あなたのために作られた安全なメール

全方位暗号化、追跡なし、オープンソース - Tutaが世界で最も安全なメールプロバイダである理由は様々な要因によるものです。Tutaのセキュリティ機能を詳しくご覧いただき、その様々なセキュリティ対策がお客様の機密データをどのように保護するのかをご確認ください。

1. 誰がその費用を負担しているのか ユーザーなのか、広告主なのか。もし答えが「広告主」であれば、そのサービスは決して本当に安全でプライベートなソリューションを提供することはできません。その最優先事項は、広告主がユーザーのデータに基づいてターゲットオーディエンスを特定し、広告を提供することを支援することによる広告主の利益です。 このようなビジネスモデルでは、ユーザーのプライバシーの保護は常に二の次となります。

2. 誰が技術スタックをコントロールするのか？ これは非常に技術的な問題ですが、決定的に重要な問題です。これは非常に技術的な質問ですが、極めて重要な質問です。Dovecot、Roundcube、Google reCaptcha、Google Pushなどのサードパーティの「技術」を使用しているサービスでは、セキュリティとプライバシーが優先されないことは確かです。これは、オープンソースで、クローズドソースのソフトウェアとの統合に依存しないサービスを選ぶべきもう一つの理由です。

3. 多くのプロバイダーは? 自分たちのサービスが安全な電子メールを提供し、保存されるデータが「暗号化」されていると主張しています。なぜなら、データがエンドツーエンドで暗号化されて初めて、オンラインサービスだけでなく、他の第三者からも本当にアクセスできなくなるからです。このとき初めて、そのサービスは 安全な電子メール を提供していると考えることができるのです。だから、単にデータを「暗号化」するだけでは不十分で、データはエンドツーエンドで暗号化されていなければならないのです。

多くのメールサービスは、安全なものであっても、DovecotやRoundcubeなどのサードパーティーの技術を使用して、独自の製品を構築しています。セキュアと呼ばれるサービスがサードパーティーのアプリケーションを使うたびに、そのサービスをセキュアにすることは難しくなります。理由は簡単です：コードに含まれるすべてのサービスは、コードを実行します。どのようなサービスでも、その依存関係よりセキュリティが向上することはあり得ません。サードパーティのコードへの依存関係はすべて維持されなければならず、セキュリティ・アップデートを直ちに適用する必要があります。さらに、すべてのサードパーティ・サービスは、ユーザーを追跡したり、自社のサーバーにデータを送信したりする可能性があります。そのため、Tutaでは、オープンソースのコードを使用する前に、私たち自身が検証したものだけを使用しています。このように、Tutaが使用しているオープンソースツールは安全であることを確認しています：例えば、デスクトップクライアントのベータ版をプッシュした時など、これらのツールや私たちのクライアントに対して定期的にセキュリティレビューを実施しています。

もちろん、私たちTutaも車輪を再発明することはできません。しかし、私たちは、ウェブ、Android、iOS、そしてすべてのデスクトップクライアントなど、すべてのクライアントを自分たちで構築してきました。さらに、私たちは開発ワークフロー全体において、セキュリティに強いこだわりを持っています。開発者全員が同じDNAを共有しています：プライバシーとセキュリティが第一です。

Tutaの主な特徴として、キャプチャ、Androidのプッシュ通知サービスなど、メールのコア機能以外でも、Tutaの主要部分をすべて自分たちで構築しています。

オープンソース（Tutaのクライアントや依存するソフトウェア）のみ、技術に詳しい人がコードを監査して、Tutaが約束通り、あなたのプライベートメールを最大限に保護しているかどうかを確認できます。

Linux、Windows、macOSのセキュアデスクトップクライアントとAndroidのGoogleプッシュの代替となるオープンソースのキャプチャを構築したことが非常に重要である理由をご覧ください。

私たちは「セキュリティ第一」というコンセプトに従っています。

安全なEメールサービスを提供することで、セキュリティは万全であるという信頼を得ることができます。私たちにとってこれは、セキュリティに関しては決して妥協が許されないことを意味します。セキュリティはコードに組み込まれ、その上にユーザビリティを簡単に追加できるようにしなければなりません。

この "セキュリティ第一 "というコンセプトは、今日、Tutaの一流のセキュリティを保証するいくつかの開発上の決断につながった：

• PGPは使用していませんが、少し異なる実装（当初はAES 256とRSA 2048をベースにしていました）により、より多くのデータ（件名）を暗号化し、連絡先やカレンダーなどTutaに追加する他のすべての機能を暗号化することができます。私たちはRSAをECDH (x25519) Kyber-1024に置き換え、すべてのTutaユーザーに量子安全暗号をリリースしました。将来的には、前方秘匿もサポートする予定です。

• サーバー上のデータは暗号化されているため、私たちは検索を行いません。その代わりに、Tutaは暗号化された検索インデックスを構築し、それはあなたのデバイスまたはブラウザにローカルに保存され、そこで検索されます。これにより、お客様のプライバシーを保護しながら、電子メール全体（送信者、受信者、件名、本文、添付ファイル）をローカルで検索することができます。

• 暗号化された**データをお客様のデバイスに送信する場合にのみ機能するため、IMAPは提供していません。その代わりに、私たちは独自のオープンソースのデスクトップクライアントを構築し、データを暗号化して保存しています。このデスクトップクライアントは署名もされており、GitHubで公開されているコードと全く同じコードを実行していることを誰もが検証することができます。

Tutaで安全なメールアドレスを作成すると、データが安全に保管されていることを確認できます。

メールボックス、カレンダー、連絡先の暗号化

Tutaでは、当初から可能な限り多くのデータをE2E暗号化することを心がけています。Tuta は世界初のエンドツーエンド暗号化メールプロバイダであり、今日に至るまで、他のどのメールサービスよりも多くのデータを暗号化しています。

Tutaはデフォルトで全てのデータを暗号化します：Tutaは、デフォルトですべてのデータを暗号化します：電子メール、カレンダー、連絡先。

Tutaのサーバーは暗号化されたデータのみを保存し、復号化キーはユーザーのみが利用可能です。

Tutaの暗号化により、世界中の個人ユーザーや企業が簡単にセキュリティにアクセスすることができます。データの暗号化を解除するには、パスワードを使って安全な電子メールアドレスにログインするだけです。ウェブブラウザ、AndroidとiOS用のTutaアプリ、Windows、macOS、Linux用のTutaデスクトップクライアントから簡単にログインすることができます。

セキュアなメールを誰にでも送る方法。

Tutaでは、共有パスワードで誰にでも安全なメール（E2E暗号化）を送信することができます。つまり、メッセージは送信者のデバイスで暗号化され、受信者のデバイスでのみ復号化することができます。Tuta経由で送信されるすべてのデータはエンドツーエンドで安全に暗号化されているため、機密性の高い会話やファイルをオンラインで簡単にやり取りすることができます。パスワードを設定することで、外部の受信者に暗号化されたメールを簡単に送信することができます。このパスワードは、その相手とやり取りする全てのメールに有効で、他のセキュアプロバイダのようにメールごとに新しいパスワードを定義する必要はありません。

ゼロ知識カレンダー.

Tutaはエンドツーエンド暗号化 カレンダー を搭載し、すべての予定を秘密裏にスケジュールし保存することができます。このカレンダーは、すべてのデータが暗号化されているだけでなく、リマインダーもE2E暗号化されているため、卓越した成果を上げています。ユーザーに通知が送られる時間さえも、私たちのサーバーからは見えないようになっているので、私たちはユーザーのすべての予定について知ることができないままなのです。

メールプロトコルの安全性

Tutaでメールを送信する場合、Tutaは自動的にエンドツーエンドでメールを暗号化することができるので、最も安全なオプションを選択したことになります。

しかし、Tutaを使用していない連絡先との間で、パスワードを共有することが不便な場合に、暗号化されていないメールを送信したり受信したい場合があります。このような場合、メールプロバイダーが暗号化できるのは送信のみで、データそのものは暗号化できないため、このようなメールを保護するのは非常に難しいです。

暗号化されていない電子メールを可能な限り保護するために、私たちはSMTP電子メールプロトコルの可能な限り高い標準を遵守しています。この規格は、電子メールにとって厳密なHTTPSがウェブサイトにとってそうであるように、今までにすべての電子メールサービスでサポートされているはずです：TLS が可能な場合は常にトランスポート暗号化 (TLS) を強制します。

TutaはSPF、DKIM、DMARCもサポートしています。この3つのプロトコルは、フィッシングやスパムメールからの侵入に対してインフラを強化するために必要です。

Tutaは、XSS攻撃を防ぐために（メール内の）不明なコンテンツを表示するためのHTMLサニタイザーである厳格なCSP（コンテンツセキュリティポリシー）を使用しており、デフォルトでは、他のサーバーからの外部コンテンツ（メール内の画像やビデオ）を読み込まないようにしています。ユーザーは、送信者を信頼すれば、ワンクリックやタップで外部コンテンツを表示させることができます。

Tutaが Securityheaders.io でどの程度のスコアを獲得しているかは、こちらをご確認ください。

Tuta はお客様のパスワードをサーバーに送信することはありません。

お客様が安全なメールボックスにログインする際、Tuta はお客様のパスワードをハッシュ化し、ソルト化してからサーバーに送信します。このハッシュから実際のパスワードを導き出すことは不可能ですので、私たちTutaでさえもお客様のパスワードを知ることはできません。パスワードを保護するために、私たちはArgon2とSHA256を使用しています。

Tutaはまた、二要素認証(2FA)を提供し、セキュリティのレイヤーを追加します。ログイン認証情報を保護するために、TOTPまたはU2Fを使用することができます。U2Fは二要素認証の中で最も安全な形式であるため、セキュリティデバイスと一緒に使用することをお勧めします。これにより、認証されたユーザーのみがアカウントにアクセスできるようになります。

ハッカーからメールを安全に保護する方法については、オンラインセキュリティガイドをご覧ください。

Tutaはゼロナレッジアーキテクチャを採用しており、ユーザーのデータがTutaのサーバーに平文で保存されることはありません。Tutaのサーバーは暗号化されたデータのみを保存し、復号化キーはユーザーのみが利用可能です。このため、Tutaのサーバーがハッキングされたとしても、データの安全性は確保されます。

欧州のGDPRは、EU市民の機密データを含む電子メールの安全確保を企業に求めています。

企業は転送中であっても個人データを保護することが求められています。すべてのビジネスメールをTutaのセキュアサーバーで暗号化してホスティングすることで、時間とお金を節約できます。Tutaでは、10年前までビジネスに適していた肥大化した企業向けメールソリューションの上にプラグインや複雑な暗号化ソフトウェアを使用する必要はありません。

メール暗号化はGDPRコンプライアンスを保証します。デンマークはGDPRのため、企業は適切なエンドツーエンド暗号化でメールの機密個人データを保護しなければならないと公式に述べた最初のEU国でした。

Tutaはデータ最小化＆プライバシーバイデザインの原則に従います

私たちはお客様の個人データを保護する責任があり、この責任を非常に重く受け止めています。そのため、

• Tutaは「データ最小化」と「プライバシー・バイ・デザイン」のデータプライバシー原則に基づいています。

• 全てのユーザーデータはTutaでエンドツーエンドで暗号化して保存されます（メールの送信者と受信者のメールアドレスなどのメタデータを除く。この情報はメールプロトコルによって正しいアドレスにメールを届けるために必要です）。

• お客様のデータを最大限保護する技術および組織の対策をしています。

• Tutaは、お客様のウェブサイトに暗号化されたお問い合わせフォーム - Secure Connect - を設置することができ、お客様の会社に興味を持つ人々が簡単にE2E暗号化されて連絡を取ることができます。

• Tutaは、GDPRへの準拠を証明するために、法的拘束力のあるデータ保護保証のある注文処理契約書を提供します。

詳しくはプライバシーステートメント をご覧ください。

内蔵の暗号化と世界中のどの受信者にも暗号化されたメールを送信できることから、Tutaは ビジネスに最適な安全なメール を探す際に最適なサービスとなっています。Tutaは、機密性の高い個人データをエンドツーエンドで暗号化して送信することができるため、GDPRに準拠していることを確認することができます。

Tuta がどのようにあなたのビジネスの GDPRコンプライアンス を達成するのに役立つかについては、当社のブログをお読みください。

ドイツは最も厳格なデータ保護法のひとつです。

欧州連合（EU）におけるデータプライバシー規制は世界で最も厳しいもののひとつであり、欧州加盟国の中でもドイツは最も強力な政策のひとつである連邦データ保護法（Bundesdatenschutzgesetz）を有している。EU一般データ保護規則（GDPR）は、その大部分がドイツ連邦データ保護法に基づいて策定された。

この法律はインターネットサービスの利用者を保護するものである。この法律は、ユーザーが自分のデータをどう扱うべきかを管理するものである： 企業（＝私たち）は、個人（＝あなた）の明示的な許可なしに個人情報を収集することはできません（例：氏名、生年月日、IPアドレス）。

また、ドイツでは、私たちを箝口令に従わせる、あるいは バックドア を実装させる法律はありません。

ドイツデータ保護 の法律に関する詳細は、当社のブログと 透明性レポート でご確認いただけます。

Tuta はすべてのデータをドイツの安全性の高いデータセンターで暗号化して保存しています

Tutaのすべてのデータは、ドイツのISO 27001認証データセンターの自社サーバーでエンドツーエンドで暗号化して保存されています。

Tutaのデータは、ドイツのISO27001認証データセンターにある自社サーバーにエンドエンドエンドで暗号化されて保存されています。サーバーには、アクセスする前に多要素認証に合格する必要がある管理者以外は、誰もアクセスすることができません。すべての生産システムは、不正なアクセスや異常な活動がないか、24時間365日体制で監視されています。

Tuta は、あなたを追跡しない 匿名メールサービスです。

当社のビジネスモデルは、一般的なメールサービスとは異なります：暗号化されているため、私たちはあなたのメールをスキャンすることはできません。私たちはあなたを追跡することはありません。また、お客様のメールボックスにターゲット広告を送信することもありません。つまり、お客様のデータは、メールやカレンダーのサービスを提供する以外の目的で使用されることはないのです。このため、お客様のデータが第三者の広告主やその他の団体と共有されることはなく、お客様のプライバシーが損なわれる可能性があります。

デフォルトでは、Tutaはログイン時やメール送信時にIPアドレスを記録しません。登録時には、Torブラウザで登録する場合でも、個人データを提供する必要はありません（例：電話番号の入力は不要です）。Tutaは、送信されたメールのIPアドレスをメールヘッダから削除し、お客様の所在地がわからないようにしています。このように保護されているにもかかわらず、あなたは私たちに対してもIPアドレスを隠しておきたいと思うかもしれません。そのため、私たちはVPNやブラウザを提供することはありません。特にVPNを提供することは意味がありません。なぜなら、VPNを提供した場合、電子メールプロバイダーとして、ユーザーがこのVPN経由で接続した場合、ユーザーの元のIPアドレスを知ることができるためです。プライバシー保護の観点から、このようなサービスは分けて考えたほうがよいでしょう。

Tutaはプライバシーを第一に考えて作られています。

企業はマーケティングキャンペーンにEメールを愛用しています。なぜなら、デフォルトのEメールは、あなたのプライバシーを尊重しないからです。マーケティングニュースレターを受信すると、通常、メールには外部コンテンツ（例：画像、ビデオ）が読み込まれます。この場合、あなたは追跡されています：

Tutaはこれらの追跡方法から自動的に保護するメールサービスを提供しています：

• Tutaはデフォルトで画像をブロックします。

• Tutaはお客様のプライバシーを守るため、送信されたメールからすべてのヘッダー情報（IPアドレス）を取り除きます。

• Tutaは技術的な送信者と送信者が異なる場合に警告を発します。送信元を偽ることはフィッシング攻撃で使われる典型的な方法です。ブログでは、メールフィッシングを防ぐためのヒントをご紹介しています。

暗号化されたTutaのメールボックスに誰かがアクセスしたかどうかを確認します。

Tutaでは、オプトイン機能として、アクティブセッションとクローズドセッションをチェックすることができます。これにより、自分以外の人が自分のアカウントにログインしていないことを確認することができます。クローズされたセッションは、1週間後に自動的に削除されます。Tutaのセッションハンドリングは、リモートでセッションを閉じることも可能です。携帯電話を紛失したとき、Tutaアプリでログインしたままであれば、他のデバイスからこのセッションを閉じることができます。

IPアドレスは常に暗号化されて保存され、1週間後に自動的に削除されます。暗号化されているため、この情報にアクセスできるのはあなただけです。私たちTutaはこの情報に全くアクセスすることができません。

フリー＆オープンソースメールをみんなのために。

Tutaは、セキュリティとプライバシーを重視しています。私たちにとって、オープンソースはその両方を達成するために不可欠です。私たちはTutaウェブクライアント、Tutaデスクトップクライアント、AndroidとiOSアプリをオープンソースソフトウェアとしてGitHubで公開しています。

このように誰もがコードを確認し、コードベースにバグやセキュリティ脆弱性がないことを確認できます。オープンソースであることで、潜在的な問題に気づき、クローズドソースのアプリケーションの場合よりもはるかに速く修正することができます。