セキュリティに関する注意事項

ここでは、Secure Mailのセキュリティに関する注意事項と、データセキュリティを強化するために有効にできる特定の設定について説明します。

Microsoft IRMおよびAIPによるメール情報保護のサポート

Secure Mail for AndroidとSecure Mail for iOSでは、構成済みのIRMポリシーに合わせて、Microsoft IRM(Information Rights Management)およびAIP(Azure Information Protection)ソリューションで保護されたメッセージがサポートされています。このサポートには、Citrix Endpoint Managementで構成されたIRMポリシーが適用されます。

この機能により、IRMを使用している組織は、送信するメッセージのコンテンツに対して保護を適用できます。また、この機能を使用すると、モバイルデバイスのユーザーは、権利が保護されたコンテンツを作成および利用できます。デフォルトでは、IRMのサポートは [オフ] になっています。これを有効にするには、Information Rights Managementポリシーを [オン] に設定します。

Secure MailでInformation Rights Managementを有効化するには

  1. Endpoint Managementにログオンして [構成]>[アプリ] に移動し、[追加] をクリックします。
  2. [アプリの追加] 画面で、[MDX] をクリックします。
  3. [アプリケーション情報] 画面でアプリの 詳細を入力し、[次へ] をクリックします。
  4. デバイスのOSに基づいて.mdxファイルを選択し、アップロードします。
  5. [アプリ設定] 画面で[Information Rights Management]をオンにします。 [Information Rights Management]をオンにする

注:

iOSとAndroidの両方でInformation Rights Managementを有効にします。

権利が保護されたメールを受信したとき

ユーザーが保護されたコンテンツを含むメールを受信すると、次の画面が表示されます: Secure MailでのIRMの制限

このユーザーが付与されている使用権の詳細を表示するには、[ 詳細] をタップします。 Secure MailでのIRMの詳細

権利が保護されたメールを作成するとき

ユーザーがメールを作成するときに、制限プロファイルを設定してメールを保護することができます。

メールに制限を設定するには:

  1. Secure Mailにログインし [作成] アイコンをタップします。
  2. 作成画面で [メール制限] アイコンをタップします。

    Secure Mailのメール作成画面

  3. [制限プロファイル] 画面で、メールに適用する制限をタップし、戻るアイコンをクリックします。

    Secure Mailの制限プロファイル画面

    適用された制限は、「件名」フィールドの下に表示されます。

    Secure Mailの制限適用画面

組織によっては、IRMポリシーを厳しく順守することが必要な場合があります。Secure Mailへのアクセス権を持つユーザーが、Secure Mail、オペレーティングシステム、またはハードウェアプラットフォームを改ざんすることで、IRMポリシーを回避しようとするかもしれません。

Endpoint Managementはこのような攻撃の一部を検出できますが、次のような予防措置を検討することでより高いセキュリティを提供できます:

  • デバイスベンダーが提供するセキュリティガイダンスを確認する。
  • Endpoint Managementの機能やその他の機能を使って、デバイスを適切に構成する。
  • Secure MailなどのIRM機能を適切に使用するように、ユーザーにガイダンスを提供する。
  • このような攻撃に備えて、サードパーティのセキュリティソフトウェアを追加で展開する。

メールセキュリティの分類

Secure Mail for iOSおよびSecure Mail for Androidではメール分類マーキングがサポートされており、ユーザーはメールの送信時にSEC(security)およびDLM(dissemination limiting markers)を指定できます。SECマーキングにはProtected、Confidential、Secretなどがあります。DLMにはSensitive、Legal、Personalなどがあります。メールを作成する時に、Secure Mailのユーザーは次の図で示すようにマーキングを選択してメールの分類レベルを指定することができます。

Secure Mailのセキュリティ分類リンク

Secure Mailのセキュリティ分類一覧

受信者はメールの件名でその分類マーキングを確認できます。次に例を示します:

  • 件名:計画 [SEC = PROTECTED, DLM = Sensitive]
  • 件名:計画 [DLM = Sensitive]
  • 件名:計画 [SEC = UNCLASSIFIED]

メールヘッダーに、この例において太文字で表示されているインターネットメッセージヘッダー拡張としての分類マーキングが含まれています。

日付:2015年5月1日(金)12:34:50 +530

件名:計画 [SEC = PROTECTED, DLM = Sensitive]

優先度:標準

X優先度:標準 X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com

差出人:operations@example.com

宛先:チーム <mylist@example.com>

MIME-Version:1.0コンテンツタイプ: multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"

Secure Mailは分類マーキングを表示するだけです。マーキングに基づいて何かしらの操作が行われることはありません。

分類マーキングが付いたメールに返信またはそれを転送する場合、デフォルトではSECおよびDLM値は元のメールのままとなります。ユーザーは別のマーキングを選択することができます。Secure Mailは元のメールと比較してこれらの変更を検証しません。

メール分類マーキングは、次のMDXポリシーを介して構成します。

  • メール分類: [オン] の場合、Secure MailはSECおよびDLMのメール分類マーキングをサポートします。分類マーキングは”X-Protective-Marking”値としてメールヘッダーに表示されます。関連するメール分類ポリシーを構成する必要があります。デフォルト値は [オフ] です。

  • メール分類の名前空間: 使用される分類の標準によりメールヘッダー内で必要とされる分類名前空間を指定します。たとえば、名前空間”gov.au”はヘッダーには”NS=gov.au”と表示されます。デフォルト値は空です。

  • メール分類のバージョン: 使用される分類の標準によりメールヘッダー内で必要とされる分類バージョンを指定します。たとえば、バージョン”2012.3”はヘッダーには”VS=2012.3”と表示されます。デフォルト値は空です。

  • デフォルトのメール分類: ユーザーがマーキングを選択しない場合にSecure Mailがメールに適用する保護マーキングを指定します。この値は、[メール分類のマーキング]ポリシーの一覧にある必要があります。デフォルトの値は [UNOFFICIAL] です。

  • メール分類のマーキング: 分類マーキングを指定してユーザーが使用できるようにします。一覧が空の場合、Secure Mailは保護マーキングの一覧を含めません。マーキングの一覧にはセミコロンで区切られた値のペアが含まれています。各ペアには、Secure Mailに表示されるリスト値と、Secure Mailのメールの件名とヘッダーに付随された文字列であるマーキング値が含まれます。たとえば、マーキングペアの「UNOFFICIAL,SEC=UNOFFICIAL」の場合、リスト値は「UNOFFICIAL」、マーキング値は「SEC=UNOFFICIAL」となります。

デフォルト値は変更できる分類マーキングの一覧です。次のマーキングがSecure Mailにより提供されます。

  • UNOFFICIAL,SEC=UNOFFICIAL
  • UNCLASSIFIED,SEC=UNCLASSIFIED
  • For Official Use Only,DLM=For-Official-Use-Only
  • Sensitive,DLM=Sensitive
  • Sensitive:Legal,DLM=Sensitive:Legal
  • Sensitive:Personal,DLM=Sensitive:Personal
  • PROTECTED,SEC=PROTECTED
  • PROTECTED+Sensitive,SEC=PROTECTED
  • PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
  • PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
  • PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
  • CONFIDENTIAL,SEC=CONFIDENTIAL
  • CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
  • CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
  • CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
  • CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
  • SECRET,SEC=SECRET
  • SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
  • SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
  • SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
  • SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
  • TOP-SECRET,SEC=TOP-SECRET
  • TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
  • TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRETDLM=Sensitive:Legal
  • TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRETDLM=Sensitive:Personal
  • TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRETDLM=Sensitive:Cabinet

iOSデータ保護

ASD(Australian Signals Directorate:オーストラリア通信電子局)のデータ保護要件を満たす必要がある企業では、Secure MailおよびSecure Webの [iOSデータ保護を有効化] ポリシーを使用できます。デフォルトでは、このポリシーは [オフ] になっています。

Secure Webの [iOS データ保護を有効化] ポリシーが [オン] のとき、Secure Webではサンドボックス内のすべてのファイルに対してクラスAの保護レベルが適用されます。Secure Mailのデータ保護について詳しくは、「オーストラリア通信電子局のデータ保護」を参照してください。このポリシーを有効にすると最高のデータ保護クラスが使用されるので、[最小データ保護クラス] ポリシーも指定する必要はありません。

[iOSデータ保護を有効化]ポリシーを変更するには

  1. Endpoint Managementコンソールを使用してSecure WebおよびSecure MailのMDXファイルをEndpoint Managementに読み込みます:新しいアプリの場合、[構成]>[アプリ]>[追加] の順に選択して [MDX] をクリックします。アップグレードについては、「MDXまたはエンタープライズアプリのアップグレード」を参照してください。

  2. Secure Mailの場合、[アプリ] 設定に移動して [iOSデータ保護を有効化] ポリシーを見つけ、[オン] に設定します。古いバージョンのオペレーティングシステムが動作するデバイスは、このポリシーを有効にしても影響を受けません。

  3. Secure Webの場合、[アプリ] 設定に移動して [iOSデータ保護を有効化ポリシー] を見つけ、[オン] に設定します。古いバージョンのオペレーティングシステムが動作するデバイスは、このポリシーを有効にしても影響を受けません。

  4. 通常通りアプリのポリシーを構成して設定を保存し、Endpoint Managementアプリストアにアプリを展開します。

オーストラリア通信電子局のデータ保護

Secure MailではASD(Australian Signals Directorate:オーストラリア通信電子局)のコンピューターセキュリティ要件を満たす必要がある企業を対象に、ASDのデータ保護をサポートします。デフォルトでは、[iOSデータ保護を有効化]ポリシーは [オフ] に設定されており、Secure MailではクラスCのデータ保護が提供される、つまりプロビジョニングプロファイルに設定されているデータ保護が使用されます。

ポリシーが [オン] の場合、アプリのサンドボックスでファイルを作成し開くときにSecure Mailによって保護レベルが指定されます。Secure Mailは以下のアイテムにクラスAのデータ保護を設定します:

  • 送信トレイのアイテム
  • カメラまたはカメラロールからの写真
  • ほかのアプリから貼り付けられた画像
  • ダウンロードした添付ファイル

Secure Mailは以下のアイテムにクラスBのデータ保護を設定します:

  • 保存されたメール
  • カレンダーアイテム
  • アドレス帳
  • ActiveSyncポリシーファイル

クラスBの保護により、ロックされたデバイスでの同期が可能になります。また、ダウンロードを開始してからデバイスをロックした場合は、ダウンロードの完了が可能になります。

データ保護が有効な場合、デバイスのロック中はファイルが開けないため、キューにある送信トレイアイテムは送信されません。デバイスのロック中にSecure Mailが終了されその後再起動された場合、デバイスのロックを解除してSecure Mailを起動するまで、Secure Mailで同期することができません。

このポリシーを有効にする場合は、クラスCのデータ保護を適用してログファイルを作成しないように、必要な時にのみSecure Mailログを有効にすることをお勧めします。