Eメールは安心・安全?
メールをディスるわけではないです。
正しく知って使いましょうというお話。
メール(Eメールとか、電子メールとも言う) は、企業や学校だけでなく多くの組織や個人が利用していますね。PTAでも利用しているところが多いかと思います。
実はレガシーな古い仕組み
多くの人が使っているサービスなのだから安心安全だろうと思うのは少し違います。
メールには、SMTPやPOP3, IMAP4という古い技術が使われています。これらは、メールをやりとりする際に使われるプロトコル(通信規約)です。
困ったことに、インターネットの広がり始めにまだハッキングやセキュリティなどが騒がれる前の考え方で設計されていますのでセキュリティがザルです。なのに、多くの利用者がメールを使っているために、抜本的な対策や入れ替えが進んでいません。というか手がつけられないようになっています。(ネットワークのすべての利用者のメール経路、サーバ変更やメールソフトの変更を同時にやらないとメールが届かなくなってしまうから)
封筒に入れずに手紙をやりとりしてる
メールの技術的な要点には、メールサーバと通信経路があります。
メールサーバを自分の家、通信経路を手紙が郵送される経路だとイメージするとわかりやすいかも知れません。
自分の家であるメールサーバにはいろいろセキュリティ対策を施すことができます。IDとパスワードでログインするようにしたり、位置情報を使ってどこからログインしたのかチェックしたり、端末の種類が違うと警告を出したりなど。
しかし、手紙が郵送される経路では古い方式のままなので、経路が暗号化されたり、メールを暗号化したりなどの処理は行っていません。
その為、多くのメールサービスでは封筒に入れていない手紙を送り合っている状態なのです。
現在でも、メールは外部に覗かれるリスクがあるから暗号化してやり取りするか、機密は書くべきではないという状況です。大企業の場合は、自社の他拠点とやり取りする際にはイントラネット(通信経路を暗号化して他者から覗けなくする)という対策をしていますが、他社とのやりとりではイントラネットを通らないので注意が必要になります。個人利用のメールサービスでは基本的に何も対策されていないと思います。
メールの添付ファイルについても同様に通信経路上で横取りされたり覗かれたりするリスクがあります。
また、POPではメールサーバへのパスワードも暗号化されず平文で送られていたりします。
暗号化対応も用意されてきているがあまり効果はない
POP3s, IMAP4s, SMTPs などのSSL対応したプロトコルも用意されてはいますが、これらを使っても暗号化できる経路は自分のメールソフトとメールサーバ間くらいで限定的な範囲となります。相手側も対応してくれないといけません。
確実にメールを暗号化して相手とやり取りするには、PGPなどでメール自体を暗号化する必要がありますが、公開鍵を使ったりするのは一般の利用では敷居が高いのでまず使われていないでしょう。
そんなに心配しなくても良いはず?
PTAや学校とのやり取りを狙って盗聴するハッカーや組織はおそらくいないとは思いますし、覗かれても金銭的、プライバシーに甚大な被害が及ぶような内容はやりとりされていないとは思います。
会員名簿などの住所、氏名、電話番号などのリストをメールに添付して送るのは個人情報の漏洩を招くリスクが高いのでアカンやつです。
メールは安心安全ではないという意識を持つことが必要です。
他にもいろいろ問題あり
届くかどうかは保証がない?
通信経路上で問題が起きた場合、メールを盗むようなヤカラがいた場合、その他もろもろの要因で、メールには到達保証性が担保できません。
フィルタされることも
受信する側のメールサービスによっては自動的にフィルタされてしまうこともアルアルな問題です。大事なお知らせがフィルタされて読まれていないというのをよく耳にします。
ウィルスを広めるかも
メールリストの誰かがウィルスに感染してメールリストの登録者にウィルスを拡散させるメールをばらまいてしまうという問題もアルアルです。
たぶん現実的な被害はこちらの方が起こりえます。
アダルトサイトにアクセスしてマルウェアなどに感染してしまうなど、メール起因ではない場合でも、拡散手段にメールが使われる場合が多いです。
もっとも重要な個人情報
そんな課題がアルアルなメールですが、多くの人に使われています。現状のネット社会では、氏名や年齢性別、住所よりもメルアドこそがもっとも重要な個人情報だと思います。
メールアドレスでいろいろなサービスに登録できますよね。
なので、メールアドレスは漏れない様に注意する必要がありますが、どこか一か所からでも漏れてしまうともはや手遅れです。
そのため、残る重要な情報であるパスワードは死守する必要があります。
パスワードの使いまわしはダメ!絶対!
いろいろなサービスで同じパスワードを使いまわしている人が実はたくさんいます。私もそうでした 😞
そのような人たちは、リスト型攻撃と呼ばれるハッキングの標的になります。私自身も過去に登録したLinkedInというサービスからメルアドとパスワードが漏れて → Facebookアカウントを乗っ取られてお友達にウィルスメールとか怪しい商材メールが送られまくって怒られた。
Appleのアカウントも乗っ取られてiTunesカードを大量に購入されていた。
などの被害を受けたことがあります。
クレジットカード登録しているサービスのアカウントが乗っ取られると金銭の被害もありますので恐ろしいです。私もクレカの明細を見てアセりました;)
パスワード変えるのメンドクサイ、覚えられない!
わかりみが深いです。私も同じでした。
そんなあなたには、パスワードを覚えなくても良い、イニシャルパターン方式をおススメします。
例えば、miley3150 というパスワードを普段使っている場合、
Twitter用: miley3150tw
Facebook用:miley3150fb
などのように、このサービスを2文字で表すならこれ!と自分で直感的に思いつく文字を追加します。3文字でも良いです。
これを実践するだけで、覚えなくても直感でパスワードを思い出せます。
どこかのサービスでメルアドとパスワードが流出したとしても慌てずにすみますし、被害をそのハッキングされたサービスだけに限定できます。
Miley PTAアプリは大丈夫なのか?
Miley PTAアプリでは、全ての通信はSSL対応で暗号化されています。メールアドレスとパスワードは別管理になっていますし、Googleの提供するアカウント管理サービスを利用していますのでセキュリティはGoogle並みです。ユーザのみなさまのパスワードは暗号化されて厳重に管理されているので、サービスの管理者である私も覗くことができないようになっています。
2020年の目標
PTAを便利なツールでアップデートすることで、PTAにまつわる課題の多くは改善するはず!というのがMiley PTAの開発目的であり、使命であると考えています。
そして、2020年に向けての目標を挙げてみます。
- 知名度アップからの利用者数アップ。
- 他のツールよりも便利で使いやすくて、リーズナブルであること。
- これからの課題にも対応すること。
地道に活動を続けて知名度と利用者数を増やして行きます!
費用についはすでに最安値だと思います。
課題への対応についてはまだまだやることはありそうです。
時間指定、後で送る機能への対応
遅い時間に送信すると通知が届いて受信者に申し訳ない、ということも懸念されるかと思いますので、時間指定で送信する機能を検討します。
すでに技術的には出来そうな目処はついているので、あとは作るだけです。
外国語への対応
少子高齢化が加速していく中で、外国人労働者や定住者が増えていきます。日本で定住してお子さんを日本の学校に通学させるケースも増えていくでしょう。外国人保護者の方へもお知らせや行事への参加などコミュニケーションを取りやすくして頂ける様に、多言語対応についても検討していきます。
現在対応している機能について公式サイトを参照ください。
ver1.2.0の準備完了
法人設立などと重なって遅れていましたが、アプリの更新版 ver 1.2.0の準備が整いました。AppStoreのアプリ審査もアプリは合格でメタデータの指摘を受けていたのも修正して提出済み。ただ、遅れてしまった為、Appleのクリスマス休暇開始の23日までにはリリース完了できそうにありません。年明けリリースになりそうです。
法人設立の方も必要な手続きが全て完了しました。
合わせて、公式サイトもリニューアルしてドメインも取得してサーバも用意しました。
これで一通り準備が完了です。アプリの年明けリリースに合わせてまた活動していきたいと思います。
Ver 1.2.0の主な更新内容
- 学校への連絡を追加
- 投票を追加
- 安否確認を追加
- 登録制に変更
登録制に変更
これまで、自由に学校を登録して頂くスタイルでしたが、公式サイトからの無料試用申し込みをして頂いてから運営側で初期設定をするスタイルに変更しました。
これにより、初期合言葉の設定をしたり、学校情報の管理者を最初のユーザに限定できたりなどいろいろメリットがあります。
公式サイトの方では、機能紹介を掲載したり、料金体系を明確にしています。
料金は調査した限り、同業最安だと思います。
これからもよろしくお願いします。
法人化することにしました!
11月中にリリースしたかったのですが、アプリ開発の方は内部処理の見直しなどで使い勝手やセキュリティなどを向上させている最終段階まできています。
今回のアップデートで欠席の連絡や安否確認など実用的な機能追加をすることで、多くの方に使って頂きたいと思っています。
しかし、以前から個人開発、運営だと不安と言う声も聞かせて頂いていたり、無料を謳っているのは怪しい、あとで請求があるのでは?と言うご意見も伺っていました。
クラウドサーバの利用料が安くなっていることで、しばらくは無料でも大丈夫だろうと考えて無料を謳っていたのですが、逆に不安にさせてしまっているというのが気がかりになっていました。
そこで、利用料金を明確にして、安心してご検討頂ける様にすることを考えていました。お金を扱うことになるので、法人化して信用していただける様にすることや法的な義務や責任も明確にしたいと考えました。
この様な背景から、この度、合同会社Miley's を設立して法人化することにしました。
小さなスタートアップ企業ですが、きちんと運用していきたいと考えております。
合わせて、公式サイトも作り直しています。これまで、コストを抑える為にGoogleサイトを利用していたのですが、いろいろ思う様に作れなかったので法人化するタイミングで新規に mileypta.com のサイトを立ち上げます。
まだ工事中ですが、アプリリリースと合わせて公式サイトもリニューアルを行います。