アプリケーションとデータ セキュリティ ソリューション

今日のビジネスにおいて、電子メールは企業には不可欠な日常の通信ツールとなりました。これに伴い、機密性の高い企業情報やドキュメントは、電子メール経由で従業員や外部のサードパーティに頻繁に転送されるようになりました。このような電子メールは、簡単にネットワーク リンク経由で盗聴および改ざん、メール サーバー上で直接アクセス、あるいはバックアップ ストレージから復元できます。さらに、機密の電子メール メッセージは、無許可の受信者に簡単に転送できるため、余計なデータ漏洩が発生し、企業に深刻な問題を引き起こすことになります。こうした電子メールの脆弱性に対する完全な対応策となるのが、SecureAge® データ セキュリティ ソリューションの主要なコンポーネントの 1 つである SecureAge® SecureEmail です。

SecureAge® SecureEmail は、機密の電子メール情報を直観的にラベル付けし、ラベル付けされた個々の電子メールの送信、保存、転送、返信時における処理方法を指定することで、強力なポリシーベースのセキュリティ制御を行います。組織は、ソフトウェア設定ツールを用いて、「機密」、「秘密」、「保護」など、好みの電子メール分類ラベルを定義できます。このようなラベルは異なる色で明確に強調表示され、プレーン テキスト、html テキスト、およびリッチ テキスト形式で電子メールの本文に追加されます。その結果、印刷される電子メールは同じラベルのテキスト形式で印刷されます。これらのラベルは、電子メール リストで簡単に表示できるように電子メールの件名に追加したり、またはメール サーバー (MTA) がこれらの電子メールに追加ポリシー制御を適用できるように、MIME ヘッダーをメール送信するように追加することもできます。

従来のセキュアな電子メール製品と同様に、SecureAge® SecureEmail は最新の S/MIME バージョン 3.1 規格に基づいた電子メール署名と暗号化にも対応しているため、電子メールの信頼性とプライバシーが確保されます。しかし、企業ユーザーの中では、署名や暗号化に使用する電子メール タイプを正しく理解できるほど技術に強い人はほとんどいません。SecureEmail では、デジタル署名と暗号化操作をポリシーが規定するラベル付けされた電子メールに統合することで、この問題を解決できます。ユーザーは電子メールのラベル名を指定するだけでよく、デジタル署名と暗号化に関する条件については、ポリシーのルール エンジンに任せて処理を行います。たとえば、「機密」とラベル付けされた電子メールには署名と暗号化を必須にし、「保護」とラベル付けされた電子メールには署名を必須にし、暗号化またはプレーンのどちらかを選択可能にするというルールをポリシーに定義することができます。このようなポリシーを設定した場合は、ユーザーが誤ってプレーン形式の「機密」の電子メールを送信してしまうことはありません。

SecureAge® SecureEmail は、Lotus Notes、Microsoft Outlook、Outlook Web Access、Sun Messaging サーバー、Outlook Express、Netscape Messengerなどのほとんどの電子メール プラットフォームでシームレスに動作します。SecureAge® SecureEmail とは異なり、SecureAge® クライアントには SecureAge® SecureWebmail という別の主なコンポーネントも付属しています。SecureAge® クライアントを使用することで、組織はそれぞれのニーズに応じて、電子メールまたはウェブメール システム、あるいはその両方を柔軟にセキュリティ保護できます。SecureAge® クライアントのこうした柔軟性によって、組織は投資コストを大幅に削減することができます。

SecureAge® SecureEmail を使用すると、任意の受信者にいつどこからでもセキュアに電子メールを送信でき、現在の電子メールのインフラストラクチャをアップグレードまたは変更するといった煩わしい作業から解放されます。また、ユーザーの関与なしに、電子メールのプライバシーと完全性を確保することもできます。プラットフォームは使用準備が整っているため、既存のインフラストラクチャとプロセスに簡単に統合および導入できます。

従来、機密情報を含んだ紙のドキュメントは、わかりやすいように「機密」や「秘密」などの強調表示されたラベルで分類されてセキュリティ保護を行ってきました。SecureAge® SecureEmail では、機密の企業電子メール メッセージのラベル付けを行う際には同じ方法を採用しており、機密性の高いデジタル通信を処理する場合に、ユーザーが全く異なる方法を学習する必要はありません。

企業の管理者には、企業内の従業員に関連した使い慣れた電子メール ラベルを定義するソフトウェア設定ツールが用意されています。これらのラベルは、電子メールをコンピュータ モニタ上で読むときや、ハードコピーとして印刷するときに目立つようにそれぞれ色でコード化されています。

電子メールにセキュリティ ラベルを付ける場合の重要なポイントは、受信者がそのようにラベル付けされた電子メールを受信した後に、そのメールに対して実行可能な操作と実行不可能な操作を定義することにあります。設定ツールでは、ラベルの付いた電子メールに対して、包括的なセキュリティ ポリシーのセットを定義できます。特に、以下のセキュリティ アソシエーションは簡単に作成することができます。

• ラベルの異なる電子メールの電子メール セキュリティはどのようになっていますか。たとえば、ポリシーでは、「秘密」の電子メールには署名および暗号化を必須にし、「機密」の電子メールには暗号化を必須、デジタル署名は任意選択制に規定できます。
• ラベル付けされた電子メールの返信または転送に関連したポリシーにはどのようなものがありますか。たとえば、「機密」の電子メールは転送または返信時に「秘密」の電子メールにアップグレードできますが、「秘密」の電子メールは「機密」またはラベルなしの電子メールにはダウングレードできません。
• ラベルの異なる電子メールに使用する暗号化アルゴリズムはどのようになっていますか。たとえば、「機密」の電子メールでは Triple-DES または AES を利用できますが、「秘密」の電子メールでは民間開発による専用アルゴリズムを利用する必要があります。

ユーザーによってラベル付けされた電子メールは、署名または暗号化された電子メールに安全に組み込まれるため、故意に変更されることはありません。同じラベルは、画面上や紙のプリントアウトで簡単に表示されるように、プレーン テキストや色分けされた HTML テキストまたはリッチ テキストとして電子メールの本文にも挿入されます。さらに、電子メール ラベルが電子メールの件名と MIME ヘッダーに表示されるようにポリシーを設定すると、電子メール サーバーや Mail Transfer Agent (MTA: メール転送エージェント) は、ラベルが付いたこれらの電子メールに対するポリシー制御を強化できます。たとえば、MTA では「秘密」とラベル付けされた電子メールが、セキュリティ保護がされていない PDA デバイスに送信されないように設定できます。

SecureAge® SecureEmail を使用すると、任意の受信者にいつどこからでもセキュアに電子メールを送信でき、現在の電子メールのインフラストラクチャをアップグレードまたは変更するといった煩わしい作業から解放されます。また、ユーザーの関与なしに、電子メールのプライバシーと完全性を確保することもできます。プラットフォームは使用準備が整っているため、既存のインフラストラクチャとプロセスに簡単に統合および導入できます。

SecureAge® SecureEmail ソリューションの大きな利点は、その高度な電子メールの暗号化セキュリティ サポートにあります。このソリューションは、S/MIME (Secure/Multipurpose Internet Mail Extensions) 標準を使って、電子メール メッセージや添付ファイルの安全な送受信を一貫した方法で行います。S/MIME は、ユーザーの介入を必要としない電子メール アプリケーションに暗号化セキュリティ サービスを提供します。S/MIME には、認証、メッセージの完全性、非否認、およびデータの機密性を確保するための電子メールの暗号化および解読機能が備わっています。SecureAge® SecureEmail は S/MIME バージョン 3.1 (IETF RFC 3851) に基づいた最も最新の規格に対応するほか、他の市販のセキュアな電子メール製品に一般に導入されていない以下のリストに挙げた高度なセキュリティ機能をサポートしています。

市場で最も高度な暗号化アルゴリズムに対応

SecureAge® SecureEmail は、無制限のキー長の公開キーを使用したデジタル署名と暗号化アルゴリズムに対応しています。これには、RSA、DSA、および ECDSA が含まれます。高度なセキュリティを必要とする電子メールでは、通常の 1024 ビットでは十分とは言えなくなりました。SecureAge® SecureEmail を使用すれば、高い強度の RSA (2048 ビットなど) または効率性の高い楕円曲線を使った公開キー システムに移行できます。

デジタル署名操作で使用するハッシュ関数に関しては、SecureEmail は一般に使用される SHA-1 と MD5 をサポートします。ただし、MD5 と SHA-1 の脆弱性の深刻度が高くなるにつれ、より強度の高い SHA-256、SHA-384、および SHA-512 を選択して移行することもできます。

対称キーアルゴリズムにおいては、SecureAge® SecureEmail はデフォルトの 256 ビットの AES アルゴリズムを利用します。また、下位互換性の目的で、Triple-DES や RC2 などの弱いアルゴリズムにも対応しています。

スマート カードと USB トークンのサポート

SecureAge® PKI ミドルウェア プラットフォームを活用することで、SecureEmail はさまざまなチップ ベンダーが取り揃えた多様なスマート カードと USB トークン上のキー ストレージを自動的にサポートします。また、ビジネス PC やノートパソコンで一般に使用されるようになったオンボード TPM チップにユーザーのキーを格納することもできます。

スマート カードと USB トークンの一意なセキュリティ上の強みは、ツーファクタ認証としての役割のほかに、銀行の ATM またはデビット カードに似ているという点にあります。スマート カード/トークンは、攻撃者がある回数以上認証に失敗すると、完全にロックされます。したがって、機械やスマート カード/トークンの両方が盗難に遭った場合でも、ユーザーが心配する必要はありません。

効率的なセキュリティ

SecureAge® SecureEmail は、S/MIME 電子メール圧縮形式規格 (IETF RFC 3274) に対応しています。このため、非圧縮の電子メールと比較した場合、標準的なセキュア電子メール メッセージや添付ファイル (ワード文書、エクセル ワークシート、テキスト ファイルなど) のサイズを最大 5 倍まで大幅に縮小できます。

柔軟なキー管理

PKI セキュリティでは、暗号化キーは毎年または 2 年に 1 回更新することが一般的な慣例となっています。暗号化キーを更新すると、新しいキーでは過去の電子メールを解読できなくなります。しかし、SecureAge® SecureEmail によって、ユーザーは古い電子メールを検索できないという心配から解放され、安心できるようになりました。これによって、無制限にキー履歴にアクセスすることができ、ユーザーが見たい過去の電子メールの解読に必要な正しいキーが自動的に選択されます。

また、SecureAge® SecureEmail では、シングルキーとデュアルキーの両方を使用できます。ユーザーは、単一のプライベートキーと公開キーペアを使用して、電子メールの署名と暗号化を行うことができます。組織によっては、署名と暗号化用に別のキーペアを発行するなど、各ユーザーに対して異なるキーペアを発行するものもあります。これは、集中管理されたキー エスクロー プロセスが、暗号化キーを必要時に復元できるように配備されている一方で、署名キーが非否認を実現するために複製されていない場合に特に便利です。

古い電子メールを新しい暗号化キーで再暗号化するための移行ツール

組織には人事異動はつきものです。従業員の中には、別の下位組織への移動に伴い、新しいデジタル証明書一式が発行されることもあります。そのため、古いセキュアな電子メールを別のユーザーまたは別のキーがアクセスできるように「移行」する必要があります。

SecureAge® SecureEmail には、異なる電子メール プラットフォーム用に便利な移行ツールが搭載されています。このツールによって、ユーザーは古いキーで暗号化された電子メールを新しいキーに移行できます。移行後は、電子メール サーバーとアーカイブ フォルダ内の電子メールは新しいキーで暗号化され、古いキーは必要がなくなります。また、プレーン テキストで受信した機密の電子メールを暗号化できるので、電子メール ストレージ デバイスを失った場合や危険な状態になった場合でも、電子メールをすべて確実に保護できます。

受信者のデジタル証明書の自動検索

暗号化された電子メールを目的の受信者に送信する場合、SecureAge® SecureEmail は Lightweight Directory Access Protocol (LDAP: 軽量ディレクトリ アクセス プロトコル) リポジトリまたは Microsoft Active Directory を使って、受信者の証明書のディレクトリ ルックアップを自動的に実行します。受信者の証明書を検出した後は、これらの証明書は個人用の証明書ストアに自動的にインポートされます。

SecureAge® SecureEmail には、電子メール グループを拡大する機能も搭載されています。たとえば、暗号化された電子メールをグループ 電子メール アドレスにリストされた数人の受信者に送信するとします。この場合、SecureAge® SecureEmail は、各受信者の暗号化キーを自動的に識別します。その後、電子メールは個々のキーを使って暗号化され、対象の受信者のみが電子メールの内容を確認することができます。

証明書取り消しチェックと OCSP のサポート

SecureAge® SecureEmail を使用すると、電子メール セキュリティは包括的な Certificate Revocation List (CRL: 証明書取り消しリスト) チェックと自動更新機能によって保証されます。これにより、セキュアな電子メール操作で使用するすべてのデジタル証明書の有効性が自動的に検証されます。各証明書の証明書取り消しリストは、自動的に更新されその有効性が確認されます。証明書の中で無効、期限切れ、または全く新しいものが検出されると、新しい証明書が自動的に検索され、古い証明書と取り替えられます。

SecureAge® SecureEmail では、Online Certificate Status Protocol (OCSP: オンライン証明書ステータスプロトコル) を用いて、オンライン証明書の有効性を確認することもできます。これは、適時を得た取り消し情報を必要とする組織にとっては理想的なオプションです。デジタル証明書は、OCSP レスポンダが OCSP クライアントによって発行されたステータス要求に肯定応答を返した後で初めて有効であるとみなされます。

規制適合の実現をサポート

SecureAge® SecureEmail は、組織がカリフォルニア州プライバシー法 (SB 1386)、2002 年サーベンス オスクリー法 (SOX)、1996 年医療情報の相互運用性と説明責任に関する法律 (HIPAA)、1999 年グラム リーチ ブライリー法 (GLBA) などの規制適合条件を満たすのに役立ちます。また、電子メール メッセージや添付ファイルを暗号化し、インターネット上で転送中またはデスクトップ/ノートパソコン/電子メール サーバーに保存されているかどうかに関係なく、情報の機密性を保護することで、HIPAA と GLBA の条件を満たします。さらに、組織が認証および暗号化機能を使って、SOX 法に準拠するのにも役立ちます。

SecureAge® SecureWebmail

電子メールをセキュリティ保護する以外に、SecureAge® クライアントは Exchange、Lotus Domino、および Sun Messaging Server に基づいた企業向け電子メール システムへの Web メール アクセスの S/MIME セキュリティもサポートします。Hotmail や Yahoo などのパブリック ウェブメール システムに対するオプション サポートもご利用いただけます。