第2回 メッセージ送受信へのセキュリティ対策
竹島 友理
NRIラーニングネットワーク株式会社
2005/9/15
S/MIME、SSL、TLSって何? |
Exchange Server 2003は、Active Directory とデジタル証明書を利用したデータ盗難・改ざん対策機能を持っています。それが、S/MIME、SSL、TLSです。S/MIMEを使用すると、クライアント同士のメール送受信を安全に行えるようになります。
SSLは、Netscape Communications社が提唱したプロトコルです。SSLは3.0まで開発されました。その後、IETF (Internet Engineering Task Force)によって標準化案がまとまり、RFC 2246として公開されました。それがTLSです。
SSLを使用すると、インターネットプロトコル環境(HTTP、SMTP、IMAP4、POP3、NNTP)において、クライアントとサーバ間のネットワーク通信が安全に行えるようになります。また、SMTP送信トラフィックに対してはTLSによってセキュアな通信が実現します。
S/MIME、SSL、TLSプロトコルの仕組み、用語、概念などの解説は、すでにたくさん公開されているので、本稿ではその部分には触れず(参照ポイントを紹介します)、Exchange Server 2003環境における S/MIME、SSL、TLSプロトコルに関して見ていきます。
ところで、Windows Server 2003には RPC通信の128ビット暗号化を実現するセキュリティ機能が組み込まれています。MAPI(Messaging Application Program Interface)接続はRPC上で確立されるので、この機能を使用すると、OutlookとExchange Server間の通信をRPC暗号化機能によって保護できます。以下は、Outlook 2003で[ツール]メニューの[電子メールアカウント]から[詳細設定]をクリックし、[セキュリティ]タブを選択した画面です。
図2 OutlookとExchange Server間通信の暗号化 |
ただし、RPC暗号化機能では、MAPIクライアントからExchange Serverへの通信データだけが暗号化されるのであって、メッセージ自体は暗号化されません。そして、Outlook以外のクライアントとExchange Serverとの接続には使用できません。
ここまでの話をまとめてみると、こうなります。
図3 メッセージの暗号化と通信の暗号化 |
それでは、S/MIME、SSL、TLS について見ていきましょう。
S/MIMEでメールのメッセージ自体を守ろう! |
Exchange Server 2003は、インターネット標準のS/MIMEバージョン3プロトコルをサポートしています。S/MIMEを使用すると、クライアント端末の種類やプロトコルに依存せず、メールのメッセージに署名を付けたり、暗号化した状態でメッセージを送信できるようになります。
「メールのメッセージにデジタル署名を付ける」とは、「このメールのメッセージは、○○さんから送られたモノだ」という送信者の身元を保証することです。さらに、そのメールのメッセージが、メッセージ転送されている間や、メッセージがExchange Serverのメールボックスストアまたはクライアント上のPSTファイル(個人用フォルダ)に格納されている間に「内容が変更されていないことを証明すること」です。
しかし、デジタル署名だけではメッセージが変更される可能性があります。そこで必要になるのが、S/MIMEの暗号化機能です。メールのメッセージを暗号化すると、第三者が内容を変更できないように保護できます。ただし、対象データはメッセージのみに限られます。
|
2/3
|
Index | |
メッセージ送受信へのセキュリティ対策 | |
Page1 Active Directoryによるユーザーオブジェクトとメールボックスの管理 - 全員が「Suzukiさん」のアカウントを共有していたら、どうなる? - メールボックスとユーザーは1対1の関係 - 証明書による高度な認証機能 |
|
Page2 S/MIME、SSL、TLSって何? S/MIMEでメールのメッセージ自体を守ろう! |
|
Page3 SSLでクライアントとサーバ間の通信を守ろう! フロントエンド/バックエンドサーバ構成ではSSLがお勧め! Exchange Server 2003のSMTP通信を保護するTLS コラム:SSLとTLS |
関連記事 |
基礎から学ぶExchange Server 2003運用管理 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|