メールの暗号化
この記事では、Microsoft Purview Message Encryption、S/MIME、Information Rights Management (IRM) など、Microsoft 365 での暗号化のオプションを比較し、トランスポート層セキュリティ (TLS) について紹介します。
Microsoft 365 では、電子メールのセキュリティのビジネス ニーズを満たすために複数の暗号化オプションが提供されています。 この記事では、Office 365 でメールを暗号化する 3 つの方法を紹介します。 Office 365 のすべてのセキュリティ機能については、Office 365 トラスト センターにアクセスしてください。 この記事では、Microsoft 365 管理者が Office 365 で電子メールを保護する上で役立つ次の 3 つの種類の暗号化を紹介します。
Microsoft Purview Message Encryption。
Secure/Multipurpose Internet Mail Extensions (S/MIME)。
Information Rights Management (IRM)。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
Microsoft 365 のメール暗号化の 使用方法
暗号化とは、認証された受信者だけが特定の情報をデコードおよび利用できるようにその情報をエンコードするプロセスのことです。 Microsoft 365 では、サービスでの使用とカスタマー コントロールとしての使用の 2 つの方法で暗号化を使用します。 サービスでは、暗号化は Microsoft 365 で既定で使用されるため、ユーザーによる設定は特に必要ありません。 たとえば、Microsoft 365 はトランスポート層セキュリティ (TLS) を使用して、2 つのサーバー間の接続またはセッションを暗号化します。
一般的な電子メールの暗号化のしくみは次のとおりです。
メッセージの送信中に送信者のコンピューターまたは中央サーバーによって、メッセージがプレーンテキストから読み取り不可能な暗号テキストに暗号化または変換されます。
メッセージが途中で読み取られることを防ぐため、送信中のメッセージは暗号テキストのままです。
受信者がメッセージを受信すると、メッセージは次の 2 つの方法で読み取り可能なプレーンテキストに変換し直されます。
受信者のコンピューターでキーを使用してメッセージを解読するか、
受信者の身元を確認した後に、受信者の代わりに中央サーバーでメッセージを解読します。
Microsoft 365 内の組織間、または Microsoft 365 と Microsoft 365 外部の信頼できるビジネス パートナー間など、Microsoft 365 でサーバー間の通信をセキュリティで保護する方法については、「Exchange Online が TLS を使って Office 365 のメール接続をセキュリティで保護する方法」を参照してください。
Office 365 で使用可能な電子メール暗号化オプションの比較
メール暗号化技術 | |||
---|---|---|---|
暗号化オプションの説明 | メッセージ暗号化は、Azure Rights Management (Azure RMS) に基づいて構築されたサービスであり、宛先のメール アドレス (Gmail、Yahoo! Mail、Outlook.com など) に関係なく、organization内または外部のユーザーに暗号化されたメールを送信できます。 管理者は、暗号化の条件を定義するトランスポート ルールを設定できます。 ユーザーがルールに一致するメッセージを送信する場合、自動的に暗号化が適用されます。 暗号化メッセージを表示するために、受信者は 1 回限りのパスコードを取得するか、Microsoft アカウントでサインインするか、Office 365 に関連付けられている職場または学校のアカウントでサインインできます。 受信者は暗号化された返事を送信することもできます。 暗号化されたメッセージを表示したり、暗号化された返信を送信するのに、受信者は Microsoft 365 サブスクリプションを必要としません。 |
IRM は、電子メール メッセージに使用制限の適用も行える暗号化ソリューションです。 機密情報が権限のないユーザーによって印刷、転送、またはコピーされるのを防止します。 Microsoft 365 の IRM 機能には Azure Rights Management (Azure RMS) が使用されます。 |
S/MIME は証明書基盤の暗号化ソリューションであり、メッセージを暗号化し、デジタル署名できます。 メッセージを暗号化することで、本来の受信者だけがメッセージを開き、閲覧できます。 デジタル署名は、受信者が送信者の身元を確認するのに役立ちます。 デジタル署名と暗号化メッセージのいずれも、独自のデジタル証明書の利用により可能となります。この証明書には、デジタル署名を検証し、メッセージを暗号化し、復号化するための鍵が含まれています。 S/MIME を使用するには、受信者ごとにファイルに公開鍵を付ける必要があります。 受信者は独自の秘密キーを維持し、保護する必要があります。 受信者の秘密キーが危険にさらされた場合、受信者は新しい秘密キーを取得し、すべての潜在的な送信者に公開キーを再配布する必要があります。 |
この機能について | OME: 内部または外部の受信者に送信されたメッセージを暗号化します。 ユーザーは Outlook.com、Yahoo! Mail、および Gmail を含むすべての電子メール アドレスに暗号化されたメッセージを送信できます。 管理者であれば、組織のブランドを反映するように電子メール表示ポータルをカスタマイズできます。 Microsoft がキーを安全に管理および格納するため、ユーザーがそうする必要はありません。 暗号化されたメッセージ (HTML 添付ファイルとして送信済み) をブラウザーで開くことができる場合は、クライアント側の特別なソフトウェアは必要ありません。 |
IRM: 暗号化と使用制限を利用し、電子メールのメッセージと添付ファイルをオンラインとオフラインで保護します。 管理者には、自動的に IRM を適用してメッセージを選択するためのトランスポート ルールまたは Outlook 保護ルールを設定する権限が付与されます。 ユーザーは Outlook または Outlook on the web (旧称: Outlook Web App) で手動でテンプレートを適用できます。 |
S/MIME は、デジタル署名による送信者の認証および暗号化によるメッセージの機密性を処理します。 |
暗号化オプションの限界 | OME では、メッセージに利用制限を適用できません。 たとえば、受信者が暗号化メッセージを転送したり印刷したりするのを制限することはできません。 | 一部のアプリケーションでは、すべてのデバイスで IRM 電子メールをサポートするわけではないかもしれません。 以上の製品と IRM メールに対応しているその他の製品に関する詳細については、「クライアント デバイスの機能」を参照してください。 | S/MIME では、マルウェア、スパム、およびポリシーについて、暗号化されたメッセージをスキャンできません。 |
推奨事項とシナリオ例 | 顧客であろうと他の会社であろうと、組織外のユーザーに機密のビジネス情報を送信する場合は、OME を使用することをお勧めします。 例: 顧客にクレジット カード請求書を送信する銀行員 患者に医療記録を送信する診療所 他の弁護士に法的な機密情報を送信する弁護士 |
使用制限と暗号化の両方を適用する場合は、IRM を使用することをお勧めします。 例: 新しい製品に関する機密情報の詳細をチームに送信するマネージャーが [転送不可] オプションを適用する場合。 エグゼクティブが、Office 365 を使用しているパートナーからの添付ファイルを含む重要な提案書を別の会社と共有しなければならず、電子メールと添付ファイルの両方を保護する必要がある場合。 |
ユーザーの組織または受信者の組織のいずれかが、適切なピアツーピア暗号化を必要とする場合は、S/MIME を使用することをお勧めします。 S/MIME は、次のシナリオで最もよく使用されます。 他の政府機関と通信する政府機関 政府機関と通信する会社 |
同じメール メッセージに複数の電子メール暗号化テクノロジを適用しないでください。 Outlook for Mac、Outlook for iOS、Outlook for Android などの一部の電子メール クライアントでは、複数の電子メール暗号化テクノロジが適用されたメッセージを開くことができません。
使用中の Microsoft 365 サブスクリプションでは、どの暗号化オプションを利用できますか?
Microsoft 365 サブスクリプションの電子メール暗号化オプションについては、「Exchange Online サービスの説明」を参照してください。 ここでは、次の暗号化の機能に関する情報を確認できます。
IRM 機能と Microsoft Purview Message Encryption の両方を含む Azure RMS
S/MIME
TLS
保存データの暗号化 (BitLocker、サービス暗号化、DKM を使用)
Microsoft 365 で、PGP (Pretty Good Privacy) などのサードパーティ製の暗号化ツールを使用することもできます。 Microsoft 365 は PGP/MIME をサポートしていません。PGP で暗号化されたメールを送受信する場合にのみ PGP/インラインを使用できます。
保存中のデータの暗号化について
"保存データ" とは、アクティブに送信されている過程にはないデータです。 Microsoft 365 では、保存中の電子メール データは BitLocker ドライブ暗号化を使用して暗号化されます。 BitLocker は、Microsoft データ センターのハード ドライブを暗号化して、不正なアクセスに対する強化された保護を提供します。 詳細については、「BitLocker の概要」を参照してください。
電子メール暗号化オプションの詳細
この記事の電子メール暗号化オプションと TLS の詳細については、次の記事を参照してください。
Microsoft Purview のメッセージの暗号化
IRM
Exchange Online での Information Rights Management
Azure Active Directory Rights Management の概要