製品ドキュメント
セキュアメール
PDFを表示

セキュリティに関する考慮事項

May 6, 2026
寄稿者: 
C C

この記事では、Secure Mail のセキュリティに関する考慮事項と、データセキュリティの強化に役立つ特定の有効化可能な設定について説明します。

Microsoft IRM および AIP メール権限保護のサポート

Android および iOS 用 Secure Mail は、Microsoft Information Rights Management (IRM) および Azure Information Protection (AIP) ソリューションで保護されたメッセージをサポートしています。このサポートは、Citrix Endpoint Management で構成された IRM ポリシーに準拠します。

この機能により、IRM を使用する組織はメッセージングコンテンツに保護を適用できます。また、モバイルデバイスユーザーは、権限保護されたコンテンツを作成および利用できます。デフォルトでは、IRM サポートはオフです。IRM サポートを有効にするには、情報権限管理ポリシーをオンに設定します。

Secure Mail で情報権限管理を有効にするには

  1. Endpoint Management にログオンし、[構成] > [アプリ] の順に移動して [追加] をクリック
  2. [アプリの追加] 画面で、[MDX] をクリック
  3. [アプリ情報] 画面で、アプリの詳細を入力し、[次へ] をクリック
  4. デバイスの OS に基づいて、.mdx ファイルを選択してアップロード
  5. [アプリ設定] で情報権限管理を有効にする Enable Information Rights Management

注:

iOS と Android の両方で情報権限管理を有効にします。

権限保護されたメールを受信した場合

ユーザーが保護されたコンテンツを含むメールを受信すると、次の画面が表示されます。 Secure Mail IRM Restrictions

ユーザーに付与されている権限の詳細を表示するには、[詳細] をタップします。 Secure Mail IRM details

権限保護されたメールを作成する場合

  • ユーザーがメールを作成する際、メール保護を有効にするために制限プロファイルを設けることができます。

  • メールに制限を設定するには:

  1. Secure Mail にログインし、[作成] アイコンをタップします。

  2. 作成画面で、[メール制限] アイコンをタップします。

    Secure Mail compose email

    1. [制限プロファイル] 画面で、メールに適用する制限をタップし、[戻る] をクリックします。

    Secure Mail restriction profile

    適用された制限は件名フィールドの下に表示されます。

    Secure Mail applied restrictions

一部の組織では、IRM ポリシーへの厳格な準拠を要求する場合があります。Secure Mail にアクセスできるユーザーは、Secure Mail、オペレーティングシステム、またはハードウェアプラットフォームを改ざんして IRM ポリシーを回避しようとする可能性があります。

Endpoint Management は特定の攻撃を検出できますが、セキュリティを強化するために次の予防措置を検討してください。

  • デバイスベンダーが提供するセキュリティガイダンスを確認
  • Endpoint Management の機能などを使用して、デバイスを適切に構成
  • Secure Mail を含む IRM 機能の適切な使用方法について、ユーザーにガイダンスを提供

  • この種の攻撃に対抗するために、追加のサードパーティ製セキュリティソフトウェアを展開

  • メールセキュリティ分類

  • iOS および Android 用 Secure Mail はメール分類マーキングをサポートしており、ユーザーはメール送信時にセキュリティ (SEC) および配布制限マーカー (DLM) を指定できます。SEC マーキングには、Protected、Confidential、Secret が含まれます。DLM には、Sensitive、Legal、Personal が含まれます。メールを作成する際、Secure Mail ユーザーは、次の画像に示すように、メールの分類レベルを示すマーキングを選択できます。

  • Security classification link in Secure Mail

  • Security classification list in Secure Mail

  • 受信者は、メールの件名で分類マーキングを表示できます。例:

  • 件名: Planning [SEC = PROTECTED, DLM = Sensitive]
  • 件名: Planning [DLM = Sensitive]

  • 件名: Planning [SEC = UNCLASSIFIED]

  • メールヘッダーには、インターネットメッセージヘッダー拡張として分類マーキングが含まれており、この例では太字で示されています。

  • Date: Fri, 01 May 2015 12:34:50 +530

  • Subject: Planning [SEC = PROTECTED, DLM = Sensitive]

  • Priority: normal

  • X-Priority: normal X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com

  • From: operations@example.com

  • To: Team <mylist@example.com>

MIME-Version: 1.0 Content-Type: multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"

Secure Mail は分類マーキングのみを表示します。アプリはこれらのマーキングに基づいてアクションを実行しません。

ユーザーが分類マーキングのあるメールに返信または転送すると、SEC および DLM の値は元のメールのマーキングにデフォルト設定されます。ユーザーは別のマーキングを選択できます。Secure Mail は、元のメールに関連するそのような変更を検証しません。

メール分類マーキングは、以下の MDX ポリシーを通じて構成します。

  • メール分類: オンの場合、Secure Mail は SEC および DLM のメール分類マーキングをサポートします。分類マーキングは、メールヘッダーに「X-Protective-Marking」値として表示されます。関連するメール分類ポリシーを必ず構成してください。デフォルト値はオフです。

  • メール分類名前空間: 使用される分類標準によってメールヘッダーで必須となる分類名前空間を指定します。たとえば、名前空間「gov.au」はヘッダーに「NS=gov.au」として表示されます。デフォルト値は空です。

  • メール分類バージョン: 使用される分類標準によってメールヘッダーで必須となる分類バージョンを指定します。たとえば、バージョン「2012.3」はヘッダーに「VER=2012.3」として表示されます。デフォルト値は空です。

  • デフォルトのメール分類: ユーザーがマーキングを選択しない場合に Secure Mail がメールに適用する保護マーキングを指定します。この値は、メール分類マーキングポリシーのリストに含まれている必要があります。デフォルト値はUNOFFICIALです。

  • メール分類マーキング: ユーザーが利用できる分類マーキングを指定します。リストが空の場合、Secure Mail は保護マーキングのリストを含めません。マーキングリストには、セミコロンで区切られた値のペアが含まれています。各ペアには、Secure Mail に表示されるリスト値と、Secure Mail のメール件名およびヘッダーに追加されるテキストであるマーキング値が含まれます。たとえば、マーキングペア「UNOFFICIAL,SEC=UNOFFICIAL;」では、リスト値は「UNOFFICIAL」で、マーキング値は「SEC=UNOFFICIAL」です。

  • デフォルト値は、変更可能な分類マーキングのリストです。Secure Mail には以下のマーキングが用意されています。

  • UNOFFICIAL,SEC=UNOFFICIAL
  • UNCLASSIFIED,SEC=UNCLASSIFIED
  • For Official Use Only,DLM=For-Official-Use-Only
  • Sensitive,DLM=Sensitive
  • Sensitive:Legal,DLM=Sensitive:Legal
  • Sensitive:Personal,DLM=Sensitive:Personal
  • PROTECTED,SEC=PROTECTED
  • PROTECTED+Sensitive,SEC=PROTECTED
  • PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
  • PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
  • PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
  • CONFIDENTIAL,SEC=CONFIDENTIAL
  • CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
  • CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
  • CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
  • CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
  • SECRET,SEC=SECRET
  • SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
  • SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
  • SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
  • SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
  • TOP-SECRET,SEC=TOP-SECRET
  • TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
  • TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRET DLM=Sensitive:Legal
  • TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRET DLM=Sensitive:Personal
  • TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRET DLM=Sensitive:Cabinet

iOS データ保護

オーストラリア信号局 (ASD) のデータ保護要件を満たす必要がある企業は、Secure Mail および Secure Web のiOS データ保護を有効にするポリシーを使用できます。デフォルトでは、ポリシーはオフです。

Secure Web でiOS データ保護を有効にするオンの場合、Secure Web はサンドボックス内のすべてのファイルにクラス A 保護レベルを使用します。Secure Mail のデータ保護の詳細については、「オーストラリア信号局のデータ保護」を参照してください。このポリシーを有効にすると、最高のデータ保護クラスが使用されるため、最小データ保護クラスポリシーを別途指定する必要はありません。

iOS データ保護を有効にするポリシーを変更するには

  1. Endpoint Management コンソールを使用して、Secure Web および Secure Mail の MDX ファイルを Endpoint Management にロードします。新しいアプリの場合は、[構成]>[アプリ]>[追加]の順に移動し、[MDX]をクリックします。アップグレードの場合は、「MDX またはエンタープライズアプリのアップグレード」を参照してください。

  2. Secure Mail の場合は、[アプリ]設定を参照し、[iOS データ保護を有効にする]ポリシーを見つけて[オン]に設定します。古いオペレーティングシステムバージョンを実行しているデバイスは、このポリシーが有効になっても影響を受けません。

  3. Secure Web の場合は、[アプリ]設定を参照し、[iOS データ保護を有効にする]ポリシーを見つけて[オン]に設定します。古いオペレーティングシステムバージョンを実行しているデバイスは、このポリシーが有効になっても影響を受けません。

  4. 通常どおりアプリポリシーを構成し、設定を保存してアプリを Endpoint Management アプリストアに展開します。

オーストラリア信号局のデータ保護

Secure Mail は、ASD のコンピューターセキュリティ要件を満たす必要がある企業向けに、オーストラリア信号局 (ASD) のデータ保護をサポートしています。デフォルトでは、iOS データ保護を有効にするポリシーはオフであり、Secure Mail はクラス C データ保護を提供するか、プロビジョニングプロファイルで設定されたデータ保護を使用します。

ポリシーがオンの場合、Secure Mail はアプリサンドボックスでファイルを作成および開くときに保護レベルを指定します。Secure Mail は、以下の項目にクラス A データ保護を設定します。

  • 送信トレイ項目
  • カメラまたはカメラロールからの写真
  • 他のアプリから貼り付けられた画像
  • ダウンロードされた添付ファイル

Secure Mail は、以下の項目にクラス B データ保護を設定します。

  • 保存されたメール
  • カレンダー項目
  • 連絡先
  • ActiveSync ポリシーファイル

クラス B 保護により、ロックされたデバイスが同期できるようになり、ダウンロード開始後にデバイスがロックされた場合でもダウンロードが完了できるようになります。

データ保護が有効になっている場合、ファイルを開くことができないため、デバイスがロックされているときにキューに入れられた送信トレイ項目は送信されません。デバイスがロックされているときに Secure Mail が終了して再起動した場合、デバイスのロックが解除され、Secure Mail が起動するまで同期できません。

Citrix® は、このポリシーを有効にする場合、クラス C データ保護のログファイルが作成されるのを避けるため、必要な場合にのみ Secure Mail のログを有効にすることをお勧めします。

画面コンテンツの非表示

Android および iOS 用 Secure Mail は、アプリがバックグラウンドに入ったときに画面を非表示にする機能をサポートしています。この機能は、ユーザーのプライバシーを強化し、機密データを保護し、不正アクセスを防止します。iOS または Android デバイスで Secure Mail のこの機能を有効にするには、以下のセクションを参照してください。

iOS デバイスの場合:

  1. 管理者資格情報を使用して Citrix Endpoint Management コンソールにサインインします。
  2. [構成]>[アプリ]>[MDX]の順に移動します。
  3. [プラットフォーム]セクションで[iOS]オプションを選択します。
  4. [アプリの制限]セクションで[画面コンテンツを非表示にする]オプションを有効にします。

iOS CEM コンソールでの画面コンテンツの非表示

[画面コンテンツを非表示にする]オプションを有効にすると、アプリがバックグラウンドに移行したときに Secure Mail は灰色の画面を表示します。

iOS GIF での画面コンテンツの非表示

Android デバイスの場合:

Secure Mail アプリのコンテンツを非表示にするには、画面キャプチャを制限するために使用するポリシー、つまり画面キャプチャを許可するポリシーを使用できます。このポリシーを無効にすると、アプリがバックグラウンドに移行したときにアプリのコンテンツも非表示になります。画面キャプチャを許可するポリシーを無効にする方法の詳細については、Citrix Endpoint Management ドキュメントの「Android 設定」を参照してください。

セキュリティに関する考慮事項
May 6, 2026
寄稿者: 
C C
May 6, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.