリューションズ株式会社 (528)
【Fターム(参考)】
【公開日】平成22年12月2日(2010.12.2)
【国際特許分類】
【出願日】平成21年5月19日(2009.5.19)
【出願人】(592135203)キヤノンITソリューションズ株式会社 (528)
【Fターム(参考)】
[ Back to top ]