セキュリティに関する注意事項

ここでは、Secure Mailのセキュリティに関する注意事項と、データセキュリティを強化するために有効にできる特定の設定について説明します。

Microsoft IRMのサポート

Secure Mail for AndroidとSecure Mail for iOSでは、構成済みのIRMポリシーに合わせて、Microsoft IRM(Information Rights Management)で保護されたメッセージがサポートされています。

この機能により、組織はIRMを使って、メッセージの内容に永続的な保護を適用することができます。また、モバイルユーザーはIRMで保護されたコンテンツを作成し、使用することができます。デフォルトでは、IRMのサポートは [オフ] になっています。これを有効にするには、Information Rights Managementポリシーを [オン] に設定します。

Secure Mailは次のテンプレート属性をサポートします。

重要:

添付ファイルはIRMのサポートに含まれていません。

属性 Secure Mailのラベル 説明
ContentExpiryDate 有効期限なしまたは有効期限 ContentExpiryDateで指定された日が経過すると、メールメッセージの本文と添付ファイルを削除できるようになります。また、Secure Mailを使って、サーバーからコンテンツを再取得できます。
EditAllowed コンテンツの編集 ユーザーがメールメッセージの転送、返信、全員への返信を行うときのメールの編集を許可または禁止します。
ExportAllowed   ユーザーがメールメッセージのIRM保護を解除することを許可または禁止します。
ExtractAllowed コンテンツのコピー ユーザーがメールメッセージの内容をコピーすることを許可または禁止します。
ForwardAllowed 転送 ユーザーがメールメッセージに転送することを許可または禁止します。
ModifyRecipientsAllowed 宛先の変更 ユーザーがメールメッセージの転送または返信を行うときの宛先一覧の変更を許可または禁止します。
ProgrammaticAccessAllowed ほかのアプリに送信 サードパーティのアプリケーションでプログラム的にメールメッセージの内容にアクセスすることを許可または禁止します。
ReplyAllAllowed 全員に返信 ユーザーが元のメールメッセージのすべての宛先に返信することを許可または禁止します。
ReplyAllowed 返信 ユーザーがメールメッセージに返信することを許可または禁止します。

次の制限画面が表示されます。

Secure Mail IRMの制限画面

組織によっては、IRMポリシーを厳しく順守することが必要な場合があります。Secure Mailへのアクセス権を持つユーザーが、Secure Mail、オペレーティングシステム、またはハードウェアプラットフォームを改ざんすることで、IRMポリシーを回避しようとするかもしれません。

Endpoint Managementはこのような攻撃の一部を検出できますが、次のような予防措置を検討することでより高いセキュリティを提供できます:

  • デバイスベンダーが提供するセキュリティガイダンスを確認する。
  • Endpoint Managementの機能やその他の機能を使って、デバイスを適切に構成する。
  • Secure MailなどのIRM機能を適切に使用するように、ユーザーにガイダンスを提供する。
  • このような攻撃に備えて、サードパーティのセキュリティソフトウェアを追加で展開する。

メールセキュリティの分類

Secure Mail for iOSおよびSecure Mail for Androidではメール分類マーキングがサポートされており、ユーザーはメールの送信時にSEC(security)およびDLM(dissemination limiting markers)を指定できます。SECマーキングにはProtected、Confidential、Secretがあります。DLMにはSensitive、Legal、Personalがあります。メールを作成する時に、Secure Mailのユーザーは次の図で示すようにマーキングを選択してメールの分類レベルを指定することができます。

Secure Mailのセキュリティ分類リンク

Secure Mailのセキュリティ分類一覧

受信者はメールの件名でその分類マーキングを確認できます。次に例を示します。

  • 件名:計画[SEC = PROTECTED、DLM =機密]
  • 件名:計画[DLM =機密]
  • 件名:計画[SEC = UNCLASSIFIED]

メールヘッダーに、この例において太文字で表示されているインターネットメッセージヘッダー拡張としての分類マーキングが含まれています。

日付:2015年5月1日(金)12:34:50 +530

件名:計画 [SEC = PROTECTED、DLM =機密]

優先度:標準

X優先度:標準 X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com

送信元: operations@example.com

宛先:チーム <mylist@example.com>

MIME-Version:1.0コンテンツタイプ: multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"

Secure Mailは、分類マーキングを表示するだけです。マーキングに基づいて何かしらの操作が行われることはありません。

分類マーキングが付いたメールに返信またはそれを転送する場合、デフォルトではSECおよびDLM値は元のメールのままとなります。ユーザーは別のマーキングを選択することができます。Secure Mailは元のメールと比較してこれらの変更を検証しません。

メール分類マーキングは、次のMDXポリシーを介して構成します。

  • メール分類: [オン] の場合、Secure MailはSECおよびDLMのメール分類マーキングをサポートします。分類マーキングは”X-Protective-Marking”値としてメールヘッダーに表示されます。関連するメール分類ポリシーを構成する必要があります。デフォルトの値は、[オフ] です。

  • メール分類の名前空間: 使用される分類の標準によりメールヘッダー内で必要とされる分類名前空間を指定します。たとえば、名前空間”gov.au”はヘッダーには”NS=gov.au”と表示されます。デフォルト値は空です。

  • メール分類のバージョン: 使用される分類の標準によりメールヘッダー内で必要とされる分類バージョンを指定します。たとえば、バージョン”2012.3”はヘッダーには”VS=2012.3”と表示されます。デフォルト値は空です。

  • デフォルトのメール分類: ユーザーがマーキングを選択しない場合にSecure Mailがメールに適用する保護マーキングを指定します。この値は、[メール分類のマーキング]ポリシーの一覧にある必要があります。デフォルトの値は [UNOFFICIAL] です。

  • メール分類のマーキング: 分類マーキングを指定してユーザーが使用できるようにします。一覧が空の場合、Secure Mailは保護マーキングの一覧を含めません。マーキングの一覧にはセミコロンで区切られた値のペアが含まれています。各ペアには、Secure Mailに表示されるリスト値と、Secure Mailのメールの件名とヘッダーに付随された文字列であるマーキング値が含まれます。たとえば、マーキングペアの「UNOFFICIAL,SEC=UNOFFICIAL」の場合、リスト値は「UNOFFICIAL」、マーキング値は「SEC=UNOFFICIAL」となります。

デフォルト値は変更できる分類マーキングの一覧です。次のマーキングがSecure Mailにより提供されます。

  • UNOFFICIAL,SEC=UNOFFICIAL
  • UNCLASSIFIED,SEC=UNCLASSIFIED
  • For Official Use Only,DLM=For-Official-Use-Only
  • Sensitive,DLM=Sensitive
  • Sensitive:Legal,DLM=Sensitive:Legal
  • Sensitive:Personal,DLM=Sensitive:Personal
  • PROTECTED,SEC=PROTECTED
  • PROTECTED+Sensitive,SEC=PROTECTED
  • PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
  • PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
  • PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
  • CONFIDENTIAL,SEC=CONFIDENTIAL
  • CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
  • CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
  • CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
  • CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
  • SECRET,SEC=SECRET
  • SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
  • SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
  • SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
  • SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
  • TOP-SECRET,SEC=TOP-SECRET
  • TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
  • TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRETDLM=Sensitive:Legal
  • TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRETDLM=Sensitive:Personal
  • TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRETDLM=Sensitive:Cabinet

iOSデータ保護

ASD(Australian Signals Directorate:オーストラリア通信電子局)のデータ保護要件を満たす必要がある企業では、Secure MailおよびSecure WebのEnable iOS data protectionポリシーを使用できます。デフォルトでは、これらのポリシーは [オフ] になっています。

Secure WebのEnable iOS data protectionポリシーが [オン] のとき、Secure Webではサンドボックス内のすべてのファイルに対してクラスAの保護レベルが適用されます。Secure Mailのデータ保護について詳しくは、「オーストラリア通信電子局のデータ保護」を参照してください。このポリシーを有効にすると最高のデータ保護クラスが使用されるので、Minimum data protection classポリシーも指定する必要はありません。

Enable iOS data protectionポリシーを変更するには

  1. Endpoint Managementコンソールを使用してSecure WebおよびSecure MailのMDXファイルをEndpoint Managementに読み込みます:新しいアプリの場合、[構成]>[アプリ]>[追加] の順に選択して [MDX] をクリックします。アップグレードについては、「MDXまたはエンタープライズアプリケーションのアップグレード」を参照してください。

  2. Secure Mailの場合、[App] 設定を開いてEnable iOS data protectionポリシーを見つけ、[On] に設定します。古いバージョンのオペレーティングシステムが動作するデバイスは、このポリシーを有効にしても影響を受けません。

  3. Secure Webの場合、[App] 設定を開いてEnable iOS data protectionポリシーを見つけ、[On] に設定します。古いバージョンのオペレーティングシステムが動作するデバイスは、このポリシーを有効にしても影響を受けません。

  4. 通常通りアプリのポリシーを構成して設定を保存し、Endpoint Managementアプリストアにアプリを展開します。

オーストラリア通信電子局のデータ保護

Secure MailではASD(Australian Signals Directorate:オーストラリア通信電子局)のコンピューターセキュリティ要件を満たす必要がある企業を対象に、ASDのデータ保護をサポートします。デフォルトでは、Enable iOS data protectionポリシーは [オフ] に設定されており、Secure MailではクラスCのデータ保護が提供される、つまりプロビジョニングプロファイルに設定されているデータ保護が使用されます。

ポリシーが [オン] の場合、アプリのサンドボックスでファイルを作成し開くときにSecure Mailによって保護レベルが指定されます。Secure Mailは以下のアイテムにクラスAのデータ保護を設定します。

  • 送信トレイのアイテム
  • カメラまたはカメラロールからの写真
  • ほかのアプリから貼り付けられた画像
  • ダウンロードした添付ファイル

Secure Mailは以下のアイテムにクラスBのデータ保護を設定します。

  • 保存されたメール
  • カレンダーアイテム
  • アドレス帳
  • ActiveSyncポリシーファイル

クラスBの保護により、ロックされたデバイスでの同期が可能になります。また、ダウンロードを開始してからデバイスをロックした場合は、ダウンロードの完了が可能になります。

データ保護が有効な場合、デバイスのロック中はファイルが開けないため、キューにある送信トレイアイテムは送信されません。また、デバイスのロック中にSecure Mailが終了されその後再起動された場合、デバイスのロックを解除してSecure Mailを起動するまで、Secure Mailで同期することができません。

このポリシーを有効にする場合は、クラスCのデータ保護を適用してログファイルを作成しないように、必要な時にのみSecure Mailログを有効にすることをお勧めします。