電子メール メッセージの暗号化を計画する
更新日: 2009年4月
適用対象: Office Resource Kit
トピックの最終更新日: 2009-04-03
Microsoft Office Outlook 2007 には、暗号化された電子メール メッセージの送受信を可能にするセキュリティ関連機能があります。暗号化された電子メール メッセージング、セキュリティ ラベル、署名付き確認メッセージなどの機能です。
[!メモ] Outlook のセキュリティ機能を最大限に活用するためには、ローカル管理者権限を使用して Outlook をインストールする必要があります。
Outlook の暗号化メッセージング機能
Outlook には、以下の暗号化メッセージング機能があります。
電子メール メッセージにデジタル署名する。デジタル署名によって、非否認と内容確認 (メッセージが差出人から送信されたとおりの内容であり、変更されていないことの確認) が可能になります。
電子メール メッセージを暗号化する。暗号化によって、送信者が指定した受信者以外はメッセージを読むことができなくなるため、プライバシーを保護できます。
その他にもメッセージングのセキュリティを強化する機能を構成できます。それらの機能を組織がサポートする場合は、セキュリティが強化されたメッセージングによってユーザーは以下のことを行えるようになります。
確認メッセージ要求付きの電子メール メッセージを送信する。これによって、受信者が送信者のデジタル署名 (メッセージに添付した証明書) を認証したことを確認できます。
電子メール メッセージにセキュリティ ラベルを付ける。メッセージにラベルを添付できるように S/MIME V3 セキュリティ ポリシーをカスタマイズすることができます。S/MIME V3 セキュリティ ポリシーは Outlook に追加するコードです。このコードはメッセージの秘密度に関する情報をメッセージ ヘッダーに追加します。このトピック後半の「セキュリティ ラベルと署名付き確認メッセージ」を参照してください。
Outlook で暗号化メッセージングが実装される方法
Outlook の暗号化モデルでは、公開キー暗号化を使用して署名入りの暗号化された電子メール メッセージを送受信します。Outlook は、S/MIME V3 セキュリティをサポートしています。これによって、インターネットまたはイントラネットを介し、セキュリティが強化された電子メール メッセージを他の S/MIME 電子メール クライアントと交換できます。ユーザーの公開キーによって暗号化された電子メール メッセージは、関連付けられた秘密キーを使用することによってのみ解読できます。つまり、暗号化された電子メール メッセージを送信すると、受信者の証明書 (公開キー) がメッセージを暗号化します。暗号化された電子メール メッセージを読むときは、受信者であるユーザーの秘密キーでメッセージを解読します。
Outlook で暗号化機能を使用するためには、ユーザーがセキュリティ プロファイルを持っている必要があります。セキュリティ プロファイルは、暗号化機能を使用したメッセージを送信するときに使用される証明書とアルゴリズムを指定する設定の集まりです。セキュリティ プロファイルは、以下の場合に自動的に構成されます (既存のプロファイルがないとき)。
ユーザーのコンピュータに暗号化用の証明書がある。
ユーザーが暗号化機能の使用を開始する。
事前にユーザーのセキュリティ設定をカスタマイズしておくことができます。レジストリ設定またはグループ ポリシー設定を使用して、Outlook を組織の暗号化ポリシーに合わせてカスタマイズし、必要な設定をセキュリティ プロファイルで構成 (およびグループ ポリシーを使用して適用) できます。これらの設定については、「組織に一貫性のある Outlook 2007 暗号化オプションを設定する」を参照してください。
デジタル ID : 公開/秘密キーと証明書の組み合わせ
S/MIME 機能を使用するにはデジタル ID が必要です。デジタル ID は、ユーザーの ID を公開キーと秘密キーのペアに関連付けるものです。証明書と公開/秘密キーの組み合わせをデジタル ID といいます。秘密キーは、ユーザーのコンピュータ、スマート カード上の Microsoft Windows 証明書ストアなどのセキュリティが強化されたストアに保存できます。Outlook は X.509v3 標準を完全にサポートしています。この標準では、VeriSign, Inc. などの証明機関が作成した公開キーと秘密キーを使用する必要があります。
ユーザーがデジタル ID を取得するには、VeriSign、Microsoft Certificate Server などの Web ベースの公共証明機関を使用します。デジタル ID を取得する方法の詳細については、Outlook ヘルプ トピックの「デジタル ID を取得する」を参照してください。管理者は、ユーザー グループにデジタル ID を配布することができます。Outlook では、Microsoft Exchange キー マネージメント サーバーを使用したデジタル ID の取得または配布を引き続きサポートしています。
デジタル ID の証明書が期限切れになった場合、通常はユーザーが発行元の証明機関から更新された証明書を取得する必要があります。組織が Microsoft Exchange キー マネージメント サーバーを使用して証明書を処理している場合は、Outlook によって自動的に証明書の更新が管理されます。
セキュリティ ラベルと署名付き確認メッセージ
Outlook には、セキュリティ ラベルと署名付き確認メッセージを扱う S/MIME V3 ESS (Enhanced Security Services) 拡張のサポートが組み込まれています。この拡張によって、組織内でのセキュリティが強化された電子メール交換が可能になり、組織の要件に合わせてセキュリティをカスタマイズできます。
組織が S/MIME V3 セキュリティ ポリシーを開発してカスタム セキュリティ ラベルを追加すると、セキュリティ ポリシーのコードが電子メール メッセージにセキュリティ ラベルを添付します。セキュリティ ラベルの 2 つの例を以下に示します。
"社外秘" のラベルは、会社の外部に送信または転送してはならないメールに添付するセキュリティ ラベルとして使用されます。
特定の受信者によるメッセージの転送または印刷を禁止することをラベルで指定できます。ただし、受信者も同じセキュリティ ポリシーをインストールしている必要があります。
セキュリティが強化された確認メッセージ要求をメッセージと共に送信し、受信者が送信者のデジタル署名を認識したことを確認することもできます。このようなメッセージを受信して保存し (メッセージを読んでいなくても)、署名の有効性が確認できた場合は、受信者がメッセージを読んだことを意味する確認メッセージが送信者の受信トレイに返送されます。送信者の署名の有効性が確認できなかった場合、確認メッセージは送信されません。確認メッセージが返送された場合、その確認メッセージも署名されているため、送信先のユーザーがメッセージを受信し、確認したという証明になります。
暗号強度クラス
Microsoft が提供する暗号キーの強度には、高 (128 ビット) と低 (40 ビット) の 2 つのクラスがあります。2007 Microsoft Office system に必要なオペレーティング システムである Windows 2000 および Windows XP には、128 ビットの暗号化機能があります。高度な暗号化をサポートするソフトウェア バージョンを使用することによって、レベルの高いセキュリティが強化された電子メール メッセージングを実現できます。
参考資料
Outlook セキュリティ ラベルのアプリケーション プログラミング インターフェイス (API) を使用して、組織のメッセージ内容の秘密度を定義するセキュリティ ラベル ポリシー モジュールを作成します。ポリシー モジュールを作成する方法の詳細とコード サンプルについては、MSDN のセキュリティ ラベル ポリシー モジュールの作成 を参照してください。
公開キー暗号化を使用することによって、セキュリティが強化された電子メール システムの運用が可能になります。Outlook の公開キー暗号化の詳細については、Microsoft 製品サポート サービス Web サイトの「サポート技術情報検索」ページで Outlook 98 のセキュリティに関するホワイトペーパーを検索してください。
Microsoft Exchange キー マネージメント サーバー Version 5.5 は、Microsoft Exchange Server セキュリティ専用のキーを発行します。Microsoft Exchange キー マネージメント サーバー 5.5 Service Pack 1 は、Exchange セキュリティと S/MIME セキュリティの両方をサポートします。詳細については、Microsoft BackOffice リソース キット Second Edition に収録されている Microsoft Exchange Server Version 5.5 リソース ガイドを参照してください。
このブックをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。
入手できるすべてのブックの一覧については、「2007 Office リソース キットのダウンロード可能なコンテンツ」を参照してください。