Clearswift SECURE Email Gateway メール暗号化機能のご紹介 www.clearswift.com
メールの暗号化が必要な理由 移動中のデータを保護するため 情報漏洩を防ぐため 社会的信用の毀損 ブランド力の低下から企業価値を保護するため 法規 各業界のレギュレーション遵守のため www.clearswift.com 2
Clearswift SEG がサポートする暗号化の種類 TLS(Transport Layer Security) S/MIME(Secure / Multipurpose Internet Mail Extensions) PGP(Pretty Good Privacy) パスワード付きZip(Windows 標準 AES) エンクリプション ポータル (Clearswiftが提供するクラウドベース暗号ポータルサービス) SEG:SECURE EMAIL Gateway www.clearswift.com 3
各種暗号化の特徴比較 Clearswift SEG がサポートする暗号化方式と特徴 サイト サイト間の暗号化 サイト 受信者間の暗号化 エンドポイント エンドポイント間の暗号化 標準化準拠 安全性 メール送信時の鍵 パスワードの交換 受信者側で追加ソフトウェアの導入不要 TLS - - - S/MIME PGP 受信者はキーとクライアントプラグインが必要 パスワード付 ZIP- Windows 標準 - - Windows を使用の場合 パスワード付 ZIP- AES - - AES256 をサポートする Zip パッケージが必要 Clearswift エンクリプションポータル - - - メールを送信するためのクライアントプラグインが必要 www.clearswift.com 4
TLS Transport Layer Security www.clearswift.com www.clearswift.com
トランスポート層におけるセキュリティ オペレーティング システムの一部として提供 サーバー間の経路を暗号化 2つのTLSモード 強制的 TLS 便宜的 TLS SSL 証明書の利用を推奨 ( 自己署名証明書も利用可能 ) www.clearswift.com 6
TLS の設定方法 www.clearswift.com 7
TLS コネクションの管理 クライアントホスト 送信者ドメイン IP アドレス ホスト名単位で TLS 接続コネクションを管理 送信者ドメイン単位で TLS コネクションを管理 www.clearswift.com 8
TLS: ゲートウェイ ゲートウェイ この区間ではメールの暗号化はされません SECURE EMAIL Gateway 送信者 Transport Layer Security 受信者 暗号トンネル区間 ( 全てのトラフィックは暗号化されます ) www.clearswift.com 9
メッセージレベルの暗号化 S/MIME PGP パスワード付きZIP(Windows 互換 AES 256) エンクリプション ポータル ( クラウドベースサービス ) www.clearswift.com 10
ポリシーベースの暗号化 メールの送信方向をトリガー メールの送信方向をトリガーとするポリシーベースの暗号化 送信者 受信者 特定の受信者へのメールは暗号化 ポリシールールを作成することにより どの送信者 どの受信者をトリガーとしてメールの暗号化を実施するか定める www.clearswift.com 11
ポリシーベースの暗号化 コンテンツをトリガー コンテンツをトリガーとするポリシーベース暗号化 件名 本文 添付ファイル ファイルの名前 トリガー 件名 : 特定のキーワードを含む場合 トリガー ファイルタイプ :Excel トリガー 添付ファイル内 : 特定のキーワードを含む場合 ファイルの種類 X-header トリガー プロパティ : 製作者名 その他含まれる場合 トリガー 本文 : 機密情報を含む場合 文書ファイルのプロパティ ポリシールールを作成することにより どのコンテンツ要素をトリガーとしてメールの暗号化を実施するか定める www.clearswift.com 12
公開鍵暗号方式 各サーバは公開鍵と秘密鍵のキーペアを所有 公開鍵 秘密鍵 公開鍵で暗号化を行い 秘密鍵で復号化を行う 暗号化したデータを復号できるのは秘密鍵を所有している者のみ可能 TLSではデータ暗号化のために共有鍵暗号を使用するが その共有鍵を安全に交換するために公開鍵暗号方式を利用 www.clearswift.com 13
証明書 キーペアは 信頼できる第三者 ( 認証局 ) によって認定 ( 署名 ) されている場合に有効です www.clearswift.com 14
S/MIME, PGP Secure / Multipurpose Internet Mail Extensions, Pretty Good Privacy www.clearswift.com www.clearswift.com
S/MIME PGP: ゲートウェイ ゲートウェイ 1. S/MIME PGP ゲートウェイ ゲートウェイ SECURE EMAIL Gateway 送信者 受信者 メッセージは暗号化されます www.clearswift.com 16
S/MIME PGP: ゲートウェイ 受信者 2. S/MIME PGP ゲートウェイ 受信者 SECURE EMAIL Gateway 送信者 受信者 www.clearswift.com 17
S/MIME PGP: 送信者 受信者 3. S/MIME PGP 送信者 受信者 SECURE EMAIL Gateway 送信者 受信者 メッセージは暗号化とコンテンツスキャンが可能です www.clearswift.com 18
簡単に行える鍵管理 ゲートウェイは 署名付きメッセージを収集し 鍵をゲートウェイ内の同期証明書ストアに格納します ゲートウェイは外部キーサーバーにアクセスして公開キーを取得できます ベストエフォートで暗号化を行う場合 証明書が見つからない場合はパスワードの暗号化を使用する のオプションを選択してください www.clearswift.com 19
ベストエフォートの暗号化 もし鍵が見つからない場合 パスワード付き Zip による暗号化を試行します ( ベストエフォートの暗号化 ) 暗号化 / 復号化デフォルトの自動暗号化設定 暗号化キーが見つからなくても 暗号化されずに機密情報が外部へ送信されないようパスワード付 Zip による暗号化を選択する www.clearswift.com 20
パスワード付き Zip - Windows 標準 AES256 www.clearswift.com www.clearswift.com
パスワード付 Zip による暗号方式 受信アドレスまたはドメインにより暗号化を制御 暗号化メソッドで [ パスワードの使用 ] を選択 オプションパラメーターを指定 自動生成 / 固定パスワード パスワード長 Windows 互換 /AES256 www.clearswift.com 22
パスワード付き Zip により保護された添付ファイル : ゲートウェイ 受信者 2 送信者は受信者宛にパスワード情報を送信します 1 パスワード情報がゲートウェイから送信者宛にメールで送信されます 3 送信者は受信者宛にパスワード情報を送信します SECURE EMAIL Gateway 受信者 www.clearswift.com 23
パスワードにより保護されたメール 受信者は次のメールを受け取ります 添付ファイルはパスワード付 Zip にて自動暗号化されます www.clearswift.com 24
送信者と受信者間でのパスワードの受け渡し方 送信者が自動暗号化の対象となるメールを送信した後の流れ 2 送信者は受信者へパスワードをメールで手動送信します 3 受信者はパスワードを使い添付ファイルを開封します 送信者 1SEG から送信宛にパスワードが送られてきます 受信者 www.clearswift.com 25
セキュア エンクリプション ポータル Secure Encryption Portal www.clearswift.com www.clearswift.com
セキュア エンクリプション ポータル ポータル画面の色やロゴをカスタマイズ可能 英国 米国 カナダのデータセンターを利用した外部ホスティングサービスです 受信者へのメッセージをセキュアに保持します メッセージ保有有効期限は 30 日まで ( デフォルト ) TLS 接続を介してエンクリプション ポータルとセキュアに接続します 任意のメッセージトリガーまたは Outlook プラグインを使用することでエンクリプションポータルを利用したメールの暗号化を行えます www.clearswift.com 27
セキュア エンクリプション ポータル 5 受信者がエンクリプション ポータル上でメールを閲覧すると 既読通知が送信者へ送られます 1 ゲートウェイは TLS 接続にて エンクリプション ポータルへメールを送ります エンクリプション ポータル 5 受信者は HTTPS によりエンクリプション ポータルへアクセスし セキュアにメールを閲覧する 2 エンクリプション ポータルは受信者への通知メールを生成し ゲートウェイへ送信します 4 受信者は暗号化されたメールが送信されたことを示す通知メールへアクセスするためのハイパーリンクをクリックする 送信者 SECURE EMAIL Gateway 受信者 3 ゲートウェイは通知メールを受信者へ送信します www.clearswift.com 28
Outlook プラグインによる暗号化 エンクリプション ポータル経由でメールを暗号化したい場合このボタンを押します www.clearswift.com 29
暗号化の実施をユーザーへ促す Encryption Prompt を有効にする Encryption Prompt にチェックが入っていれば メールが組織外へ送信されようとしている場合 ダイアログを開きメールの暗号化の実施をするようユーザへ注意喚起をすることが出来ます www.clearswift.com 30
Office365/Exchange 2016 OWA 画面 www.clearswift.com 31
送信者へのメッセージ取り下げ通知 送信者は メッセージが開かれているかどうかを見ることができ メッセージをリモートで削除することもできます www.clearswift.com 32
メール送信直後の画面 受信者へ通知メールが送信されます www.clearswift.com 33
エンクリプションポータルを新規に利用する受信者 ポータルにユーザー登録するための URL リンクが記載されたメールが受信者へ届きます www.clearswift.com 34
受信者のユーザー登録 初めてエンクリプション ポータルへアクセスするユーザはユーザ登録をする必要があります www.clearswift.com 35
エンクリプション ポータル上でのメール閲覧 www.clearswift.com 36
メールの開封を送信者へ通知 送信者へメール開封通知が送信されます www.clearswift.com 37
閲覧されたメッセージを送信者側で確認 閲覧や二次漏洩を防ぐために この時点でメッセージをメールボックスから取り下げることができます 送信者へメール開封通知が送信されます www.clearswift.com 38
メッセージが期限切れになる前にリマインダーを受信へ送信 ポータル内に保管しているメールがまだ開封されてない場合は 受信者へ通知メールを送信 デフォルト 30 日間メールをポータル内に保管します www.clearswift.com 39
受信者側画面のカスタム設定 表示言語の変更が可能 エンクリプション ポータルは日本国内からでもご利用頂けます データセンターは英国 米国 カナダにあります www.clearswift.com 40
送信方法 デフォルトの配信方法は HTTP / S を介したブラウザによる プル オプションで 受信者への配信方法をポータルからのプッシュ に変更することも可能 S / MIME 証明書を SEG にインストールすれば 受信者は S / MIME 暗号化されたメッセージをポータル上の受信トレイで直接受信することが可能 www.clearswift.com 41
監査 Audit www.clearswift.com www.clearswift.com
監査証跡 エンクリプション ポータルを経由したメールであっても SEG 上にログが残るため メッセージトラッキング機能を利用して 過去にさかのぼり 配信されたメールを確認することが出来ます www.clearswift.com 43
Appendix 補足事項 www.clearswift.com www.clearswift.com
S/MIME と PGP の比較 電子メールの暗号化と電子署名には S/MIME(Secure/Multipurpose Internet Mail Extensions) と PGP(Pretty Good Privacy) がよく利用されています それぞれ共通鍵暗号方式 公開鍵暗号方式 メッセージダイジェスト関数を利用して 署名機能 と 暗号化機能 を提供することにより 電子メールの盗聴 改竄 なりすましによるリスクを回避します S/MIME と PGP の比較 S/MIME PGP 正式名称 Secure/Multipurpose Internet Mail Extensions Pretty Good Privacy 開発者 RSA Security 社 ( 現在は IETF が変更管理 ) Philip R. Zimmermann Jr. 1991 年初版公開 特徴 S/MIME では 認証局 (CA) により公開鍵の正当性を保証通常は商用認証局を利用 既に正当性を検証済みの第三者の秘密鍵で公開鍵が署名されていれば信用する公開鍵の正当性には限界 署名 送信者は自身の秘密鍵を用いて署名受信者は送信者の公開鍵を用いて検証 送信者は自身の秘密鍵を用いて署名受信者は送信者の公開鍵を用いて検証 暗号 その他 送信者は受信者の公開鍵を用いて暗号化受信者は自身の秘密鍵を用いて復号化 不特定多数の相手とのやり取りに向く公開鍵の持ち主側が商用認証局等から鍵と証明書を入手する必要がある多くのメールクライアントが標準で対応 送信者は受信者の公開鍵を用いて暗号化受信者は自身の秘密鍵を用いて復号化 特定の相手とのやり取りに向く認証局は不要だが鍵の安全な保管が必要標準でサポートするメールクライアントは少ない www.clearswift.com 45
MIKE - Mail Initiated Key Exchange MIKE を有効にすれば 外部パートナーに対して公開鍵の要求とプロビジョニングを許可し 電子メール暗号化の鍵交換メカニズムを提供することが出来ます 応答用アドレスに登録された宛先にメールリクエストを送ると 外部のパートナーに公開鍵を提供をします 応答用アドレスにメールによるリクエストを送信することで公開鍵を受信します 例 ) Aperson@examplecompany.org に対して PGP 公開鍵を受信させたい場合以下の手順でメールを送信してください 件名に Aperson@examplecompany.org PGP と記載 ( 1 メールにつき 1 アドレスまで ) MIKE@examplecompany.org 宛にメールを送信する www.clearswift.com 46
ありがとうございました www.clearswift.com