オーストラリア政府が PSPF に準拠するために機密性の高い電子メール送信に TLS 暗号化を要求する
この記事では、セキュリティの機密情報の保護に役立つトランスポート層セキュリティ (TLS) の使用に関するオーストラリア政府機関向けのガイダンスを提供します。 その目的は、政府機関が暗号化要件を理解し、これを支援するために Microsoft 365 を構成する方法を理解できるようにすることです。 この記事のアドバイスは、保護セキュリティ ポリシー フレームワーク (PSPF) ポリシー 8: 機密情報と機密情報 、および 情報セキュリティ マニュアル (ISM) に記載されている要件に最も沿うように記述されています。
TLS は、転送中にデータを傍受できないようにするために使用できる暗号化の一種です。 既定では、Exchange Onlineでは常に日和見 TLS が使用されます。 Opportunistic TLS は、Exchange Online常に最も安全なバージョンの TLS を使用して接続を暗号化し、その後、両方の当事者が同意できる TLS 暗号の一覧を下に移動することを意味します。 重要なのは、TLS は メール サーバー で適用され、ユーザーまたはクライアント レベルではなく、 サーバーから送信されたすべてのメールに適用されます。 Microsoft 365 の TLS の詳細については、「Exchange Onlineが TLS を使用して電子メール接続をセキュリティで保護する方法」を参照してください。
Exchange Onlineの TLS の既定の設定は、情報セキュリティ マニュアル (ISM) の要件を満たしています。
| 要件 | 詳細 |
|---|---|
| ISM-0572 (2024 年 6 月) | 日和見 TLS 暗号化は、パブリック ネットワーク インフラストラクチャ経由で受信または送信メール接続を行う電子メール サーバーで有効になります。 |
Opportunistic TLS の構成については、 ASD の Secure Cloud のブループリントでも説明されています。
機密性の高い情報に対して電子メールの暗号化を省略可能にしておくことで、情報の損失のリスクが高まります。 政府機関または外部パートナー組織のクラスター内でセキュリティが侵害されているか、管理が不十分な環境では、機密情報がプレーン テキストでパブリック インターネット経由で送信される可能性があります。 Opportunistic TLS を使用すると、目的の受信者が意図したとおりに情報を受信できるように、メッセージが可能な限り最高レベルに暗号化されます。 政府機関には、政府機関間のすべてのアイテムの転送に TLS を必要とするコネクタを使用するトランスポート トポロジがあります。
このような構成は、組織の固定リスト間のすべての電子メール ベースの通信が確実に暗号化されるようにするのに役立ちます。 ただし、 定義済みの組織の一覧の外部の受信者に対して TLS 暗号化を必要とすることはできません。 たとえば、機密情報を送信する必要がある弁護士などの契約会社を考えてみましょう。 TLS を必要とするドメインの固定リストの外部に存在すると、アイテムが安全に送信されない可能性があります。
Exchange Online送信メッセージ レポートは、TLS 暗号化の有無にかかわらず送信される電子メールの割合に関するレポートを提供します。 送信メッセージ レポートの詳細については、「Exchange Onlineのメッセージ レポート」を参照してください。
暗号化されていないメールの割合が低い組織では、すべての送信メールに対して 強制 TLS アプローチが検討される場合があります。 この構成により、ドメインの固定リスト (UNOFFICIAL 電子メールなど) の外部に電子メールが送信されたときに、意図した宛先に送信されない可能性があります。 保護セキュリティ ポリシー フレームワーク (PSPF) ポリシー 8 Annex A ( 暗号化要件で要約) に合わせるには、"OFFICIAL: Sensitive" および "PROTECTED" メールの送信に暗号化が必要です。 これらのレベルでは TLS が必要です。
注:
多くの政府機関、特にサービスベースの機関では、情報の大部分が OFFICIAL カテゴリに分類され、この量のメールに TLS を要求すると、TLS を持たない個人や組織とのビジネスに大きな影響を与える可能性があります。 ビジネス ニーズに対応したリスクベースのアプローチは、このレベルの強制 TLS と日和見 TLS の場合に推奨されます。
機密性の高いメールに TLS 暗号化を要求するには、Exchange オンライン メール フロー ルールを使用できます。 このルールは、送信されるアイテムの x ヘッダーを検査します。 項目に特定の秘密度ラベルが適用されていることが識別される場合は、アイテムの転送に TLS 暗号化が必要なアクションが適用されます。
これらの メール フロー ルールを構築するには、メールにラベルを適用する方法を理解する必要があります。 ラベルが適用されると、電子メールの x ヘッダーに表示されます。 ラベル情報を含むヘッダーには msip_labels という名前が付けられ、項目に適用されるラベルに対応するラベル ID が含まれています。
メール フロー ルールは、msip_labels ヘッダーをチェックして、関連するラベルがラベル ID または GUID を介して適用されているかどうかを確認できます。
環境のグローバル一意識別子 (GUID) ラベルを取得するには、 セキュリティ、コンプライアンス PowerShell を使用できます。 環境のラベルと関連する GUID を表示するために必要なコマンドは次のとおりです。
Get-label | select displayname,guid
PowerShell コマンドは、秘密度ラベルとそのラベル GUID の一覧を返します。
注:
ラベル GUID は、1 つの Microsoft 365 テナントのみに固有です。 同じラベルの名前付けを持つ 2 つのテナントは、同じ GUID を共有しません。
取得したら、これらのラベル名と GUID を記録して、Exchange メール フロー ルールの構成に使用できるようにする必要があります。
管理者は、Exchange Online 管理 センターを使用して、msip_labels ヘッダーを探すルールを作成する必要があります。 1 つのメール フロー ルールを使用して、複数のラベル GUID のチェックできます。 ルールを作成するときに、ラベル GUID の後に Enabled=True を含めます。 次の例では、環境内の PROTECTED ラベル (情報管理マーカーと警告を含む) の 6 つのバリエーションを確認します。
TLS を要求するためのメール フロー ルールの例
このメール フロー ルールは、セキュリティで分類された、または機密性の高い電子メールが TLS 暗号化なしでインターネット経由で送信されるのを防ぐことを目的としています。
| [ルール名] | このルールを適用する | 次の操作を行います |
|---|---|---|
| 保護されたメールに TLS を要求する | 受信者が内部または外部の場合は、次の規則を適用します。 - organizationの外部 AND メッセージ ヘッダー... 次のいずれかの単語を含めます。 ヘッダ: msip_labels 言葉: - PROTECTED GUID - PROTECTED Personal Privacy GUID - PROTECTED Legal Privilege GUID - PROTECTED Legislative Secrecy GUID - PROTECTED CABINET GUID - PROTECTED NATIONAL CABINET GUID |
- メッセージ のセキュリティを変更する - TLS 暗号化を要求する |
注:
このようなルールを実装する前に、TLS をサポートしていない受信organizationが原因で遅延またはブロックされているルールの影響とアクション項目を監視するための戦略も検討してください。