規制のある業界で電子メールの機密性を保護する方法
公開日: 2006年12月25日
トピック
はじめに
あらゆる組織は、情報セキュリティ、プライバシー、および信頼性などの分野で、法律上および規制上の重要な課題に直面しています。 こうした課題に取り組むには、組織全体でシステムおよびプロセスに大規模な変更を加える必要がある場合があります。 ビジネスは、法律上および倫理上の多くの方針に対応するために、責任と法規制に関する構造と規制の増加に対応し、準備する必要があります。 法令順守とは、ビジネス業務において組織が直面し、実証する必要がある法律上およびビジネスにおける要件のすべてを満たすことを意味します。 また、法令順守は、司法および企業の要件が執行される法的枠組みを理解することも意味します。 法規制に準拠するには、すべてのビジネス部門とすべての従業員が参加する必要があります。 法規制への準拠は、単一のソリューションやプロセスを導入するだけでは達成することはできません。組織内のすべてのビジネス セクションに導入する必要があるのです。
法規制を取り巻く環境は、ますます複雑化しています。 多くの場合、法規制に準拠することは容易な作業ではなく、また規則は各要件の特性によって異なります。 このため、組織はリスクと影響に関して徹底した評価を実施する必要があります。
この文書では、電子メールの機密性の分野において、法規制に準拠するための取り組みを標準化および簡素化するために使用できるプロセスおよびテクノロジの一部について説明します。 この文書では、法律および規制への準拠を試みる、多くの小規模から中規模のビジネスが直面するリソースおよびオプションを紹介します。 この文書は、法令順守を実現するための手引きではありません。また、これらの問題に関して法律上のアドバイスを提供するものでもありません。 この文書の読者は、法令順守プログラムまたはプロセスを実施する前に、各自のアドバイザや弁護士に相談してください。
対象読者
このガイドの対象読者は、ネットワーク環境で Microsoft® Exchange Server 2003 に基づいた電子メール サービスの導入、保守、および管理の責任を負う IT プロフェッショナルです。
このガイドで提供する情報は、ネットワーク内で機密の電子メール メッセージを配信する必要がある小規模から中規模のビジネスに適用されます。
概要
メッセージのセキュリティ機能は、Microsoft Exchange Server の最初のバージョンから利用することができましたが、通常、専門的なセキュリティ要件およびセキュリティ要員を備えている顧客だけしか、これらの機能を使用していませんでした。 セキュリティ専門家および暗号化の経験のある要員だけが、電子メール メッセージのセキュリティ概念を理解する必要があったのです。 Exchange Server 2003 での Secure/Multipurpose Internet Mail Extensions (S/MIME) のサポートが強化され、法規制に準拠する必要性が増加するに従って、管理者に、これらの原則および概念を理解する必要性が生じてきました。
Windows Mobile 5.0 の Messaging and Security Feature Pack では、スマート フォンでの S/MIME 証明書をサポートしています。 さらに、Microsoft Exchange Server 2003 Service Pack 2 (SP2) では、Microsoft Outlook® Web Access (OWA) での S/MIME の使用に対応しています。
この文書では、S/MIME とそれに関連する概念と S/MIME を実装する方法に関する規範的なガイダンスを提供します。 セキュリティに関する背景知識は必要ありません。 この文書では、一般的な S/MIME の概念について説明し、この概念を特に Exchange Server に適用できるようにします。
S/MIME の利点
S/MIME 以前は、管理者は広く普及している電子メール プロトコルである Simple Mail Transfer Protocol (SMTP) を使用してメッセージを転送していました。このプロトコルは本質的にセキュリティ レベルが高くありません。 そのため、SMTP を使用せず、セキュリティ レベルが高い独自のソリューションを使用している管理者もいました。 つまり、セキュリティまたは接続性のいずれかに重点を置いたソリューションを選択することを強いられてきたのです。 S/MIME によって、SMTP より強力なセキュリティを提供し、広範囲にわたりセキュリティで保護された電子メールの接続性を実現する電子メール オプションを管理者は手に入れました。
S/MIME では、次の 2 つのセキュリティ サービスを提供しています。
これらの 2 つのサービスが、S/MIME ベースのメッセージにおいてセキュリティの中核を成しています。 メッセージのセキュリティに関連する他のすべての概念は、これら 2 つのサービスをサポートしています。 メッセージのセキュリティについて完全に理解することは複雑な作業に見えますが、これら 2 つのサービスがメッセージのセキュリティの基礎となります。
デジタル署名とメッセージの暗号化は、互いに関連したサービスです。 各サービスは、特定のセキュリティ問題に対処しています。 デジタル署名は認証および否認に関する問題を扱い、メッセージの暗号化は機密性に関する問題を扱います。 各サービスが異なる問題を扱っているため、メッセージのセキュリティ戦略では、多くの場合これらの両方が同時に必要となります。 これら 2 つのサービスは、送信者と受信者の間に起こる問題を、それぞれ一方の側から扱うため、互いに連携して使用されるように設計されています。 デジタル署名は送信者に関連するセキュリティ問題に対処し、暗号化は主に受信者に関連するセキュリティ問題に対処します。
デジタル署名とメッセージの暗号化を同時に使用すると、ユーザーは両方のサービスの恩恵を受けることができます。 メッセージで両方のサービスを使用するために、いずれかのサービスの扱い方または処理方法が変更されることはありません。
デジタル署名
デジタル署名は、より一般的に使用されている S/MIME サービスです。 名前が示すとおり、デジタル署名は紙の文書で伝統的に使用されてきた法的署名のデジタル版です。 法的署名と同様に、デジタル署名では次のセキュリティ機能が提供されます。
| • | 認証。 身元を証明するための署名サービス。 ユーザーを他のユーザーから区別する手段を提供し、互いに信頼できる送信元から送信されていることを証明することで、ユーザーの確認を行います。 SMTP 電子メールには認証機能がないため、だれが実際にメッセージを送ったかを知る手段がありません。 デジタル署名による認証は、メッセージがメッセージを送信したと主張する人または組織によって送信されたことを受信者が確認できるようにすることで、この問題を解決するのに役立ちます。 |
| • | 否認防止。 署名の一意性により、署名の所有者が署名が自分のものであることを否認するのを阻止することができます。 この機能は否認防止と呼ばれます。 このように、署名による認証によって否認防止を実施する手段が提供されます。 否認防止の概念は、紙による契約においてよく知られています。 署名された契約書は法的な拘束力を持つ文書です。また、本物と証明された署名を否認することは非常に困難です。 デジタル署名は、これと同じ機能を提供します。さらに一部の分野では、紙の契約書での署名と同様に、法的な拘束力を持つものとして認知されるようになっています。 SMTP 電子メールでは認証手段が提供されないため、否認防止機能を提供することができません。 SMTP 電子メール メッセージは、送信者はメールの送信者が自分であることを簡単に否認することができます。 |
| • | データの完全性。 デジタル署名によって提供されるその他のセキュリティ サービスには、データの完全性があります。 データの完全性は、デジタル署名を実現する特定の処理の結果として実現します。 データの完全性サービスによって、デジタル署名された電子メール メッセージの受信者がデジタル署名を検証するときに、受信者は、受信した電子メール メッセージが実際に署名および送信されたものと同一のメッセージであり、送信中に変更されていないことを確認することができます。 メッセージへの署名後、転送中にメッセージに変更が加えられると、署名は無効になります。 このようにして、デジタル署名は文書上の署名ではできない保証を提供することができます。紙の文書は、署名後に変更することができるからです。 |
メッセージの暗号化
メッセージの暗号化を使用すると、情報の漏えいに対するソリューションを実現することができます。 SMTP ベースのインターネット電子メールでは、メッセージのセキュリティは保護されていません。 SMTP によるインターネット電子メール メッセージは、送信時に読まれたり、保存場所で閲覧されたりする可能性があります。 S/MIME では、暗号化を使用することでこれらの問題に対処します。
暗号化とは、読んで理解できる形式に戻されるまで、読んだり理解したりできないように情報を変更する方法です。
メッセージの暗号化はデジタル署名ほど広くは使用されていませんが、多くの人々がインターネット電子メールの深刻な弱点であると考える問題に対処しています。 メッセージ暗号化により、2 つの特定のセキュリティ サービスが提供されます。
| • | 機密性。 メッセージの暗号化により、電子メール メッセージの内容を保護することができます。 意図した受信者のみが内容を表示することができ、内容の機密性が維持されるため、メッセージを受信または表示した他のユーザーに読まれることはありません。 暗号化によって、送信中およびストレージ内のメッセージの機密性を維持することができます。 |
| • | データの完全性。 デジタル署名の場合と同様に、暗号化を実現する特定の処理の結果として、メッセージの暗号化によってデータの完全性サービスが提供されます。 |
S/MIME の要件
電子メールの機密性を実現するには、ご利用の環境に特定のソフトウェア コンポーネントが必要になります。 ここでは、これらのコンポーネントの概要について説明します。
公開キー基盤 (PKI)
S/MIME ソリューションでは、公開キーと秘密キーの組み合わせを使用するデジタル証明書を提供し、Active Directory® ディレクトリ サービスでの証明書マッピングを実現する PKI が必要です。 S/MIME 標準では、S/MIME で使用するデジタル証明書が ITU (International Telecommunications Union) X.509 標準に準拠していることが明記されています。 S/MIME Version 3 では、特に、デジタル証明書が X.509 のバージョン 3 に準拠している必要があります。S/MIME ではデジタル証明書の構造を、確立および認識された標準に依存しています。S/MIME 標準はこの標準の発展に基づいて構築され、広く受け入れられるようになりました。
PKI を実装して S/MIME をサポートするには、次の 2 つの方法があります。 内部の証明書インフラストラクチャを外部の組織に実装する方法と、Microsoft Windows Server™ 2003 の証明書サービスを使用する方法です。
Windows Server 2003 の証明書サービスの詳細については、「Windows Server 2003 の公開キー基盤 (PKI)」を参照してください。
PKI は、証明書の失効に対処するメカニズムを備えている必要があります。 証明書の失効が必要になるのは、証明書の期限が切れたとき、または攻撃者によって証明書のセキュリティが侵害された可能性があるときです。 証明書を失効することで、管理者は証明書を使用するユーザーのアクセスを拒否します。 各証明書には、証明書失効リスト (CRL) の場所が含まれています。
証明書の失効を管理する方法の詳細についは、「証明書の失効」トピックを参照してください。
証明書テンプレート
Windows Server 2003 では、S/MIME で使用するデジタル証明書を発行するための固有の証明書テンプレートが用意されています。 3 つの多機能ユーザー証明書テンプレートを使用することで、電子メールをセキュリティ保護する証明書を発行することができます。
| • | 管理者。 管理者は、認証、暗号化ファイル システム (EFS) による暗号化、電子メールのセキュリティ保護、および証明書信頼リストの署名に証明書を使用できます。 |
| • | ユーザー。 ユーザーは、認証、EFS 暗号化、および電子メールのセキュリティ保護に証明書を使用できます。 |
| • | スマート カード ユーザー。 ユーザーはスマート カードでログオンして電子メールに署名できます。 また、この証明書ではクライアント認証も行われます。 |
注 マイクロソフトでは、現在の Windows Server 2003 PKI を Windows Server 2003 Service Pack 1 (SP1) PKI にアップグレードして、強化されたセキュリティ機能を活用することを強くお勧めしています。
証明書テンプレートの詳細については、「証明書テンプレート」トピックを参照してください。
Active Directory
Active Directory は、S/MIME 証明書の実装における主要なコンポーネントです。 ユーザーに証明書を配布して電子メール サービスで使用するために、管理者は Active Directory のグループ ポリシー自動登録機能を利用することができます。 また、Windows Server 2003 の Active Directory では、Outlook、Outlook Express、および S/MIME 対応 Outlook Web Access (OWA) などの複数のマイクロソフト製電子メール クライアントの PKI ディレクトリや、ユーザー アカウントを証明書にマッピングする機能があらかじめサポートされています。
証明書マッピングの詳細については、「Map certificates to user accounts」トピック (英語) を参照してください。
Exchange Server 2003
Exchange Server 2003 の管理者は、さまざまな電子メール クライアントをサポートすることで、展開方法をカスタマイズして固有のニーズを満たすことができます。 Exchange Server 2003 のクライアントで S/MIME をサポートしていることは、顧客はサポートされている任意のクライアントを同時に使用できるという点において、クライアントを全般的にサポートしていることに似ています。 このため、Exchange Server 2003 の S/MIME ベースのソリューションでは、POP3 を使用して Outlook クライアント、OWA クライアント、および Outlook Express クライアントをすべて同時にサポートできます。 ただし、電子メール クライアントが S/MIME Version 3 をサポートし、サポートされている Exchange Server 電子メール クライアントである必要があるため、すべての電子メール クライアントが S/MIME クライアントになれるわけではありません。
S/MIME は、Exchange Server 2000 と Exchange Server 2007 でも提供されています。
電子メール クライアント
Exchange Server 2003 では、従来からのクライアント プロトコルをサポートすることで S/MIME をサポートしています。 サポートされているクライアントで S/MIME もサポートされている場合は、そのクライアントは Exchange Server 2003 で使用できます。クライアントで S/MIME Version 3 がサポートされていない場合でも、そのクライアントはクリア 署名付きメッセージを読むために使用できます。
Microsoft Outlook 2003
Outlook では、Exchange Server 2003 への MAPI (Messaging Application Programming Interface) ベースの接続をサポートしています。また、Outlook では POP3 および IMAP4 を使用して接続できます。Exchange Server 2003 の S/MIME は、X.509 v3 デジタル証明書をサポートする Outlook のすべてのバージョンで使用できます。 Outlook による X.509 v3 デジタル証明書の完全サポートは、Outlook 2000 Service Release 1 (SR-1) で最初に導入されました。
POP3 クライアントと IMAP4 クライアント
電子メール クライアントが S/MIME Version 2 または Version 3 をサポートしている場合、Exchange Server 2003 はインターネット電子メールの標準プロトコルである POP3 および IMAP4 を使って S/MIME クライアントを完全にサポートします。S/MIME Version 2 または Version 3、および POP3 または IMAP4 のいずれかをサポートする電子メール クライアントの場合、Exchange Server 2003 メッセージ セキュリティ システムで電子メール クライアントとして使用することができます。 S/MIME 標準をサポートする電子メール クライアントではすべてのメッセージ セキュリティ サービスを完全にサポートしているため、これらのクライアントは完全な機能を備えた電子メール クライアントとして使用することができます。 マイクロソフトでは、POP3 および IMAP4 クライアントでの S/MIME Version 3 を Outlook Express 5.5 以降および Outlook 2000 SR-1a 以降でサポートしています。
注 異なるインターネット標準および電子メール クライアントでは、X.509 v3 証明書に対する独自の要件と処理方法を使用しています。 サポートする電子メール クライアントを決定するときは、これらの要件および互換性に関する問題に注意してください。
運用上の考慮事項
このソリューションの要素を実装および検証した後は、このソリューションによる電子メールの機密性の保護が、引き続き正常に機能することを確実にするために、考慮すべき既存の作業が多数あります。
運用上の考慮事項は、次のとおりです。
| • | Service Pack を適用する。 Exchange Server SP2 で強化された機能には、スパム対策の拡張機能があります。 詳細については、「Exchange Server 2003 Service Pack 2 のスパム対策の拡張機能」トピックを参照してください。 |
| • | 最新のセキュリティ アップデートを適用する。 マイクロソフト ダウンロード センターから入手した更新プログラムですべてのサーバーを保護します。 |
| • | 技術的な課題を予測する。 「Microsoft Update」を定期的に確認し、Exchange Server と Windows Server のその他のセキュリティ更新プログラムをダウンロードおよびインストールします。 |
| • | Microsoft Baseline Security Analyzer (MBSA) を実行する。 MBSA をダウンロードすると、Exchange Server 2003 で不足しているセキュリティ更新プログラムをスキャンして見つけることができます。 |
| • | Microsoft Exchange Server インテリジェント メッセージ フィルタを使用する。 Exchange Server インテリジェント メッセージ フィルタと Outlook 2003 を組み合わせて使用することにより、ヒューリスティック ベースの高度なメッセージ フィルタリングをサーバー側で実行できるようになり、スパムの流入を減少させることができます。 インテリジェント メッセージ フィルタを最新の状態に維持する方法については、Microsoft Exchange Server インテリジェント メッセージ フィルタ v2 運用ガイドに関する記事を参照してください。 |
| • | Microsoft Exchange Server ベスト プラクティス アナライザを実行する。 このツールは、トポロジ内の各サーバーからリモートで構成データを収集し、自動的にデータを分析します。このツールは無料でダウンロードできます。 出力されるレポートには、重大な構成上の問題、潜在的な問題、および既定外の製品設定について記載されます。 これらの推奨事項に従うことで、パフォーマンス、スケーラビリティ、信頼性、および稼働時間を向上させることができます。 |
| • | セキュリティ情報の更新を定期的に確認する。 技術的なセキュリティ ガイダンスについては、Microsoft TechNet Web サイトの「Microsoft Exchange TechCenter : セキュリティと保護」のページを参照してください。 |
電子メールの機密性保護のシナリオ
次に示す電子メールの機密性を保護するための手順は、次に示す図のような中小規模ビジネスのシナリオについて説明しています。
特に、電子メール ユーザーは、内部および外部ロケーションに送信された電子メールに対して機密性を要求します。 これを実現するには、Exchange Server 2003 および S/MIME をサポートする電子メール クライアントを実装します。
電子メールの機密性を保護する
次の手順は、電子メールの機密性を保護するために必要な構成手順を示します。
開始する前に
Exchange Server 2003 環境に S/MIME を実装する前に、次のそれぞれを実装するとメッセージがどのようになるか、理解する必要があります。
イベント シンクおよびデジタル署名されたメッセージ
イベント シンクは、Exchange Server が電子メールを処理するときに、電子メール メッセージに対して処理を実行することができます。 たとえば、あるイベント シンクはメッセージをフィルタするために、電子メール メッセージの内容およびヘッダーを変更します。 有効なデジタル署名は、メッセージが送信中に変更されていないことを示します。 イベント シンクによって電子メール メッセージが変更されると、デジタル署名が無効になります。 受信者がメッセージを受信してデジタル署名を処理するとき、送信者が署名したあとにイベント シンクによってメッセージが変更されているため、デジタル署名が無効になります。
ウイルス対策ソフトウェアおよび S/MIME メッセージ
サーバー ベースのウイルス対策ソリューションを使用している場合、暗号化によって権限のないユーザーからのメッセージ本文および添付ファイルの機密性が保護されるため、サーバー ベースのウイルス対策ソフトウェアがメッセージおよび添付ファイルのウイルスを検査できなくなります。 ウイルス対策ソフトウェアではメッセージを検査できないため、暗号化されたメッセージには添付ファイルとしてウイルスを含めることができます。 セキュリティ ポリシーに従って、このリスクへの対処方法を決定する必要があります。
また、ウイルス対策プログラムによって、デジタル署名された電子メール メッセージにウイルスが検出され、メッセージからウイルスが除去された場合、この処理のためにデジタル署名が無効になることがあります。これは、送信中にウイルス対策プログラムによってメッセージが変更されるためです。 この変更は悪意があるものではありませんが、メッセージは変更されているため、デジタル署名の機能によってメッセージは変更されたと認識されます。
Exchange Server 2003 を構成して電子メールの機密性を提供する方法
Exchange Server に S/MIME の電子メール メッセージを格納する場合、唯一の要件はメッセージ ストアが S/MIME 署名を処理するように構成されていることです。 S/MIME メッセージは、ユーザーのメールボックスおよびパブリック フォルダに保持することができるため、パブリック ストアおよびメールボックス ストアの両方に対して S/MIME 署名のメッセージを保持するように設定できます。
1. | 次の両方のメンバであるアカウントを使用してログオンします。 | • | ローカル コンピュータの Administrators グループ | | • | 少なくとも「Exchange 管理者 (参照のみ可)」役割が管理グループ レベルで適用されたグループ |
|
2. | [スタート] をクリックして[すべてのプログラム]、[Microsoft Exchange] の順にポイントし、[システム マネージャ] をクリックします。 Exchange システム マネージャが表示されます (次のスクリーン ショット参照)。 
画像を画面全体に表示
|
3. | [サーバー] をクリックして <サーバー名>をクリックし、[ストレージ グループ] をクリックして [メールボックス ストア] を右クリックし、[プロパティ] をクリックします。 [プロパティ] ページで、次のスクリーン ショットに示すように、[クライアントで S/MIME 署名をサポートする] チェック ボックスをオンにします。 
|
自動登録を使用して S/MIME のデジタル証明書を配布する方法
自動登録を使用すると、クライアントは自動的に証明書要求を証明機関 (CA) に提出し、発行された証明書を取得および格納することができます。 Microsoft Windows® XP および Windows Server™ 2003 クライアントは、ユーザーおよびコンピュータの両方の証明書の自動登録をサポートします。 自動登録を使用すると、証明書の登録および更新処理に関連するコストが削減できるため、総保有コスト (TCO) を削減することができます。
自動登録の設定を有効にするには
1. | 管理者権限でログオンします。 |
2. | [管理ツール] から [Active Directory ユーザーとコンピュータ] を開きます。 |
3. | コンソール ツリーで、自動登録の設定を行うドメインを右クリックし、[プロパティ] をクリックします。 自動登録では、グループ ポリシー オブジェクト (GPO) が、ユーザーまたはコンピュータ アカウントが存在するドメインまたは組織単位にリンクされている必要があります。 
|
4. | ドメイン名のプロパティを示すダイアログ ボックスの [グループ ポリシー] タブで、[開く] をクリックしてグループ ポリシー管理コンソールを開きます。 |
5. | ドメインにリンクされた GPO を作成します。 |
6. | グループ ポリシー オブジェクト エディタのコンソール ツリーで、[ユーザーの構成] を展開します。 |
7. | 次のスクリーン ショットに示すように、コンソール ツリーで [Windows の設定]、[セキュリティの設定] の順に展開し、[公開キーのポリシー] をクリックします。 
画像を画面全体に表示
|
8. | 詳細ペインで、[自動登録の設定] をダブルクリックします。 [自動登録の設定] ダイアログ ボックスで、次の設定が次のスクリーン ショットに示すように選択されていることを確認します。 | • | 証明書を自動的に登録する。 この設定により、GPO がリンクされている組織単位の証明書の自動登録が有効になります。 | | • | [有効期限が切れた証明書を更新、保留中の証明書を更新、及び破棄された証明書を削除する] チェック ボックス。 この設定により、証明書の更新時の証明書の自動登録、保留中の証明書の発行、およびサブジェクトの証明書ストアからの破棄された証明書の削除が有効になります。 | | • | [証明書テンプレートを使用する証明書を更新する] チェック ボックス。 この設定により、置き換えられた証明書テンプレートの自動登録が有効になります。 |
|
9. | [OK] をクリックします。 |
これで、GPO がリンクされている組織単位に対して自動登録が有効になります。
自動登録の設定は、次回 GPO がユーザーに適用されるときに有効になります。 ユーザーの自動登録が実施されるのは、ユーザーが対話型ログオンをグループ ポリシーの更新期間に実施したときです。
Windows XP または Windows Server 2003 を実行しているクライアントでは、グループ ポリシーを強制的に更新することで、手動で GPO 設定を更新できます。 GPO 設定を更新するには、対象となるワークステーションのコマンド プロンプトで、GPUpdate /force を実行します。
Outlook 2003 を構成して電子メールの機密性を提供する方法
暗号化された電子メール メッセージを正しく送信するには、受信者はデジタル証明書を持っている必要があります。 デジタル証明書を持っていないユーザーに暗号化された電子メール メッセージを送信しようとするとエラーが発生します。 電子メール メッセージを送信する前に、すべてのテスト ユーザーに対して、この文書の「自動登録を使用して S/MIME のデジタル証明書を配布する方法」トピックで示した指示に従っていることを確認してください。
Outlook を構成して電子メールの機密性を確保するには
1. | ドメインに Domain Users グループのメンバとしてログオンします。 |
2. | [スタート] をクリックして[すべてのプログラム]、[Microsoft Office] の順にポイントし、[Microsoft Office Outlook2003] をクリックします。 |
3. | [ツール] をクリックして [オプション] をクリックします。 次のダイアログ ボックスが表示されます。 
|
4. | [セキュリティ] タブをクリックし、[設定] をクリックします。 |
5. | 規定の情報が適用された [セキュリティ設定の変更] ダイアログ ボックスが開きます。 次のスクリーン ショットに示す既定値を受け入れる場合、[OK] をクリックします。 
|
6. | [OK] をクリックし、[オプション] ダイアログ ボックスを閉じます。 |
これで、Outlook は電子メールの機密性を保護する構成になりました。
Outlook を使用してデジタル署名されたメッセージを送信するには
1. | ドメインに Domain Users グループのメンバとしてログオンします。 |
2. | [スタート] をクリックして[すべてのプログラム]、[Microsoft Office] の順にポイントし、[Microsoft Office Outlook2003] をクリックします。 |
3. | 新しいメッセージを作成するには、[新規作成] をクリックします。 |
4. | テスト メッセージの受信者を入力し、メッセージ フィールドにメッセージを書きます。 |
5. | [送信メッセージにデジタル署名を追加する] ボタンが選択されていることを確認します。 デジタル署名のみをテストするため、[メッセージの内容と添付ファイルを暗号化する] ボタンが選択されていないことを確認します。 
画像を画面全体に表示
|
6. | [送信] をクリックします。 |
これで、デジタル署名されたメッセージが受信者に送信されました。受信者はこのデジタル署名を検証することができます。
Outlook を使用して暗号化されたメッセージを送信するには
1. | ドメインに Domain Users グループのメンバとしてログオンします。 |
2. | [スタート] をクリックして[すべてのプログラム]、[Microsoft Office] の順にポイントし、[Microsoft Office Outlook2003] をクリックします。 |
3. | 新しいメッセージを作成するには、[新規作成] をクリックします。 |
4. | テスト メッセージの受信者を入力し、メッセージ フィールドにメッセージを書きます。 |
5. | ツール バーで、[メッセージの内容と添付ファイルを暗号化する] ボタンが選択されていることを確認します。 暗号化のみをテストするため、[送信メッセージにデジタル署名を追加する] ボタンが選択されていないことを確認します。 
画像を画面全体に表示
|
これで、暗号化されたメッセージが受信者に送信されました。受信者はこのメッセージを開いて読むことができます。
電子メールの機密性を提供する Outlook Express の構成方法
暗号化された電子メール メッセージを正しく送信するには、受信者はデジタル証明書を持っている必要があります。 デジタル証明書を持っていないユーザーに暗号化された電子メール メッセージを送信しようとするとエラーが発生します。 電子メール メッセージを送信する前に、すべてのテスト ユーザーに対して、この文書の「自動登録を使用して S/MIME のデジタル証明書を配布する方法」トピックで示した指示に従っていることを確認してください。
Outlook Express を使用してデジタル署名されたメッセージを送信するには
1. | ドメインに Domain Users グループのメンバとしてログオンします。 |
2. | [スタート] をクリックし、[すべてのプログラム] をポイントして、[Outlook Express] をクリックします。 |
3. | ユーザーのパスワードを要求するメッセージが表示された場合は入力します。 |
4. | 新しいメッセージを作成するには、[メールの作成] をクリックします。 |
5. | Active Directory から受信者を追加するには、[宛先] をクリックします。 |
6. | [名前を入力するか、一覧から選択してください] の下の [検索] をクリックします。 次のダイアログ ボックスが表示されます。 
|
7. | [探す場所] リストで [Active Directory] をクリックし、[名前] ボックスで受信者の名前を入力して [検索開始] をクリックします。 |
8. | 名前を選択して [宛先] をクリックします。 |
9. | [OK] をクリックし、[受信者の選択] ボックスを閉じます。 |
10. | ツール バーに新しいアイコンが 2 つ表示されます。 1 つはメッセージの暗号化用、もう 1 つはメッセージの署名用です。 次のスクリーン ショットに示すように、[署名] ボタンが選択されていることを確認してください。 デジタル署名のみをテストするため、[暗号化] ボタンが選択されていないことを確認します。 
画像を画面全体に表示
|
11. | [送信] をクリックします。 |
これで、デジタル署名されたメッセージが受信者に送信されました。受信者はこのデジタル署名を検証することができます。
Outlook Express を使用して暗号化されたメッセージを送信するには
1. | ドメインに Domain Users グループのメンバとしてログオンします。 |
2. | [スタート] をクリックし、[すべてのプログラム] をポイントして、[Outlook Express] をクリックします。 |
3. | ユーザーのパスワードを要求するメッセージが表示された場合は入力します。 |
4. | 新しいメッセージを作成するには、[メールの作成] をクリックします。 |
5. | Active Directory から受信者を追加するには、[宛先] をクリックします。 |
6. | [名前を入力するか、一覧から選択してください] の下の [検索] をクリックします。 |
7. | [探す場所] リストで [Active Directory] をクリックし、[名前] に受信者の名前を入力して [検索開始] をクリックします。 |
8. | 名前を選択して [宛先] をクリックします。 |
9. | [OK] をクリックし、[受信者の選択] ボックスを閉じます。 |
10. | ツール バーで、次のスクリーン ショットに示すように、[暗号化] ボタンが選択されていることを確認してください。 暗号化のみをテストするため、[署名] ボタンが選択されていないことを確認します。 
画像を画面全体に表示
|
11. | [送信] をクリックします。 |
これで、暗号化されたメッセージが受信者に送信されました。受信者はこのメッセージを開いて読むことができます。
ユーザーが Active Directory に S/MIME のデジタル証明書を持っていることを確認する方法
Active Directory ユーザーとコンピュータを使用すると、Active Directory ユーザー アカウントが S/MIME のデジタル証明書を持っていることを確認できます。
証明書がユーザーの Active Directory アカウントに追加されていることを確認するには
1. | ドメインに Certification Authority Administrators グループのメンバとしてログオンします。 |
2. | [スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] の順にポイントし、[Active Directoryユーザーとコンピュータ] をクリックします。 |
3. | 次のスクリーン ショットに示すように、[表示] をクリックして [拡張機能] をクリックします。 
画像を画面全体に表示
|
4. | 左側のウィンドウで、[ユーザー] フォルダをクリックします。 |
5. | 右側のウィンドウで、テスト ユーザーの 1 つをダブルクリックします。 |
6. | [公開された証明書] タブをクリックします。 |
7. | [ユーザー アカウント用に公開された X509 証明書の一覧] リスト (次のスクリーン ショット参照) に、Windows CA からのユーザーのデジタル証明書が、このユーザー用に Active Directory に格納されているその他のデジタル証明書と共に表示されます。 
|
これで、証明書が Active Directory のユーザー アカウントに追加されていることが確認できました。
Exchange Server が電子メールの機密性を提供するように構成されていることを確認する方法
Exchange Server システム マネージャを使用すると、Exchange Server が S/MIME を使用するクライアントをサポートするように構成されていることを確認できます。
1. | 次の両方のメンバであるアカウントを使用してログオンします。 | • | ローカル コンピュータの Administrators グループ | | • | 少なくとも「Exchange 管理者 (参照のみ可)」役割が管理グループ レベルで適用されたグループ |
|
2. | [スタート] をクリックして[すべてのプログラム]、[Microsoft Exchange] の順にポイントし、[システム マネージャ] をクリックします。 |
3. | [サーバー] をクリックして <サーバー名>をクリックし、[ストレージ グループ] をクリックして[メールボックス ストア] または [パブリック フォルダ ストア] を右クリックし、[プロパティ] をクリックします。 |
4. | [プロパティ] ページで、次のスクリーン ショットに示すように[全般] タブで [クライアントで S/MIME 署名をサポートする] チェック ボックスがオンになっていることを確認します。 
|
これで、Exchange Server が電子メールの機密性をサポートするように構成されていることが確認できました。
Outlook 2003 が機密性を提供するように構成された電子メールを受信できることを確認する方法
Outlook 2003 を使用すると、デジタル署名および暗号化に対応するように構成された電子メール メッセージを受信できることを確認できます。
Outlook を使用してデジタル署名されたメッセージを表示するには
1. | ドメインに Domain Users グループのメンバとしてログオンします。 |
2. | [スタート] をクリックして[すべてのプログラム]、[Microsoft Office] の順にポイントし、[Microsoft Office Outlook2003] をクリックします。 |
3. | 受信トレイで、デジタル署名されたテスト メッセージを見つけてダブルクリックします。 |
4. | メッセージが開いたら、署名の確認用ボタン(次のスクリーン ショット参照) をクリックして署名を検証します。 
画像を画面全体に表示
署名の確認用ボタンをクリックすると、[デジタル署名] ダイアログ ボックス (次のスクリーン ショット参照)が表示され、デジタル署名が有効であることが示されます。 
|
これで、メッセージのデジタル署名を確認できました。
Outlook を使用して暗号化されたメッセージを表示するには
1. | ドメインに Domain Users グループのメンバとしてログオンします。 |
2. | [スタート] をクリックして[すべてのプログラム]、[Microsoft Office] の順にポイントし、[Microsoft Office Outlook2003] をクリックします。 |
3. | 受信トレイで、暗号化されたテスト メッセージを見つけてダブルクリックします。 |
4. | メッセージが開いたら、暗号化の確認用ボタン(次のスクリーン ショット参照) をクリックして暗号化を検証します。 
画像を画面全体に表示
|
5. | 暗号化の確認用ボタンをクリックしたら、次の[メッセージ セキュリティのプロパティ] ダイアログ ボックスが表示され、暗号化されたメッセージが有効であることが示されます。 
|
これで、メッセージの暗号化を確認できました。
これらの手順を完了したら、Outlook 2003 での S/MIME を使用したすべての要素のテストを完了したことになります。この情報から、Outlook を使用する S/MIME システムがユーザーにとってどのように機能するかがわかります。
Outlook Express が機密性を提供するように構成された電子メールを受信できることを確認する方法
Outlook Express を使用すると、デジタル署名および暗号化に対応するように構成された電子メール メッセージを受信できることを確認できます。
Outlook Express を使用してデジタル署名されたメッセージを表示するには
1. | ドメインに Domain Users グループのメンバとしてログオンします。 |
2. | [スタート] をクリックし、[すべてのプログラム] をポイントして、[Outlook Express] をクリックします。 |
3. | ユーザーのパスワードを要求するメッセージが表示された場合は入力します。 |
4. | 受信トレイで、デジタル署名されたテスト メッセージを見つけてダブルクリックします。 |
5. | メッセージが開き、デジタル署名について説明する次のメッセージが表示されます。 [今後、このヘルプ画面を表示しない] チェック ボックスをオンにして [続行] をクリックします。 
画像を画面全体に表示
|
6. | 署名を確認するには、署名の確認用ボタンをクリックします。 署名の確認用ボタンをクリックしたら、次に示すデジタル署名のテストを実施するダイアログボックスが表示され、デジタル署名が有効であることが示されます。 
|
これで、メッセージのデジタル署名を確認できました。
Outlook Express を使用して暗号化されたメッセージを表示するには
1. | ドメインに Domain Users グループのメンバとしてログオンします。 |
2. | [スタート] をクリックし、[すべてのプログラム] をポイントして、[Outlook Express] をクリックします。 |
3. | ユーザーのパスワードを要求するメッセージが表示された場合は入力します。 |
4. | 受信トレイで、暗号化されたテスト メッセージを見つけてダブルクリックします。 |
5. | メッセージが開き、暗号化について説明する次のメッセージが表示されます。 [今後、このヘルプ画面を表示しない] チェック ボックスをオンにして [続行] をクリックします。 
画像を画面全体に表示
|
6. | 署名を確認するには、暗号化の確認用ボタンをクリックします。 暗号化の確認用ボタンをクリックしたら、次に示す暗号化のテストを実施するダイアログボックスが表示され、暗号化されたメッセージが有効であることが示されます。 
|
これで、メッセージの暗号化を確認できました。
これらの手順を完了すると、Outlook Express での S/MIME を使用したすべての要素のテストが完了したことになります。 この情報から、Outlook Express を使用する S/MIME システムがユーザーにとってどのように機能するかがわかります。
電子メールの機密性の提供に関するトラブルシューティング方法
このセクションでは、Exchange Server 2003 ベースの S/MIME システムで発生する一般的な多くの問題について説明します。 このリストの項目がすべてではありませんが、ご利用の展開で発生する可能性がある問題とこれらの問題への対処方法についての推奨事項に関する情報を提供しています。
問題 : 送信者のデジタル署名を確認できない
この問題は、送信者のルート CA デジタル証明書または中間 CA デジタル証明書が、受信者の Exchange Server のローカル コンピュータの証明書ストアに存在しない場合に発生する場合があります。
解決策 :
この問題を解決するには、受信者の Exchange Server のローカル コンピュータの証明書ストアの信頼されたルート証明書機関フォルダに、送信者のルート CA または送信者の中間 CA のデジタル証明書をインポートします。 ルート CA のデジタル証明書をインポートすると、ルート CA の階層によって発行されたすべてのデジタル証明書に自動的に信頼が与えられます。 このような信頼の供与がセキュリティ ポリシーによって禁止されている組織では、代替策としてクロス証明書を使用する戦略について検討することができます。 Windows Server 2003 CA の使用時にクロス証明書を実装する方法の詳細については、「Windows Server 2003 を使用した相互証明および限定従属の計画と実装」を参照してください。
送信者のルート CA のデジタル証明書を信頼されたルート証明機関にインポートするには
1. | ローカルの Administrators グループのメンバであるアカウントを使用して、受信者の Exchange Server にログオンします。 |
2. | [スタート] メニューの [ファイル名を指定して実行] をクリックし、[名前] ボックスに「mmc」と入力して[OK] をクリックします。 |
3. | [ファイル] メニューの [スナップインの追加と削除] をクリックします。 |
4. | [スタンドアロン] タブで、[追加] をクリックします。 |
5. | [証明書] を選択し、[追加] をクリックします。 要求されたら [コンピュータ アカウント] を選択し、[次へ] をクリックします。 |
6. | [コンピュータの選択] ページで、ローカル コンピュータ (このコンソールを実行しているコンピュータ)を選択し、[完了] をクリックします。 |
7. | MMCで、[証明書 (ローカル コンピュータ)] を展開し、[信頼されたルート証明機関] を展開します。 |
8. | 詳細ウィンドウで、右クリックして [すべてのタスク] をポイントし、[インポート] をクリックします。 |
9. | 証明書のインポート ウィザードの最初のページで、[次へ] をクリックします。 |
10. | [ファイル名] ダイアログ ボックスで、ルート CA のデジタル証明書を含むファイルの名前および場所を入力し、[次へ] をクリックします。 |
11. | [証明書ストア] ページで、[証明書をすべて次のストアに配置する] をクリックし、[証明書ストア] ダイアログ ボックスに [信頼されたルート証明機関] が表示されるのを確認して [次へ] をクリックします。 |
12. | ウィザードの最後のページで、[完了] をクリックします。 |
送信者のルート CA のデジタル証明書をインポートしたら、Exchange Server は受信者に代わって送信者のデジタル証明書を検証することができます。
送信者の中間 CA のデジタル証明書を中間証明機関にインポートするには
1. | ローカルの Administrators グループのメンバであるアカウントを使用して、受信者の Exchange Server にログオンします。 |
2. | [スタート] メニューの [ファイル名を指定して実行] をクリックし、[名前] ボックスに「mmc」と入力して[OK] をクリックします。 |
3. | [ファイル] メニューの [スナップインの追加と削除] をクリックします。 |
4. | [スタンドアロン] タブで、[追加] をクリックします。 |
5. | [証明書] を選択し、[追加] をクリックします。 要求されたら [コンピュータ アカウント] を選択し、[次へ] をクリックします。 |
6. | [コンピュータの選択] ページで、ローカル コンピュータ (このコンソールを実行しているコンピュータ)を選択し、[完了] をクリックします。 |
7. | MMC で、[証明書 (ローカル コンピュータ)] を展開し、[中間証明機関] を展開します。 |
8. | 詳細ウィンドウで、右クリックして [すべてのタスク] をポイントし、[インポート] をクリックします。 |
9. | 証明書のインポート ウィザードの最初のページで、[次へ] をクリックします。 |
10. | [ファイル名] ダイアログ ボックスで、ルート CA のデジタル証明書を含むファイルの名前および場所を入力し、[次へ] をクリックします。 |
11. | [証明書ストア] ページで、[証明書をすべて次のストアに配置する] をクリックし、[証明書ストア] ダイアログ ボックスに [中間証明機関] が表示されるのを確認して[次へ] をクリックします。 |
12. | ウィザードの最後のページで、[完了] をクリックします。 |
送信者の中間 CA のデジタル証明書をインポートすると、Exchange Server は受信者に代わって送信者のデジタル証明書を正しく認証することができます。
問題 : CRL にアクセスできない
この問題が発生する可能性があるのは、デジタル証明書で指定した証明書の失効リスト (CRL) 配布ポイントが、ファイアウォール経由でのみアクセス可能であるとき、またはユーザーの Exchange Server が CRL 配布ポイントにアクセスする権限を持っていないときです。
解決策 :
この問題を解決するには、次のいずれかを行います。
| • | CRL 配布ポイントから CRL を手動でダウンロードし、ユーザーの Exchange Server のローカル コンピュータの証明書ストアにインポートします。 |
| • | 受信者の Exchange Server にファイアウォール クライアントをインストールして適切なプロトコルを構成します。 |
| • | ユーザーの Exchange Server の LocalSystem アカウントが CRL 配布ポイントにアクセスする権限を明示的に付与するか、または認証を必要としないように CRL 配布ポイントを再構成します。 |
CRL を手動でインポートするには
1. | ローカルの Administrators グループのメンバであるアカウントを使用して、受信者の Exchange Server にログオンします。 |
2. | デジタル証明書で指定された CRL 配布ポイントから CRL をダウンロードします。 |
3. | .cer または .crl ファイルを右クリックし、[証明書のインストール] または [CRL のインストール] をクリックして [次へ] をクリックします。 |
4. | 証明書のインポート ウィザードが開いたら、[証明書の種類に基づいて、自動的に証明書ストアを選択する] をクリックします。 |
問題 : 異なる電子メール クライアントを使用すると異なる証明書が使用される
この問題が発生するのは、S/MIME デジタル証明書が格納される Active Directory に 2 つの属性があるためです。 userCertificate 属性と userSMIMECertificate 属性がこれにあたります。 既定では、Outlook は最初に userSMIMECertificate 属性を調べ、この属性で見つけた実行可能な S/MIME 証明書を使用します。 OWA などの他の電子メール クライアントは、最初に userCertificate 属性を調べ、その属性で見つけた実行可能な S/MIME 証明書を使用する場合があります。
userCertificate 属性と userSMIMECertificate 属性に異なるデジタル証明書が格納されている場合は、Outlook と OWA はそれぞれ異なる Active Directory 属性を参照するため、異なるデジタル証明書が使用される可能性があります。
解決策 :
この問題を解決するには、同じ証明書が userCertificate 属性と userSMIMECertificate 属性に格納されていることを確認してください。 詳細については、キー マネージメント サーバーから公開キー基盤に移行した後に Outlook 2003 によって古い証明書が使用され続ける問題に関する記事を参照してください。
問題 : Outlook Express が自動的に電子メール メッセージに署名しようとする
既定では、Outlook Express を使用しているときに、ユーザーが署名されたメッセージに対して返信または転送を行うと、Outlook Express はそのメッセージに対するデジタル署名を有効にします。 ユーザーがこのメッセージを送信しようとしていて、有効な署名の証明書がない場合は、デジタル ID がないことを告げるエラーメッセージが表示され、メッセージは送信されません。
解決策 :
この問題を解決するには、そのメッセージのデジタル署名を無効にします。 詳細については、「デジタル署名された電子メール メッセージに対して転送または返信を行おうとすると、エラー メッセージが表示される」の記事を参照してください。
要約
近年のインターネットの成長に伴い、電子メールは本質的に変化しました。 電子メールはもはや組織内でのみ使用するツールではありません。 今や、電子メールは企業および国や地域を超えて人々を結び付け、地球上の人々と宇宙にいる人々との間でさえ、同じ建物内にいるかのように情報を共有できるようになりました。 現在、電子メールはインターネットがもたらした最も大きな恩恵であると言えるでしょう。 個人や企業が生活の中に電子メールを取り入れるに従って、その重要性は日ごとに増加しています。
電子メールがこれほどに成長した理由は、インターネット電子メールの基礎を支えるプロトコルと言語が世界的に採用されたことにあります。 SMTP がそのプロトコルです。 SMTP 標準のおかげで、インターネットに接続された異なる電子メール システム間で情報を交換できるようになりました。
しかし、SMTP によってインターネットに多くの恩恵がもたらされた一方で、SMTP は本質的な問題をかかえています。 SMTP 標準は、元来閉じたネットワーク内で重要度の低い短いメッセージを送信するために開発されたものであり、相互に接続された世界で重要かつ機密性が高い情報を送信するために開発されたものではありません。 SMTP の開発者たちは、SMTP が今日のような役割を果たすようになろうとは想像していませんでした。 このため、SMTP は、現在ネットワークを介して送信されているような情報を保護するように設計されていません。 SMTP は、シンプルなネットワークを介してシンプルな情報を送信するように設計されました。そのために、簡易メール転送プロトコル (Simple Mail Transfer Protocol) という名前が付けられたのです。 たとえば、SMTP でインターネットを介して情報を送信する方法では、だれでもメッセージを読むことができます。
さいわいなことに、S/MIME が標準になり、SMTP 電子メール メッセージのセキュリティ機能を拡張しています。 S/MIME を使用することで、暗号化により電子メール メッセージの内容を保護し、デジタル署名により電子メール メッセージの送信者の正体を確認することができます。
電子メールに S/MIME を実装するには、複数の製品とテクノロジを利用したソリューションが必要です。
