Exchange Serverでのメッセージ署名と暗号化の S/MIME
製品: Exchange Server 2013
S/MIME (Secure/多目的インターネット メール拡張機能) は、デジタル署名および暗号化されたメッセージを送信するための広く受け入れ可能な方法 (より正確にはプロトコル) です。 S/MIME では電子メールを暗号化し、デジタル署名を行うことができます。 電子メール メッセージで S/MIME を使用すると、そのメッセージを受信する人は、受信トレイにあるものが送信者によって作成されたメッセージそのものであることがわかります。 また、メッセージを受信する人は、そのメッセージが確かに特定の送信者から送信されたものであり、その送信者になりすました別の誰かからのものでないこともわかります。 このために、S/MIME には認証、メッセージの整合性、発信元の否認防止 (デジタル署名を使用) などの暗号化セキュリティ サービスが用意されています。 また、これは電子メッセージングのプライバシーとデータ セキュリティ (暗号化を使用) の強化にも役立ちます。 電子メール関連での S/MIME の歴史とアーキテクチャに関する詳細な背景情報については、「S/MIME について」を参照してください。
Exchange 管理者は、組織内のメールボックスに対して S/MIME ベースのセキュリティを有効にすることができます。 ここでリンクされているトピックのガイダンスと Exchange 管理シェルを使用して、S/MIME を設定します。 サポートされているメール クライアントで S/MIME を使用するには、組織内のユーザーが署名と暗号化のために発行された証明書と、オンプレミスの Active Directory Domain Service (AD DS) に発行されたデータを持っている必要があります。 AD DS は、インターネット上のリモート施設やクラウドベースのサービスではなく、制御する物理的な場所にあるコンピューター上に配置する必要があります。 AD DS の詳細については、「 Active Directory ドメイン サービス」を参照してください。
サポートされるシナリオと技術的な考慮事項
次の任意のエンドポイントで機能するように S/MIME をセットアップできます。
Outlook 2010 以降
Outlook Web App (OWA)
Exchange ActiveSync (EAS)
これらのエンドポイントごとに S/MIME を設定する手順は若干異なります。 一般に、次の手順を実行する必要があります。
Windows ベースの証明機関をインストールし、S/MIME 証明書を発行するように公開キー基盤を設定します。 サードパーティの証明書プロバイダーによって発行された証明書もサポートされています。 詳細については、「Active Directory 証明書サービスの概要」を参照してください。
UserSMIMECertificate 属性または UserCertificate 属性のオンプレミス AD DS アカウントでユーザー証明書を発行します。
S/MIME を検証するためには、仮想の証明書のコレクションを設定します。 この情報は、電子メールの署名を検証する際に OWA により使用され、そのメールが信頼できる証明書により署名されたことが確認されます。
S/MIME を使用する Outlook エンド ポイントまたは EAS エンド ポイントを設定します。
Outlook Web App で S/MIME をセットアップする
OWA で S/MIME を設定するには、次の重要な手順が必要です。
関連するメッセージ暗号化テクノロジ
メッセージセキュリティが重要になるにつれて、管理者はセキュリティで保護されたメッセージングの原則と概念を理解する必要があります。 この理解は、使用可能な保護関連テクノロジ (S/MIME を含む) が増え続けているため、特に重要です。 S/MIME と電子メールのコンテキストでの動作の詳細については、「 S/MIME について」を参照してください。 さまざまな暗号化テクノロジが連携して、保管されているメッセージと転送中のメッセージの保護を提供します。 S/MIME は次のようなテクノロジと同時に機能しますが、それらに依存してはいません。
トランスポート層セキュリティ (TLS) は、盗聴防止に役立てるために電子メール サーバー間のトンネルまたはルートを暗号化します。
Secure Sockets Layer (SSL) は、電子メール クライアントと Microsoft 365 または Office 365 サーバー間の接続を暗号化します。
BitLocker は 、データ センター内のハード ドライブ上のデータを暗号化して、誰かが不正なアクセスを取得した場合、データを読み取ることができないようにします。
S/MIME とメッセージ暗号化の比較
S/MIME には B2B (企業間取引) および B2C (企業-消費者間取引) の状況でよく使用される証明書および公開のインフラストラクチャが必要です。 ユーザーは、S/MIME で暗号化キーを制御し、送信する各メッセージにキーを使用するかどうかを選択できます。 Outlook などの電子メール プログラムはデジタル署名と署名の検証を実行するために、信頼できるルート証明機関の場所を検索します。 Message Encryption は、組織内外のユーザーに送信されるメールを暗号化するために、個々のユーザーではなく管理者が構成できるポリシー ベースの暗号化サービスです。 これは、Azure Rights Management (RMS) 上に構築され、公開キー インフラストラクチャに依存しないオンライン サービスです。 メッセージ暗号化には、組織のブランドでメールをカスタマイズする機能など、追加の機能も用意されています。 メッセージ暗号化の詳細については、「 暗号化」を参照してください。