電子メール認証技術、普及の鍵はユーザー側の意識

　世界の電子メールネットワークは、かつてのように友好的な世界ではなくなってしまった。

　スパム業者の横行、なりすましやフィッシングという形で迫りくるメール詐欺の脅威によって、電子メールの信頼性は失墜してしまった。スパム対策ソフトウェアを取り巻く大規模な市場が存在し、こうした問題を規制によって解決しようとさまざまな試みがなされてはいるが、スパム業者やオンライン犯罪者たちの方が一歩先を行っているというのが現状である。

　問題は、サーバ間でメールを転送するために設計されたSMTP（Simple Mail Transfer Protocol）が、未だに利用者同士の信頼をベースとしたシステムになっている点だ。誰でも簡単に他人の名前をかたってメールを送信することができ、メールの内容について責任を問われることはまずない。

　そこで電子メール認証技術が登場する。ここ1年の間に、業界ではさまざまな送信元認証技術が登場した。これらの技術の下では、企業、インターネットサービスプロバイダ（ISP）からスパム業者に至るまで、すべての送信者が自分の送信するメッセージに責任を負わせられる。電子メール認証によって受け取ったメッセージが誰からのメールなのかが明白になるため、受信者は読む読まないの判断を下すことができる。

　業界は、電子メール認証技術を積極的に支持してきた。通常なら競争相手とみなされるような企業同士が、具体的な標準の策定と技術開発を一緒になって進めてきた。Internet Engineering Task Force（IETF）も、認証技術の専門企業と協力してこの問題に熱心に取り組んだ。標準を策定することはできなかったが、IETFの努力はメール認証の進歩に重要な役割を果たした。

　政府も事の重大性を認識している。米連邦取引委員会（FTC）と米国標準技術局（National Institute of Standards and Technology:NIST）は先頃開かれた電子メール認証サミット（Email Authentication Summit）を主催した。このサミットでは、業界の主要企業が、電子メール認証技術の現状と将来について議論を交わした。

　このように各方面から後押しされている電子メール認証技術だが、問題点も残されている。利用者は、メール認証技術をどのように受け止め、実践していけばよいのか。正当な送信者と受信者は、自分たちを確実に保護するために何をすればよいのか。メール認証は各企業で取り組みを始める段階にきているが、企業は何をすればよいのか。

　現在、2つのメール認証技術が広く知られており、それぞれ支持を集めている。Sender ID Framework（SIDF）は、MicrosoftのCaller ID for E-mail Technologyという技術とMeng Wongが開発したSender Policy Framework（SPF）を組み合わせたIPベースのメール認証ソリューションだ。一方、電子署名ベースのアプローチには、Yahooが支持するDomainKeysとCisco Systemsが開発したIdentified Interne Mailがある。これら電子署名ベースのアプローチはどちらも送信者と受信者の双方にメッセージの正当性を確認するためのソフトウェアをインストールする必要がある。

　電子署名を用いたアプローチは、実装には時間を要するが堅牢なメールシステムを構築できる。SIDFの方は実装がシンプルなので簡単に配備できる。現在、メール関連技術の主要ベンダーがCiscoおよびYahooと協力して、電子署名の統一仕様を策定している。この仕様の実装は、2005年のうちに、IETF標準として利用可能になる見通しだ。