Share via

S/MIME によるメッセージの署名と暗号化

  • [アーティクル]

Exchange Serverの管理者は、組織のセキュア/多目的インターネット メール拡張機能 (S/MIME) を有効にすることができます。 S/MIME とは、デジタル署名され、暗号化されたメッセージを送信するための広く受け入れられた方式、より正確に言えばプロトコルです。 S/MIME では電子メールを暗号化し、デジタル署名を行うことができます。 S/MIME の使用は、メッセージの受信者にとって次のように役立ちます。

  • 受信トレイのメッセージが送信者から送られたとおりのメッセージであることを確認します。

  • そのメッセージが確かに特定の送信者から送信されたものであり、その送信者になりすました別の誰かからのものでないことがわかります。

このために、S/MIME には認証、メッセージの整合性、発信元の否認防止 (デジタル署名を使用) などの暗号化セキュリティ サービスが用意されています。 また、S/MIME は電子メッセージングのプライバシーとデータ セキュリティ (暗号化を使用) の強化にも役立ちます。

S/MIME には B2B (企業間取引) および B2C (企業-消費者間取引) の状況でよく使用される証明書および公開のインフラストラクチャが必要です。 ユーザーは、S/MIME で暗号化キーを制御し、送信する各メッセージにキーを使用するかどうかを選択できます。 Outlook などの電子メール プログラムはデジタル署名と署名の検証を実行するために、信頼できるルート証明機関の場所を検索します。

電子メール関連での S/MIME の歴史とアーキテクチャに関する詳細な背景情報については、「S/MIME について」を参照してください。

S/MIME でサポートされるシナリオと技術的な考慮事項

次の任意のエンドポイントで機能するように S/MIME をセットアップできます。

  • Outlook 2010 以降

  • Web 上の Outlook (旧称 Outlook Web App)

  • Exchange ActiveSync (EAS)

これらの各エンドポイントに S/MIME をセットアップする手順は、それぞれ若干異なります。 一般的には、次の手順を完了する必要があります。

  1. Windows ベースの証明機関をインストールし、S/MIME 証明書を発行するように公開キー基盤を設定します。 サード パーティの証明書プロバイダーによって発行された証明書がサポートされています。 詳細については、「 サーバー証明書の展開の概要」を参照してください。

  2. UserSMIMECertificate または UserCertificate 、あるいはその両方の属性でオンプレミスの Active Directory ドメイン サービス (AD DS) アカウントでユーザー証明書を発行します。 ユーザーの AD DS は、離れた施設やインターネットのどこかのクラウドベースのサービスではなく、ユーザーが管理している物理的な場所にあるコンピューター上になければなりません。 AD DS の詳細については、「Active Directory Domain Services概要」を参照してください。

  3. S/MIME を検証するためには、仮想の証明書のコレクションを設定します。 この情報は、電子メールの署名を検証する際に Web 上の Outlook により使用され、そのメールが信頼される証明書により署名されたことが確認されます。

  4. S/MIME を使用する Outlook エンド ポイントまたは EAS エンド ポイントを設定します。

Web 上の Outlook での S/MIME のセットアップ

Web 上の Outlook での S/MIME のセットアップには、次の主要な手順が含まれます。

  1. Exchange ServerのOutlook on the webの S/MIME 設定

  2. Set up Virtual Certificate Collection to Validate S/MIME

Outlook on the webで S/MIME で暗号化されたメッセージを送信する方法については、「Outlook on the webで S/MIME を使用してメッセージを暗号化する」を参照してください。

さまざまな暗号化テクノロジが連携して、保管されているメッセージと転送中のメッセージの保護を提供します。 S/MIME は次のようなテクノロジと同時に機能しますが、それらに依存してはいません。

  • トランスポート層セキュリティ (TLS): スヌーピングや盗聴を防ぐために、電子メール サーバー間のトンネルまたはルートを暗号化し、電子メール クライアントとサーバー間の接続を暗号化します。

    注:

    コンピューター システム間で送信されるデータの暗号化に使用するプロトコルとして、SSL (Secure Sockets Layer) がトランスポート層セキュリティ (TLS) に置き換えられます。 両者は非常に密接に関連しているため、"SSL" と "TLS" (バージョンなし) という用語は同じ意味で使用されることがよくあります。 このような類似性があるので、Exchange のトピック、Exchange 管理センター、Exchange 管理シェル で "SSL" に言及している場合、SSL と TLS の両方のプロトコルを含むことがよくあります。 通常、"SSL" が実際の SSL プロトコルを指すのは、バージョンも示されている場合 (SSL 3.0 など) だけです。 SSL プロトコルを無効にして TLS に切り替える必要がある理由については、「SSL 3.0 の脆弱性からの保護」をご覧ください。

  • BitLocker: データ センター内のハード ドライブ上のデータを暗号化して、誰かが不正なアクセスを取得した場合にデータを読み取ることができないようにします。 詳細については、「BitLocker: Windows Server 2012 以降に展開する方法」を参照してください。