メールの本文や添付ファイルは、何も対策しないと インターネット上を平文に近い形で流れています。盗聴・改ざん・なりすましのリスクを下げるには、メール暗号化が必要です。本記事では、主要な暗号化方式 (S/MIME・PGP・E2EE) の違い、Gmail/Outlookでの設定方法、ProtonMail等の暗号化メールサービスの選び方まで、メール暗号化の全体像を整理します。
目次
- メール暗号化が必要な理由
- メール暗号化の3つの方式
- S/MIMEとは|証明書ベースの暗号化
- PGP / OpenPGPとは|公開鍵暗号の代表
- E2EE暗号化メールサービス(ProtonMail等)
- Gmail・Outlookで暗号化メールを送る
- 暗号化メールサービスの比較と選び方
- メール暗号化の注意点と限界
- まとめ
メール暗号化が必要な理由
通常のメールは、送信者から受信者までの間に複数のサーバーを経由します。SMTP/IMAPはTLSで通信を暗号化しますが、サーバー上では平文で保管されることもあり、次のようなリスクがあります。
- 盗聴: 経由するサーバー管理者や、悪意のある第三者がメール本文を読める可能性
- 改ざん: 添付ファイルや本文を途中で書き換えられる可能性
- なりすまし: 送信者を偽装したフィッシングメールが届く可能性
ビジネスの契約書、医療情報、財務データ、個人情報など、機密性の高い内容を扱う場合は 本文・添付ファイルそのものを暗号化する必要があります。GmailやProton Mailなどのメールサービスは送信時にTLSで通信路は守りますが、メール本文の暗号化は別の話です。
メール暗号化の3つの方式
メール暗号化には大きく3つの方式があります。
| 方式 | 仕組み | 使われる場面 |
|---|---|---|
| S/MIME | 証明書ベース、認証局(CA)が信頼を担保 | 企業・官公庁の業務メール |
| PGP / OpenPGP | 公開鍵暗号、Web of Trust型 | 技術者・プライバシー意識の高いユーザー |
| E2EE (End-to-End) | 専用サービスの内蔵暗号化 | ProtonMail等のクローズドエコシステム |
「自分で鍵を管理する」か「サービスに任せるか」、「同じ方式の相手とだけ通信する」か「他のメールサービスとも互換性が必要か」で選択肢が分かれます。
S/MIMEとは|証明書ベースの暗号化
S/MIME (Secure / Multipurpose Internet Mail Extensions) は、認証局 (CA: Certificate Authority) が発行する 電子証明書 を使ってメールを暗号化・電子署名する方式です。
S/MIMEの特徴
- 認証局による身元保証付き(信頼度が高い)
- Gmail・Outlook・Apple Mail等の主要メールクライアントが標準対応
- 企業や官公庁での導入実績が多い
- 証明書の取得に費用がかかる(無料の証明書もあるが、信頼レベルが下がる)
S/MIMEの使い方の流れ
- 認証局から電子証明書を取得する(GlobalSign / DigiCert / Sectigo等)
- メールクライアントに証明書をインストール
- 相手に公開鍵(証明書)を送る
- 暗号化メールを送受信する
GmailではGoogle Workspace (有料) の組織アカウントが必要、個人のGmailでは利用不可。OutlookのMicrosoft 365 BusinessやEnterpriseでは標準サポートされています。
PGP / OpenPGPとは|公開鍵暗号の代表
PGP (Pretty Good Privacy) と、その仕様を標準化した OpenPGP は、認証局を介さず 自分で鍵ペアを生成して使う公開鍵暗号方式 です。
PGPの特徴
- 認証局不要、自分で鍵ペアを生成 (公開鍵 + 秘密鍵)
- 無料で使える (オープンソース実装が多数)
- 「Web of Trust」と呼ばれる相互認証で信頼を確立
- 技術的なハードルがやや高い
PGPの主要実装
- GnuPG (GPG): Linux/Mac/Windowsで使える定番オープンソース実装
- Mailvelope: ChromeやFirefox上でWebメールに PGP を組み込めるブラウザ拡張
- Enigmail (旧): Thunderbirdで使える PGP プラグイン (現在は標準機能に統合)
PGPでの暗号化メールの仕組み
- 自分の鍵ペアを生成 (公開鍵 + 秘密鍵)
- 公開鍵を相手と交換する
- 送信時: 相手の公開鍵で本文を暗号化
- 受信時: 自分の秘密鍵で復号
「お互いに公開鍵を交換できている関係」でないと使えないので、初対面の人と即座にPGPでやりとりするのは難しいですが、技術コミュニティでは標準的な方式です。
E2EE暗号化メールサービス(ProtonMail等)
S/MIMEもPGPも技術的ハードルがある中、サービス側が暗号化を内蔵して、ユーザーは普通にメールを書くだけでE2EE (エンドツーエンド暗号化) になるサービスがあります。
主要なE2EE暗号化メールサービス
| サービス | 拠点 | 無料プラン | 特徴 |
|---|---|---|---|
| ProtonMail | スイス | あり(1GB) | OpenPGPベース、Webメール+アプリ、最大手 |
| Tutanota | ドイツ | あり(1GB) | 独自暗号化、検索も暗号化対応 |
| Mailfence | ベルギー | あり(500MB) | OpenPGPとS/MIME両対応 |
| Hushmail | カナダ | なし(有料のみ) | 医療・法務向け、HIPAA対応 |
ProtonMail同士のE2EE仕組み
ProtonMailユーザー同士のメールは 自動的にE2EEになります。送信時にブラウザ/アプリ上で暗号化、ProtonMailサーバーは暗号化された状態のみ保管、受信側のブラウザ/アプリで復号します。Proton社自身もメール内容を読めない設計です。
他社メールとのやりとり
ProtonMailからGmailなど他社にメールを送る場合、デフォルトはTLSで送信(通常メールと同じ)。E2EEにしたい場合は パスワード付きメール機能を使い、受信者が共有パスワードを入力すると復号できる方式になります。
Proton Mailの詳細は別記事も参考にしてください。
Gmail・Outlookで暗号化メールを送る
普段使いのGmailやOutlookでも、限定的に暗号化メールを送れます。
Gmailの「機密モード」
Gmailには 機密モード という機能があり、メールに次の制限をかけられます。
- 有効期限を設定(1日〜5年)
- SMSパスコードでの認証を要求
- 受信者の転送・コピー・印刷を禁止
ただしこれは 真の暗号化ではなく、Google側がアクセス制御をしているだけです。Google自身はメール本文を読めます。気休め程度の機密性向上と捉えるべきです。
機密モードの使い方:
- Gmailの新規作成画面で右下の鍵アイコン(機密モード)をクリック
- 有効期限とパスコード要求を設定
- 送信
Outlookの暗号化機能
Microsoft 365 Business/Enterprise版のOutlookでは、「暗号化のみ」と「転送禁止」のオプションが選べます。S/MIME証明書を持っていればより強固な暗号化も使えます。
- 新規メール作成画面で「オプション」 → 「暗号化」
- 「暗号化のみ」または「転送禁止」を選択
- 送信
Microsoft 365のテナント内で完結する場合は強い暗号化、外部宛は限定的な保護になります。
暗号化メールサービスの比較と選び方
用途別に選ぶ目安をまとめます。
個人で完結する重要メール → ProtonMail / Tutanota
家族・友人とのプライバシー重視メール、自分用のバックアップメールなど、E2EE暗号化メールサービスで完結する用途に向きます。無料プラン (1GB) で十分始められます。
業務でS/MIMEや官公庁のお作法に従う → Microsoft 365 + S/MIME
企業や行政とのやりとりでは、相手がS/MIMEを要求するケースがあります。Microsoft 365のEnterpriseプラン+電子証明書購入で対応します。
技術コミュニティとのPGPやりとり → GnuPG + Thunderbird
オープンソースコミュニティやセキュリティ研究者とのやりとりでは、GnuPG + Thunderbird (PGP標準サポート) が定番です。
個人のGmail + 機密モードで十分なケース
普通の個人〜個人メールで「機密モード+有効期限」だけでよい場合は、追加投資なしでGmailの機密モードを使えます。ただし暗号化強度は低いと理解しておきます。
メール暗号化の注意点と限界
暗号化メールには次のような限界があります。
件名は暗号化されない
S/MIMEもPGPも、メール本文と添付ファイルは暗号化しますが、件名 (Subject) は平文のままです。機密内容を件名に書かないのが鉄則です。
メタデータは見える
「誰が誰に」「いつ」「どのくらいの容量を」送ったかというメタデータは、暗号化メールでも見えます。完全な匿名性が必要なら、メールとは別の手段 (Signal / 専用メッセージング) を検討します。
秘密鍵の管理が最重要
PGPやS/MIMEでは、自分の秘密鍵を失うと過去の暗号化メールがすべて読めなくなります。ProtonMail等のサービス型でも、ログインパスワードを失うとアカウント復旧時にメール本文を諦めるケースがあります。鍵・パスワードのバックアップは慎重に行います。
受信側も同じ仕組みが必要
S/MIMEで送ったメールは、受信側もS/MIMEに対応していないと開けません。ProtonMail同士のE2EEは閉じた世界です。相手がどんな環境かを確認してから方式を選びます。
フィッシング対策にはならない
メール暗号化は「中身が見えなくする」もので、「送信者を偽装したメールを見破る」目的にはフィッシングメールの見分け方など別の対策が必要です。
まとめ
メール暗号化の選び方は次のとおりです。
- 個人で気軽に始める: ProtonMail or Tutanota の無料プラン
- 業務・契約書・官公庁対応: Microsoft 365 + S/MIME (要費用)
- 技術コミュニティ: GnuPG + Thunderbird で PGP
- 既存Gmailを少しだけ機密化: 機密モード (有効期限+SMSパスコード)
暗号化方式 (S/MIME / PGP / E2EE) の違いを理解し、相手の環境とコストに合わせて選択するのが基本です。フリーメールのリスクやフリーメールとセキュリティも合わせて読むと、メール全体のセキュリティ意識を体系化できます。
