日本マクロソフトは3月27日、同社のセキュリティブログのエントリーに「iOS向けOutlookとAndroid向けOutlookのセキュリティ構成」を追加した。ブログでは、アプリ上で安全にメールをやり取りするためのセキュリティ技術を解説している。

アプリ版のOutlookは、クラウド技術を活用してメールを送受信している

Outlookは、Microsoft Officeに付属するメールソフトとしてPCユーザーにとっては馴染みのあるメールソフトだ。iOS/Android用のアプリは1月下旬に公開され、他社OSを搭載するスマートフォンやタブレット端末にインストールして利用できるようになった。

多くのメールアプリと同様に、Outlookもクラウドを活用しており、主にメールサーバーとのやり取りやデータのキャッシュなど、負担の多い作業の一部をクラウドが担っている。

セキュリティのカギの1つが「OAuth認証」だ。メールを送受信する際は通常、利用者が自分のIDとパスワードを入力して認証作業をする必要がある。OAuthは、この認証作業を利用者に代わって自動で済ませてくれる。OutlookにもOAuthの技術が採用されているため、利用者が複数のメールアドレスを使っていても、認証することなくメールを送受信できる。

OAuthを使用できないメールも、メールの認証作業を自動化している。その場合は、デバイスで生成した暗号キーを活用し、IDとパスワードを暗号化してからクラウド上の保存する仕組みを取る。

暗号キーは端末側にあるため、外部の人間が暗号化を解除してメールを読み取ることはできない。利用者が3日間クラウドにアクセスしない状態が続くと、暗号化を解読できないようになる。

もう1つが、アカウントの非アクティブ状態が継続すると、キャッシュされたメールボックスのコンテンツと暗号化されたパスワードをフラッシュすることだ。サービスは毎週、非アクティブ状態のアカウントをフラッシュする。

フラッシュによって、「ユーザーの認証情報を少なくする」「パスワードが保存されている場合に暗号化する」「ユーザーがアプリを削除してアカウントが非アクティブ状態になると、数日後にサービスで保存されているキャッシュデータや暗号化されたパスワードがフラッシュされること」の3つを実現している。

アプリ版のOutookは、App StoreとGoogle Playでダウンロードして利用できる。