ドメイン セキュリティについて
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2016-11-28
ドメイン セキュリティは、S/MIME などのメッセージ レベルのセキュリティ ソリューションの代わりとして MicrosoftExchange Server 2010 および MicrosoftOffice Outlook 2007 が提供する、比較的コストの低い機能セットです。ドメイン セキュリティ機能セットを使用して、管理者は、ビジネス パートナーとのセキュリティで保護されたインターネット経由のメッセージ パスを管理できます。これらのセキュリティで保護されたメッセージ パスの構成後、認証された送信者からセキュリティで保護されたパスを使用して正常に届いたメッセージは、Outlook および Microsoft Office Outlook Web App インターフェイスで、ユーザーに対して [ドメイン保護] と表示されます。
ドメイン セキュリティは、相互トランスポート層セキュリティ (TLS) 認証を使用して、セッションベースの認証と暗号化を提供します。相互 TLS 認証は通常実装される TLS とは異なります。通常、TLS が実装されている場合、クライアントは、サーバー証明書を検証することにより、目的のサーバーへの接続が安全に行われているか確認します。これは、TLS ネゴシエーションの一部として受け取られます。このシナリオでは、クライアントがデータを送信する前に、クライアントはサーバーを認証します。しかし、サーバーはクライアントとのセッションを認証しません。
相互 TLS 認証では、各サーバーは、別のサーバーによって提供された証明書を検証することで他のサーバーとの接続を確認します。このシナリオの、Exchange 2010 環境で確認済みの接続を経由して外部ドメインから受信したメッセージについては、Outlook 2007 はドメイン保護アイコンを表示します。
重要
暗号化および証明書テクノロジの詳細な説明と概念については、このトピックでは説明しません。暗号化とデジタル証明書を使用したセキュリティ ソリューションを展開する前に、信頼、認証、暗号化の基本概念と暗号化に関連する公開キーおよび秘密キーの交換について理解しておくことをお勧めします。詳細については、このトピックの最後の一覧を参照してください。
トランスポート サーバーの管理に関連する管理タスクについては、「トランスポート サーバーの管理」を参照してください。
TLS 証明書の検証
セキュリティ全体と TLS で相互送信した結果として生じる信頼関係について理解するには、基になる TLS 証明書がどのように検証されるか理解しておく必要があります。
Exchange 2010 には、TLS 証明書を作成、要求、および管理するための一連のコマンドレットがあります。既定では、これらの証明書は自己署名入りです。自己署名入りの証明書は、証明書の作成者によって署名された証明書です。Exchange 2010 では、自己署名入り証明書は、基になる Microsoft Windows 暗号化 API (CAPI) を使用して Microsoft Exchange を実行しているコンピューターによって作成されます。自己署名入り証明書のため、作成された証明書は、公開キー基盤 (PKI) またはサード パーティの証明機関 (CA) によって生成された証明書よりも信頼性が低いです。そのため、自己署名入りの証明書は内部メールのみに使用することをお勧めします。代わりに、セキュリティ保護されたドメインを介して手動で電子メールを交換する受信側の組織が、受信エッジ トランスポート サーバーのそれぞれの信頼されているルート証明書ストアに自己署名入り証明書を追加した場合には、自己署名入り証明書は明示的に信頼されます。
インターネットを通過する接続では、PKI またはサード パーティの CA を使用した TLS 証明書を生成するのがベスト プラクティスです。信頼された PKI またはサード パーティの CA を使用して TLS キーを生成すると、ドメイン セキュリティ全体の管理を削減できます。信頼された証明書およびドメイン セキュリティに関するオプションの詳細については、「ドメイン エッジ トランスポート サーバーでドメイン セキュリティに PKI を使用する」を参照してください。
独自の PKI またはサード パーティの CA に対する証明書要求を生成するため Exchange 2010 証明書コマンドレットを使用できます。詳細については、「TLS 証明書について」を参照してください。
ドメイン セキュリティを構成する方法の詳細については、以下を参照してください。
Exchange Hosted Services の使用
メッセージレベルのセキュリティは、MicrosoftExchange Hosted Services により拡張され、また Exchange Hosted Services のサービスとして利用可能です。
Exchange Hosted Services は、次の 4 つの個別のホスト サービスで構成されています。
Hosted Filtering は、メールから感染するマルウェアから組織を保護します
Hosted Archive は、規制準拠のための保存要件に対応するために役立ちます
Hosted Encryption は、データを暗号化して機密を保持します
Hosted Continuity は、緊急事態が発生したときやその直後にメールへのアクセス状態を維持するために役立ちます
これらのサービスは、社内で管理されているオンプレミスの Exchange サーバーや、サービス プロバイダーを通じて提供される Hosted Exchange メール サービスと統合することができます。Exchange Hosted Services の詳細については、「Microsoft Exchange Hosted Services」を参照してください (このサイトは英語の場合があります)。
関連資料
Russ Housley、Tim Polk 共著。『Planning for PKI:Best Practices Guide for Deploying Public Key Infrastructure』。New York:John Wiley & Son, Inc., 2001
Carlisle Adams、Steve Lloyd 共著。『Applied Cryptography:Protocols, Algorithms, and Source Code in C』第 2 版。New York:John Wiley & Son, Inc., 1996
Microsoft Windows Server 2003 公開キー基盤の実装のベスト プラクティス (このサイトは英語の場合があります)
© 2010 Microsoft Corporation.All rights reserved.