安全なメッセージ方法
Sophos Email では、さまざまな方法でメッセージのセキュリティ保護と暗号化が行われます。特定の方法を使用できない場合は、その次に最も安全な方法が選択されます。セキュリティ方法が適用する順番は制御できます。
ここでは、各方法がどのように機能し、それらがどのように連携するかについて説明します。特定の方法を使用できない場合は、お客様の環境や通信相手の環境に応じて、別の方法が使用されます。
注
このような安全なメッセージ方法を使用するには、メールサーバーまたはメールサービスで TLS をオンにする必要があります。
これは、安全なメッセージ方法を設定する前に実行してください。そうしないと、ソフォスとメールサーバーまたはサービスとの間の接続が切断され、メールの送受信ができなくなります。
TLS 1.3 を推奨します。暗号鍵は、'TLSv1.2+FIPS:kRSA+FIPS:!eNULL:!aNULL' です。詳細は、FIPS モードと TLS を参照してください。
セキュア メッセージ ポリシーでは、次の方法から選択できます。
- TLS で保護: メール転送時に、AES 256 を使用したプッシュベースのメール暗号化を使用します。ユーザーは、通常のメールクライアントを使用して、暗号化されたメールを管理します。
- S/MIME で保護: 通信相手の組織と、証明書および鍵を交換します。S/MIME はメッセージに署名しますが、必ずしも暗号化されているわけではありません。
- Push Encryption: 送信メッセージのみ。暗号化されたメールは PDF ファイルに変換され、添付ファイルはネイティブ機能で暗号化されます。そして、ユーザーのメールクライアントに配信されます。
- Portal Encryption: 送信メッセージのみ。暗号化されたメールが Sophos Secure Message に配信されます。受信者は、セキュリティで保護されたメールを Sophos Secure Message で管理します。
TLS 認証
TLS (トランスポート層セキュリティ) を使用すると、転送中のメッセージの盗聴および改ざんを防止できます。
セキュア メッセージ ポリシーでは、TLS バージョンを選択できます。送信者や受信者に適切な TLS バージョンがない場合、または TLS に対応していない場合に実行するアクションを選択することもできます。
- 優先する TLS 1.3: 送信者が TLS 1.3 に対応していない場合、TLS 1.2 が使用されます。
- 必須 TLS 1.3: 送信者が TLS 1.3 に対応していない場合、メッセージは拒否されます。送信メッセージは、代わりにプッシュ暗号化を使用して送信できます。
- 必須 TLS 1.2: 送信者が TLS 1.2 に対応していない場合、メッセージは拒否されます。送信メッセージは、代わりにプッシュ暗号化を使用して送信できます。
警告
「必須 TLS 1.3」または 「必須 TLS 1.2」を選択した場合、選択したバージョン以外のすべての TLS バージョンを介したメール通信が停止されます。
TLS 1.3 を試行し、必要に応じて TLS 1.2 に切り替える、「優先する TLS 1.3」を推奨します。これはより柔軟で、メッセージ交換の断絶を引き起こす可能性が低くなります。
メッセージを TLS 経由で配信できない場合は、「フォールバックしてメッセージ全体をプッシュ暗号化する」を選択して、メッセージがプッシュ暗号化メールとして送信されるようにすることができます。
送信者が TLS に対応していない場合、 暗号化されていないメッセージの配信を許可することを選択できます。これは推奨されません。
送信 TLS 接続の証明書を検証することもできます。「必須 TLS 1.3」または「必須 TLS 1.2」を選択した場合は、「証明書を確認する」をクリックできます。TLS 証明書は、受信者ドメインに対して発行されたことを確認するために検証されます。チェックに失敗すると、メッセージは配信されません。
TLS バージョンの詳細は「メッセージ履歴」で確認できます。「メッセージ履歴」で、 「カテゴリ」で「セキュアメッセージ」を選択し、「サブカテゴリ」でフィルタリングに使用する TLS バージョンを選択することで、メッセージをフィルタリングできます。
メッセージの詳細を確認するには、件名をクリックして詳細を表示します。「メッセージの詳細」で、 「ステータス」の省略記号 (3つのドット) にカーソルを合わせると、接続が TLS で保護されていることがわかります。認証されている TLS バージョンも表示されます。
注
Sophos Email が発行された CA 署名を確認できなかった場合、「SMTP テキスト」には TLS 配信が信頼されていないことが示されます。
次のビデオでは、「メッセージ履歴」で TLS バージョンを確認する方法を説明します。
S/MIME 保護の設定
S/MIME (Secure/Multipurpose Internet Mail Extensions) を使用してメッセージを保護できます。受信メッセージ、送信メッセージ、またはその両方を保護します。
ポリシーで使用する前に、「マイプロダクト > 全般設定 > S/MIME 設定 > セキュア MIME 設定」で、S/MIME 保護をオンにし、設定する必要があります。詳細は、S/MIME 設定を参照してください。
受信メッセージは、メールに添付されている証明書と照合して確認できます。
Sophos Email Security は、サードパーティから証明書を受信するまで、サードパーティの自己署名証明書によって署名された受信メッセージを確認できません。このような証明書は、「マイプロダクト > 全般設定 > S/MIME 設定 > 外部 S/MIME 証明書」でアップロードする必要があります。詳細は、外部 S/MIME 証明書を参照してください。
Sophos Email Security に、送信メッセージに署名し暗号化するために必要な S/MIME 証明書すべてがない場合、代わりに「プッシュ暗号化」を使用してメッセージを暗号化しようとします。詳細は、送信メッセージの処理を参照してください。
注
送信予定表の招待は、すべての受信者に対して正しく表示されるように、S/MIME 署名および暗号化から除外されます。
受信メッセージを復号化したり、送信メッセージを暗号化したりできます。
メッセージが S/MIME によるチェックに失敗した場合は、次のようなアクションを選択できます。
- 受信メールを隔離、削除、または受信者に通知するために件名にメッセージを追加して配信する。
- 送信メールを削除、隔離、配信、またはバウンスする。
- 送信メッセージの場合、「配信時にメッセージ全体をプッシュ暗号化」を選択できます。詳細は、送信メッセージの処理を参照してください。
受信メッセージの処理
受信メッセージの場合、S/MIME オプションのいずれか 1つだけ (「受信メッセージの検証」または「受信メッセージの復号化」) を設定した場合、メッセージの外部レイヤーのみが処理されます。選択したオプションが受信メッセージの種類と一致しない場合、メッセージは失敗します。
受信メッセージの場合、Sophos Email Security によって処理されたメッセージを検証または復号化する場合は、失敗時のアクションを「配信」に設定することができます。ユーザーが、使用しているメールソフトウェアに証明書と秘密鍵を保存している場合などが考えられます。
たとえば、「受信メッセージの検証」を選択したが、メッセージが署名されていない場合、メッセージは失敗します。または、「受信メッセージの復号化」を選択したが、メッセージが暗号化されていない場合、メッセージは失敗します。
受信メッセージの処理方法は、オンになっている S/MIME 設定によって異なります。
「受信メッセージの検証」をオンにし、「受信メッセージの復号化」をオフにすると、メッセージは次のように処理されます。
受信メッセージの条件 | アクション |
---|---|
暗号化された後、署名されている。 | メッセージは検証され、配信されます。 検証に失敗した場合は、選択済みのアクションが実行されます。メッセージは復号化されません。 |
署名された後、暗号化されている。 | S/MIME アクションは何も実行されません。選択済みのアクションが実行されます。 |
署名されているが、暗号化されていない。 | メッセージは検証され、配信されます。 検証に失敗した場合は、選択済みのアクションが実行されます。 |
暗号化されているが、署名されていない。 | S/MIME アクションは何も実行されません。選択済みのアクションが実行されます。 |
署名されておらず、暗号化されていない。 | S/MIME アクションは何も実行されません。メッセージは配信されます。 |
「受信メッセージの検証」をオフにし、「受信メッセージの復号化」をオンにすると、メッセージは次のように処理されます。
受信メッセージの条件 | アクション |
---|---|
暗号化された後、署名されている。 | S/MIME アクションは何も実行されません。選択済みのアクションが実行されます。 |
署名された後、暗号化されている。 | メッセージは復号化され、配信されます。 復号化に失敗した場合は、選択済みのアクションが実行されます。 |
署名されているが、暗号化されていない。 | S/MIME アクションは何も実行されません。選択済みのアクションが実行されます。 |
暗号化されているが、署名されていない。 | メッセージは復号化され、配信されます。 復号化に失敗した場合は、選択済みのアクションが実行されます。 |
署名されておらず、暗号化されていない。 | S/MIME アクションは何も実行されません。メッセージは配信されます。 |
送信メッセージの処理
Sophos Email Security は、S/MIME を使用できない場合、「プッシュ暗号化」で暗号化されたメッセージを配信できます。たとえば、Sophos Email Security に、S/MIME が機能するために必要な証明書がすべてない場合などに実行できます。
この機能をオンにするには、次の手順を実行します。
- 「送信」メッセージの「失敗時のアクション」で、「隔離」または「配信」を選択します。
- 「配信時にメッセージ全体をプッシュ暗号化」を選択します。
「配信」を選択した際、S/MIME 暗号化に失敗すると、Sophos Email Security はプッシュ暗号化を使用してメッセージを暗号化し、すぐに送信します。
「隔離」を選択した際、S/MIME 暗号化に失敗すると、Sophos Email Security はプッシュ暗号化を使用してメッセージを暗号化し、メッセージは、管理者によって隔離からリリースされると送信されます。プッシュ暗号化の詳細は、プッシュ暗号化を参照してください。
プッシュ暗号化
「プッシュ暗号化」は、メールをパスワードで保護されたドキュメントファイルに変換します。ユーザーは'パスワードで保護されたドキュメントファイルを読み取ることができる必要があります。
- Microsoft Office、ZIP、および PDF ファイルには、暗号化機能が組み込まれています。このようなファイルから、複数の添付ファイルが生成される場合があります。
- 他のすべてのファイル (プレーンテキストや HTML など) は、PDF ファイルとして暗号化されます。メールコンテンツは、パスワードで保護されたドキュメントファイルとして暗号化されます。
- 暗号化されたメールや添付ファイルを表示するには、Adobe Reader などのドキュメントビューアが必要です。
- モバイルデバイスからメッセージの閲覧や返信ができます。
セキュリティで保護されたメールがユーザーにはじめて送信されると、Sophos Secure Message はユーザーに通知メールを送信します。通知メールには Sophos Secure Message へのリンクが含まれており、ユーザーは、Sophos Secure Message パスワードの設定を求められます。通知メール内のリンクは 30日経つと無効になります。
メッセージの暗号化方法を選択するには、データコントロール ポリシーに適切なルールを追加します。サポートされているメールヘッダーの一覧は、メールヘッダーを参照してください。
注
このパスワードは、元のメールの送信元と同じ地域のメールに対してのみ使用できます。別の地域から暗号化されたメールを受信した場合、ユーザーは別のパスワードを設定する必要があります。
パスワードを設定後、暗号化された添付ファイルを含む、セキュリティで保護されたメールが、ソフォスからユーザーに送信されます。セキュアメールを開くには、ユーザーは設定したパスワードを入力します。
ユーザーは、自身のメールクライアントを使用して、セキュリティで保護されたメールに返信します。ユーザーは、暗号化された パスワードで保護されたドキュメントファイルで「返信」をクリックします。
管理者が「メッセージ全体を暗号化」または「添付ファイルのみを暗号化」のいずれを選択した場合でも、ユーザーは同じ手順を実行します。
ユーザーは、管理ポータルでプッシュ暗号化メッセージに関するドキュメントにアクセスできます。詳細については、 プッシュ暗号化を参照してください。
ポータル暗号化
ポータル暗号化を使用するには、Sophos Email Portal Encryption アドオンライセンスが必要です。また、新しいセキュア メッセージ ポリシーを作成する必要があります。
アドインライセンスでは、暗号化メールと Secure Message ポータルのブランディングをカスタマイズできます。"詳細は、カスタムブランディングを参照してください。
管理者が「Portal Encryption」をオンにすると、ユーザーはセキュリティで保護されたメールを Sophos Secure Message で管理します。
暗号化されたメールがユーザーにはじめて送信されると、Sophos Secure Message はユーザーに通知メールを送信します。通知メールには Sophos Secure Message へのリンクが含まれており、ユーザーは、Sophos Secure Message アカウントの設定を求められます。通知メール内のリンクは、メール内で指定された日付に期限切れになります。
メッセージの暗号化方法を選択するには、データコントロール ポリシーに適切なルールを追加します。サポートされているメールヘッダーの一覧は、メールヘッダーを参照してください。
注
このアカウントは、元のメールの送信元と同じ地域のメールに対してのみ使用できます。別の地域からセキュリティで保護されたメールを受信した場合、ユーザーは別のアカウントを設定する必要があります。
アカウントを設定後、ユーザーは Sophos Secure Message にアクセスして、セキュリティで保護されたメールを読み、返信できます。
ユーザーは、Web ポータルでポータル暗号化メッセージに関するドキュメントにアクセスできます。詳細については、Portal Encryption を参照してください。
管理ポータル
管理ポータルでは、受信者の認証情報の管理やメッセージ交換に関する詳細なレポートの生成など、様々な機能を提供しています。
詳細は、管理ポータルを参照してください。
メッセージの取り消し
暗号化されたメッセージは、ユーザーに正常に配信された後に取り消すことができます。
詳細は、メッセージの取り消しを参照してください。