• [アーティクル]

Outlook 2010 での電子メール メッセージングの暗号化を計画する

 

適用先: Office 2010

トピックの最終更新日: 2016-11-29

Microsoft Outlook 2010 は、電子メール メッセージを暗号化して送受信できるセキュリティ関連機能をサポートしています。暗号化電子メール メッセージング、セキュリティ ラベル、確認メッセージ (署名付き) などの機能があります。

注意

Microsoft Outlook のすべてのセキュリティ機能を使用するには、ローカルの管理者権限で Outlook 2013 をインストールする必要があります。

この記事の内容

  • Outlook 2010 の暗号化メッセージング機能

  • 暗号化デジタル ID を管理する

  • セキュリティ ラベルと確認メッセージ (署名付き)

  • Outlook 2010 暗号化設定を構成する

  • その他の暗号化設定を構成する

Outlook 2010 の暗号化メッセージング機能

Outlook 2013 には、次の操作に使用できる暗号化メッセージング機能がサポートされています。

  • 電子メール メッセージにデジタル署名を付ける   デジタル署名を使用すると、否認不可とコンテンツの検証 (メッセージの内容が送信後に変更されていないこと) を行えます。

  • 電子メール メッセージを暗号化する   メッセージを暗号化すると、意図した受信者以外のユーザーは内容を読み取れないので、プライバシーを保護できます。

セキュリティが強化されたメッセージングには、追加の機能を構成できます。これらの機能が組織でサポートされている場合は、セキュリティが強化されたメッセージングの使用時に次の操作を行うことができます。

  • 確認メッセージ要求を使用する電子メール メッセージを送信する   受信者がユーザーのデジタル署名 (ユーザーがメッセージに適用した証明書) を検証するのに役立つ機能です。

  • セキュリティ ラベルを電子メール メッセージに追加する   ラベルをメッセージに追加する独自の S/MIME V3 セキュリティ ポリシーを組織内で作成できます。S/MIME V3 セキュリティ ポリシーは、Outlook に追加するコードです。このコードは、メッセージの秘密度に関する情報をメッセージに追加します。詳細については、後の「セキュリティ ラベルと確認メッセージ (署名付き)」を参照してください。

Outlook 2010 に暗号化メッセージングを実装する方法

Outlook 2013 暗号化モデルでは、公開キー暗号化を使用して、署名付きの暗号化された電子メール メッセージの送受信を行います。Outlook 2013 でサポートされている S/MIME V3 セキュリティを使用すると、セキュリティが強化された電子メール メッセージを他の S/MIME 電子メール クライアントとの間でインターネットまたはイントラネット経由で交換できます。ユーザーの公開キーで暗号化された電子メール メッセージは、そのキーに対応する秘密キーを使用する場合にのみ、暗号化を解除できます。つまり、暗号化された電子メール メッセージを送信するときに、そのメッセージは受信者の証明書 (公開キー) で暗号化されます。受信者が暗号化された電子メール メッセージを読むときは、自身の秘密キーを使用して暗号化を解除します。

Outlook 2013 で暗号化機能を使用するには、セキュリティ プロファイルを作成する必要があります。セキュリティ プロファイルは、暗号化機能を使用するメッセージを送信するために必要な証明書やアルゴリズムを指定する一連の設定です。セキュリティ プロファイルは、次の操作を行った時点でまだ存在しない場合、自動的に構成されます。

  • ユーザーがローカル コンピューターに証明書を作成した。

  • ユーザーが暗号化機能の使用を開始した。

これらのセキュリティ設定は、ユーザーに代わってあらかじめカスタマイズできます。レジストリ設定またはグループ ポリシーを使用して Outlook をカスタマイズすることで、組織の暗号化ポリシーに従って、セキュリティ プロファイルに含める必要がある設定を構成 (およびグループ ポリシーによって強制) できます。これらの設定については、後の「Outlook 2010 暗号化設定を構成する」を参照してください。

デジタル ID: 公開キーと秘密キーおよび証明書の組み合わせ

S/MIME 機能は、デジタル ID に基づいて動作します (デジタル ID はデジタル証明書ともいいます)。デジタル ID は、ユーザーの ID を公開キーと秘密キーのペアに関連付けます。証明書と公開/秘密キー ペアを組み合わせたものをデジタル ID と呼びます。秘密キーは、ユーザーのコンピューター上の Windows 証明書ストアなど、セキュリティが強化されたストアやスマート カードに保存できます。Outlook 2013 は X.509v3 標準に完全に準拠しているため、Active Directory Certificate Services を実行する Windows Server 2008 コンピューターなどの組織内の証明機関や、VeriSign などのパブリックな証明機関を利用して公開キーと秘密キーを作成する必要があります。どちらの方法が組織に適しているかを判断する方法については、「Office 2010 のデジタル署名設定を計画する」の「デジタル証明書: 自己署名と CA 発行の違い」を参照してください。

デジタル ID の取得には、VeriSign、Microsoft Certificate Services など、パブリックな Web ベース証明機関を利用できます。ユーザーがデジタル ID を取得する方法については、Outlook ヘルプ トピックの「デジタル ID を取得する」(https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x411) を参照してください。管理者は、デジタル ID を複数のユーザーに提供できます。

デジタル ID の証明書が有効期限切れになると、通常、更新された証明書を発行元の証明機関から取得する必要があります。証明書の生成に Windows Server 2003 証明機関 (CA) または Windows Server 2008 の Active Directory 証明書サービス (AD CS) を利用する場合、Outlook 2013 では証明書の更新が自動的に行われます。

暗号化デジタル ID を管理する

Outlook 2013 には、デジタル ID (ユーザーの証明書と公開/秘密キー ペアの組み合わせ) を管理する機能があります。デジタル ID を使用すると、ユーザーの電子メール メッセージは暗号化された状態でやり取りされるため、メッセージの内容が秘匿されます。次のデジタル ID 管理機能を使用できます。

  • デジタル ID の取得。デジタル ID を取得する方法については、Outlook ヘルプ トピックの「デジタル ID を取得する」(https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x411) を参照してください。

  • デジタル ID を保存する。保存されたデジタル ID を他のコンピューターに移動したり、他のユーザーに渡すことができます。

  • デジタル ID を他のユーザーに提供する。

  • デジタル ID をファイルにエクスポートする。バックアップの作成や新しいコンピューターへの移動を行う場合に便利な機能です。

  • デジタル ID をファイルから Outlook にインポートする。このようなデジタル ID ファイルは、ユーザーのバックアップ コピーや他のユーザーのデジタル ID などです。

  • 有効期限が切れたデジタル ID を更新する。

暗号化メッセージングを複数のコンピューターで利用するには、デジタル ID を各コンピューターにコピーする必要があります。

デジタル ID の保存場所

デジタル ID は、次の 3 つの場所に保存できます。

  • Microsoft Exchange グローバル アドレス一覧   CA または AD CS で生成された証明書は、自動的にグローバル アドレス一覧 (GAL) に発行されます。外部で生成された証明書は、手動でグローバル アドレス一覧に発行できます。これを Outlook 2013 で実行するには、[ファイル] タブで [オプション] をクリックし、[セキュリティ センター] をクリックします。次に、[Microsoft Outlook セキュリティ センター] で [セキュリティ センターの設定] をクリックします。[電子メールのセキュリティ] タブの [デジタル ID (証明書)] で、[グローバル アドレス一覧に発行] ボタンをクリックします。

  • ライトウェイト ディレクトリ アクセス プロトコル (LDAP) ディレクトリ サービス   外部ディレクトリ サービス、証明機関、またはその他の証明書プロバイダーは、LDAP ディレクトリ サービスを通してユーザーの証明書を公開できます。Outlook では、LDAP ディレクトリを通してこれらの証明書にアクセスできます。

  • Microsoft Windows ファイル   デジタル ID は、ユーザーのコンピューターに保存できます。Outlook 2013 でデジタル ID をファイルにエクスポートするには、[ファイル] タブで [オプション] をクリックし、[セキュリティ センター] をクリックします。次に、[Microsoft Outlook セキュリティ センター] で [セキュリティ センターの設定] をクリックします。[電子メールのセキュリティ] タブの [デジタル ID (証明書)] で、[インポート/エクスポート] ボタンをクリックします。ファイルを作成するときにパスワードを指定すると、ファイルを暗号化できます。

デジタル ID を他のユーザーに提供する

暗号化された電子メール メッセージを他のユーザーと交換するには、互いに公開キーを渡しておく必要があります。公開キーへのアクセスは、証明書を通して提供できます。デジタル ID を他のユーザーに提供するには、次の方法があります。

  • 証明書を使用して電子メール メッセージにデジタル署名を付ける   公開キーを他のユーザーに提供するために、電子メール メッセージを作成し、証明書を使用してそのメッセージにデジタル署名を付けます。Outlook のユーザーは、この署名付きメッセージを受信すると、[差出人] 行のユーザー名を右クリックし、[連絡先フォルダーに追加] をクリックします。これで、アドレス情報と証明書が Outlook ユーザーの連絡先リストに保存されます。

  • Microsoft Exchange グローバル アドレス一覧などのディレクトリ サービスを使用して証明書を提供する   暗号化された電子メール メッセージを送信したときに、標準の LDAP サーバー上の LDAP ディレクトリから他のユーザーの証明書を自動的に取得することもできます。この方法で証明書にアクセスするには、電子メール アカウント用のデジタル ID を使用して S/MIME セキュリティに登録する必要があります。

    グローバル アドレス一覧から証明書を取得することもできます。

デジタル ID をインポートする

デジタル ID はファイルからインポートできます。暗号化された電子メール メッセージを新しいコンピューターから送信するときなど、この機能は便利です。暗号化された電子メール メッセージの送信に使用するすべてのコンピューターに、ユーザーの証明書をインストールする必要があります。デジタル ID を Outlook 2013 からファイルにエクスポートするには、[ファイル] タブで [オプション] をクリックし、[セキュリティ センター] をクリックします。次に、[Microsoft Outlook セキュリティ センター] の [セキュリティ センターの設定] をクリックします。[電子メールのセキュリティ] タブの [デジタル ID (証明書)] で、[インポート/エクスポート] ボタンをクリックします。

キーと証明書を更新する

証明書と公開キーには有効期限があります。CA または AD CS から提供されたキーの有効期限が迫ると、Outlook に警告メッセージが表示され、キーの更新が提示されます。Outlook は、ユーザーに代わってサーバーに更新メッセージを送信するかどうかをユーザーに確認するメッセージを表示します。

有効期限の切れる前に証明書の更新を選択しなかった場合、または CA や AD CS ではなく他の証明機関を使用する場合は、ユーザーが証明機関に連絡して証明書を更新する必要があります。

セキュリティ ラベルと確認メッセージ (署名付き)

Outlook 2013 では S/MIME V3 ESS (Enhanced Security Services) 拡張がサポートされているため、セキュリティ ラベルと確認メッセージ (署名付き) を使用できます。これらの機能を使用すると、セキュリティで強化された電子メール通信を組織内に展開し、要件に合わせてセキュリティをカスタマイズできます。

組織で S/MIME V3 セキュリティ ポリシーを開発および提供して、カスタム セキュリティ ラベルを追加すると、セキュリティ ポリシー内のコードによってセキュリティ ラベルが電子メール メッセージに強制的に添付されます。たとえば、次の 2 つはセキュリティ ラベルの例です。

  • 社外に送信または転送してはならないメールに適用するために、"社内でのみ使用" ラベルをセキュリティ ラベルとして実装することもできます。

  • 受信者側にもセキュリティ ポリシーがインストールされている場合に、受信者がメッセージを転送または印刷できないようにラベルを使用して指定できます。

また、セキュリティで強化された確認メッセージ要求を電子メールと共に送信して、受信者がデジタル署名を受理したことを確認することもできます。メッセージが受信および保存されると (受信者がまだ読んでいない場合でも)、メッセージが読まれたものとして確認メッセージが送信者の受信トレイに返されます。送信者の署名が検証されない場合は、確認メッセージは送信されません。確認メッセージが返されると、このメッセージも署名が付けられているため、受信者がメッセージを受け取り、検証したことが確認されます。

Outlook 2010 暗号化設定を構成する

Outlook 2010 グループ ポリシー テンプレート (Outlook14.adm) を使用すると、さまざまな Outlook 2013 暗号化機能を制御して組織のメッセージングとメッセージ暗号化のセキュリティを強化できます。たとえば、グループ ポリシー設定を構成して、すべての送信メールにセキュリティ ラベルの使用を強制したり、グローバル アドレス一覧への発行を無効にしたりできます。また、Office カスタマイズ ツール (OCT) を使用して既定の設定を構成した場合、ユーザーは必要に応じてこれらの既定の値を変更できます。さらに、レジストリ キー設定を使用する方法でのみ構成できる暗号化構成オプションもあります。

Outlook 2013 管理用テンプレートをダウンロードする方法の詳細について、およびその他の Office 2010 管理用テンプレートについては、「Office 2010 管理用テンプレート ファイル (ADM、ADMX、ADML) および Office カスタマイズ ツール」を参照してください。グループ ポリシーの詳細については、「Office 2010 のグループ ポリシーの概要」および「Office 2010 でグループ ポリシーを使用して設定を適用する」を参照してください。

OCT の詳細については、「Office 2010 の Office カスタマイズ ツール」を参照してください。

暗号化をカスタマイズするために、次の表に示す設定を強制できます。OCT では、これらの設定は [ユーザー設定の変更] ページの [Microsoft Outlook 2010\セキュリティ\暗号化] にあります。グループ ポリシーでは、これらの設定は、[ユーザーの構成\管理用テンプレート\Microsoft Outlook 2010\セキュリティ\暗号化] にあります。

暗号化オプション 説明

[S/MIME メッセージで常に TNEF 形式を使用する]

常に TNEF (Transport Neutral Encapsulation Format) を S/MIME メッセージに使用し、ユーザーから指定された形式を使用しません。

[電子メール アドレスを、使用されている証明書のアドレスと比較しない]

ユーザーの電子メール アドレスを検証するために、暗号化または署名に使用された証明書のアドレスを使用しません。

[[グローバル アドレス一覧に発行] ボタンを表示しない]

セキュリティ センターの [電子メールのセキュリティ] ページで、[グローバル アドレス一覧に発行] ボタンを無効にします。

[暗号化の警告ダイアログ ボックスで [続行] オプションを無効にする]

暗号化設定の警告ダイアログ ボックスで [続行] ボタンを無効にします。ユーザーは [続行] を押してメッセージを送信できません。

[暗号化アイコンを有効にする]

Outlook ユーザー インターフェイス (UI) に Outlook の暗号化アイコンを表示します。

[すべての電子メール メッセージを暗号化する]

送信メール メッセージを暗号化します。

[すべての S/MIME 署名されたメッセージにラベルを添付する]

すべての S/MIME 署名されたメッセージにセキュリティ ラベルを強制的に添付します。Outlook 2013 でラベルを電子メール メッセージに添付するには [オプション] タブの [その他のオプション] グループの [セキュリティ] で、[セキュリティ設定] ボタンをクリックします。[セキュリティ プロパティ] ダイアログ ボックスで、[このメッセージにデジタル署名を追加する] を選択し、[ポリシー] の [セキュリティ ラベル] でラベルを選択します。

[Fortezza 証明書ポリシー]

証明書ポリシー拡張で許可された、証明書が Fortezza 証明書であることを示すポリシーの一覧を入力します。一覧の各ポリシーはセミコロンで区切ります。

[メッセージの形式]

サポートするメッセージの形式を、S/MIME (既定)、Exchange、Fortezza、またはこれらを組み合わせたものから選択します。

[メッセージのデコードに使用するデジタル ID が Outlook で見つからない場合のメッセージ]

ユーザーに表示するメッセージを入力します (最大 255 文字)。

[最小暗号化設定]

暗号化された電子メール メッセージに使用する最小のキーの長さを設定します。設定された最小の暗号化キー値に満たない暗号化キーを使用してメッセージを送信しようとすると、Outlook は警告メッセージを表示します。その場合も、警告を無視して、暗号化キーを変更せずに使用してメッセージを送信できます。

[署名/暗号化されたメッセージへの返信または転送に、署名/暗号化を適用する]

S/MIME が構成されていない場合でも、署名または暗号化されたメッセージの返信または転送を行うときに署名または暗号化を有効にします。

[すべての S/MIME 署名されたメッセージの確認メッセージを要求する]

署名された送信メール メッセージに、セキュリティが強化された確認メッセージを要求します。

[S/MIME の運用に SuiteB アルゴリズムを必要とする]

S/MIME の運用に SuiteB アルゴリズムのみを使用します。

[必要な証明機関]

必要な証明機関 (CA) の名前を設定します。このオプションに値を設定すると、Outlook で別の CA から発行された証明書を使用して電子メールに署名することはできません。

[FIPS 準拠モードで実行する]

Outlook を FIPS 140-1 モードで実行します。

[S/MIME の外部クライアントとの相互運用性:]

S/MIME メッセージの処理方法を指定します。選択できるオプションは、[内部で処理する]、[外部で処理する]、または [可能な場合は処理する] です。

[S/MIME 確認メッセージ要求の処理]

S/MIME 確認メッセージ要求の処理オプションを指定します。

[確認メッセージを送信できない場合はメッセージを開く]

[確認メッセージを送信できない場合、メッセージを開かない]

[確認メッセージを送信する前に常に確認する]

[S/MIME 確認メッセージを送信しない]

[すべての署名されたメッセージをクリア署名されたメッセージとして送信する]

署名された電子メール メッセージをクリア テキストで送信します。

[すべての電子メール メッセージに署名する]

すべての送信メール メッセージに常にデジタル署名を使用します。

[署名の警告]

署名の警告をいつ表示するかを指定します。

  • [警告を表示するかどうかをユーザーが設定できるようにする] (このオプションを選択すると、既定の構成が適用されます)

  • [署名が無効な場合に常に警告する]

  • [署名が無効な場合でも警告しない]

[S/MIME 証明書の URL]

S/MIME 確認メッセージを取得できる URL を提供します。この URL には、3 つの変数 (%1、%2、および %3) を含めることができます。それぞれの変数は、ユーザーの名前、電子メール アドレス、および言語で置き換えられます。

[S/MIME 証明書の URL] に値を指定する場合、次のパラメーターを使用してユーザーに関する情報を登録 Web ページに送信できます。

 

パラメーター URL 文字列内のプレースホルダー

ユーザーの表示名

%1

SMTP 電子メール名

%2

ユーザー インターフェイスの言語 ID

%3

たとえば、ユーザー情報を Microsoft 登録 Web ページに送信するには、[S/MIME 証明書の URL] にパラメーターを含む次の値を入力します。

www.microsoft.com/ie/certpage.htm?name=%1&email=%2&helplcid=%3

たとえば、ユーザーの名前が Jeff Smith、電子メール アドレスが someone@example.com、ユーザー インターフェイスの言語 ID が 1033 であれば、プレースホルダーは次のように解決されます。

www.microsoft.com/ie/certpage.htm?name=Jeff%20Smith&email=someone@example.com&helplcid=1033

次の表に示す設定は、グループ ポリシーの [ユーザーの構成\管理用テンプレート\Microsoft Outlook 2010\セキュリティ\暗号化\署名の状況ダイアログ ボックス] にあります。OCT 設定は、OCT の [ユーザー設定の変更] ページの対応する場所にあります。

暗号化オプション 説明

[添付ファイル用の安全な一時フォルダー]

安全な一時フォルダーへのフォルダー パスを指定します。このパスは既定のパスに優先しますが、既定のパスの使用を推奨します。Outlook の添付ファイル用に固有のフォルダーを使用する必要がある場合は、次のことを推奨します。

  • ローカル ディレクトリを使用する (最適なパフォーマンスを得るため)。

  • フォルダーをインターネット一時ファイル フォルダーの下に配置する (このフォルダーに適用される強化されたセキュリティを利用するため)。

  • 推測されにくい一意のフォルダー名を使用する。

[CRL が見つからない場合]

証明書失効リスト (CRL) が見つからない場合に Outlook から警告 (既定) またはエラーのどちらを表示するかを指定します。

デジタル証明書には、対応する CRL がどこにあるのかを示す属性があります。CRL には、管理先の証明機関 (CA) によって無効にされたデジタル証明書の一覧が含まれます。通常、証明書が無効になるのは、誤って発行された場合や対応する秘密キーが漏洩した場合です。CRL が見つからないか使用できない場合、Outlook では証明書が無効にされたかどうかを確認できません。したがって、誤って発行された証明書や安全性に問題がある証明書がデータにアクセスするために使用される可能性があります。

[ルート証明書が見つからない場合]

ルート証明書が見つからない場合に Outlook からエラーも警告も表示しないか (既定)、警告またはエラーを表示するかを指定します。

[レベル 2 のエラーを警告ではなくエラーにする]

レベル 2 のエラーが起きた場合に Outlook からエラーまたは警告 (既定) のどちらを表示するかを指定します。レベル 2 のエラーが発生するのは、次のような状況です。

  • 不明な署名アルゴリズム

  • 署名証明書の不在

  • 無効な属性セット

  • 発行元の証明書の不在

  • CRL の不在

  • 期限切れの CRL

  • ルートの信頼性に関する問題

  • 古い CTL

[CRL (証明取り消し一覧) の取得]

CRL の取得に関する Outlook の動作を指定します。

  • システムの既定を使用する。Outlook は、オペレーティング システムに設定された CRL のダウンロード スケジュールに従います。

  • オンラインの間は、常に CRL を取得する。このオプションは、Outlook の既定の構成です。

  • CRL を取得しない。

その他の暗号化設定を構成する

ここでは、暗号化の構成オプションに関する追加の情報を提供します。

暗号化全般のセキュリティ ポリシー設定

次の表は、独自の構成を指定するために使用できる追加の Windows レジストリ設定を示しています。これらのレジストリ設定は、HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default にあります。これらに対応するグループ ポリシーはありません。

レジストリ エントリ 種類 説明

ShowWithMultiLabels

DWORD

0、1

0 に設定すると、別の署名によって異なるラベルが署名層に設定されている場合にメッセージを表示しようとします。1 に設定すると、メッセージを表示しません。既定は、0 です。

CertErrorWithLabel

DWORD

0、1、2

0 に設定すると、ラベル付きのメッセージに証明書エラーが発生した場合、このメッセージを処理します。1 に設定すると、証明書エラーが発生したメッセージへのアクセスを拒否します。2 に設定すると、メッセージのラベルを無視し、メッセージへのアクセスを許可します (ユーザーには証明書エラーが見えます)。既定は、0 です。