S/MIME メール暗号化の設定

デジタル署名と暗号化を使って、メールを保護するためにS/MIME暗号化を設定できます。

S/MIME 設定にアクセスするには、「マイプロダクト > 全般設定 > S/MIME」の順に選択します。

S/MIME の設定

「セキュア MIME 設定」ページでは、次のオプションを有効にできます。

• S/MIME: ユーザーが S/MIME で署名および暗号化されたメールを送受信できるようにします。

• S/MIME 証明書の自動抽出の有効化: 受信した署名付きメールから証明書を自動的に抽出して保存します。

  このオプションを使用すると、ユーザーが証明書を手動でアップロードせずに、暗号化されたメッセージで返信できます。Sophos Email が既にグローバルで信頼している CA によって署名された証明書を含む受信メール、または S/MIME CA リストにアップロードした証明書は、自動的に検証され配信されます。

S/MIME の動作方法について、Sophos Email で有効化する前に詳細を確認するには、S/MIME 設定を参照してください。

証明書抽出の動作

S/MIME 証明書は、署名検証をパスした受信メッセージからのみ抽出されます。

Secure Message ポリシーで「受信メッセージの検証」がオフになっている場合、Sophos Email は、「S/MIME 証明書の自動抽出の有効化」がオンの場合であっても、証明書を抽出しません。

検証に合格したメッセージのみが、信頼された証明書ストアに保存されます。

この動作により、今後の暗号化で保存および使用される可能性のある偽装または未検証の証明書の使用が防止されます。

組織が暗号化のみを必要とし、署名検証が必要ない場合は、送信者のための証明書を手動でアップロードする必要があります。手動でアップロードされた証明書は暗黙的に信頼されます。

ローカル CA

自己署名証明書で送信メッセージに署名するためのローカル CA を作成するか、これらの証明書を他の人が信頼できるようにします。

組織名や指紋などの詳細を確認し、PEM 形式で自己署名ルート証明書をダウンロードできます。外部組織とこの証明書を共有することもでき、外部組織はユーザーが送信したメッセージを検証し信頼できます。

他のローカルまたは外部 CA からの証明書をすでに使用している場合は、Sophos Email で新しい CA を作成する必要がありますが、それを使用する必要はありません。

ユーザー証明書

ユーザー証明書を使用すると、Sophos Emailが各ユーザーの代わりに送信メッセージに署名し、受信暗号化メッセージを復号できます。

ローカル CA を作成すると、個別のユーザーの S/MIME 証明書を生成またはアップロードできます。暗号化されたメールを送受信する各ユーザーは、個々の S/MIME 証明書が必要です。S/MIME ポリシーを設定する前に、ユーザーの証明書を設定することを推奨します。

「ユーザー証明書」では、次のアクションを実行できます。

• ユーザーの追加: 証明書をアップロードする前に、ユーザーエントリを手動で追加します。
• ユーザーのインポート: CSV または TXT ファイルを使用してユーザーエントリを一括してインポートします。
• 証明書のアップロード: 選択したユーザーの S/MIME 証明書をアップロードします。

ユーザーを手動で追加

ユーザーを手動で追加するには、次の手順を実行します。

1. Sophos Central で、「マイプロダクト > 全般設定 > S/MIME」の順に選択します。
2. 「ユーザー証明書」タブを選択します
3. 「ユーザーの追加」をクリックします。

4. 既存の Sophos Central ユーザーのメールアドレスを入力します。

   認識されると、「フルネーム」フィールドが自動的に入力されます。

5. 「追加」をクリックします。

ユーザーがリストに追加され、その S/MIME 証明書が自動的に作成されます。

この証明書をダウンロードし、外部の受信者に送信することができます。特に、外部の受信者のシステムが署名されたメッセージから証明書を抽出できない場合や、CA を信頼していない場合に役立ちます。

一括でユーザーをインポート

ユーザーを一括でインポートするには、次の手順を実行します。

1. Sophos Central で、「マイプロダクト > 全般設定 > S/MIME」の順に選択します。
2. 「ユーザー証明書」タブを選択します
3. 「ユーザーのインポート」をクリックします。
4. CSV または TXT 形式のファイルを準備します。各行には、既存の Sophos Central ユーザーの有効なメールアドレスを含める必要があります。
5. 「参照」をクリックして、ファイルを選択します。
6. 「インポート」をクリックします。

ユーザーがリストに追加され、その S/MIME 証明書が自動的に作成されます。

この証明書をダウンロードし、必要に応じて外部の受信者に送信することができます。特に、外部の受信者のシステムが署名されたメッセージから証明書を抽出できない場合や、CA を信頼していない場合に役立ちます。

証明書をアップロード

一部のユーザーの S/MIME 証明書が既にある場合は、アップロードできます。これらの証明書を使用すると、Sophos Email がそれらのユーザーの代わりに送信メッセージに署名し、受信暗号化メッセージを復号できます。

証明書がグローバル CA によって発行された場合は、ソフォスがその CA を既に認識しているかどうかを確認します。詳細は、承認済みの証明機関を参照してください。

証明書は、.p12 拡張子を持つ PKCS＃12 コンテナファイル内にあり、パスワードで保護されている必要があります。証明書が PFX 形式の場合は、アップロードする前に、業界標準のツールで PKCS #12 に変換できます。

証明書をアップロードするには、以下の手順に従います。

1. Sophos Central で、「マイプロダクト > 全般設定 > S/MIME」の順に選択します。
2. 「ユーザー証明書」タブを選択します
3. 「証明書のアップロード」をクリックします。

4. 既存の Sophos Central ユーザーのメールアドレスを入力します。

   認識されると、「フルネーム」フィールドが自動的に入力されます。メールアドレスは Sophos Central に既存のユーザーと一致する必要があります。無効な場合、フルネームが入力されず、アップロードが失敗します。

5. PKCS #12 証明書ファイルのパスワードを入力します。

6. 「参照」をクリックして、 PKCS #12 ファイルを選択します。
7. 「アップロード」をクリックします。

証明書がアップロードされました。証明書をダウンロードし、外部の受信者に送信することができます。特に、外部の受信者のシステムが署名されたメッセージから証明書を抽出できない場合や、CA を信頼していない場合に役立ちます。

S/MIME CA

CA 証明書をアップロードして、署名された受信メッセージを自動的に信頼することができます。

「S/MIME 証明書の自動抽出の有効化」がオンになっている場合、このリストにある CA によって署名された証明書を含む受信メールは信頼され、配信されます。リストには、ここでアップロードした CA とソフォスによって既に信頼されているグローバル S/MIME CA が含まれています。

外部 CA から証明書をアップロードするには、次の手順を実行します。

1. Sophos Central で、「マイプロダクト > 全般設定 > S/MIME」の順に選択します。
2. 「S/MIME CA > アップロード」の順にクリックします。
3. 「参照」をクリックします。
4. デバイスで証明書ファイルを探し、「アップロード」をクリックします。

証明書がリストに表示されます。

外部 S/MIME 証明書

外部 S/MIME 証明書が、受信および送信のメールセキュリティに必要です。

• サードパーティの自己署名証明書で署名された受信メールを検証および復号するためには、外部 S/MIME 証明書が必要です。
• 外部 S/MIME 証明書は、S/MIME を使用して信頼できるサードパーティに暗号化されたメールを送信することをユーザーに許可します。

これらの証明書を手動でアップロードするか、署名された受信メールから自動的に抽出できます。

外部の S/MIME 証明書を手動でアップロードするには、次の手順を実行します。

1. Sophos Central で、「マイプロダクト > 全般設定 > S/MIME」の順に選択します。
2. 「外部 S/MIME 証明書 > アップロード」をクリックします。
3. 「参照」をクリックします。
4. デバイスでファイルを探し、「アップロード」をクリックします。

証明書がリストに表示されます。

S/MIME 保護の管理

証明書をアップロードした後、「Email Protection > ポリシー」を参照して、ユーザーが S/MIME 保護を活用する方法を管理します。詳細は、セキュア メッセージ ポリシーを参照してください。