clearswift secure email gateway · •各サーバは公開鍵と秘密鍵のキーペアを所有...
TRANSCRIPT
Copyright © Clearswift 2017www.clearswift.com
Clearswift SECURE Email Gatewayメール暗号化機能のご紹介
Copyright © Clearswift 2017www.clearswift.com 2
メールの暗号化が必要な理由
• 移動中のデータを保護するため
• 情報漏洩を防ぐため
• 社会的信用の毀損、ブランド力の低下から企業価値を保護するため
• 法規、各業界のレギュレーション遵守のため
Copyright © Clearswift 2017www.clearswift.com 3
Clearswift SEGがサポートする暗号化の種類
• TLS(Transport Layer Security)
• S/MIME(Secure / Multipurpose Internet Mail Extensions)
• PGP(Pretty Good Privacy)
• パスワード付きZip(Windows標準、AES)
• エンクリプション・ポータル(Clearswiftが提供するクラウドベース暗号ポータルサービス)
SEG:SECURE EMAIL Gateway
Copyright © Clearswift 2017www.clearswift.com 4
各種暗号化の特徴比較
サイト⇔サイト間の暗号化
サイト⇔受信者間の暗号化
エンドポイント⇔エンドポイント間の暗号化
標準化準拠 安全性メール送信時の鍵、パスワードの交換
受信者側で追加ソフトウェアの導入不要
TLS
S/MIMEPGP
受信者はキーとクライアントプラグインが必要
パスワード付ZIP-Windows標準
パスワード付ZIP-AES
AES256をサポートするZipパッケージが必要
Clearswiftエンクリプションポータル
メールを送信するためのクライアントプラグインが必要
Clearswift SEGがサポートする暗号化方式と特徴
※Windowsを使用の場合
-
-
-
- -
-
-
-
-
-
Copyright © Clearswift 2017www.clearswift.com www.clearswift.com
TLSTransport Layer Security
Copyright © Clearswift 2017www.clearswift.com 6
トランスポート層におけるセキュリティ
• オペレーティング・システムの一部として提供
• サーバー間の経路を暗号化
• 2つのTLSモード
– 強制的TLS
– 便宜的TLS
• SSL証明書の利用を推奨(自己署名証明書も利用可能)
Copyright © Clearswift 2017www.clearswift.com 7
TLSの設定方法
Copyright © Clearswift 2017www.clearswift.com 8
TLSコネクションの管理
送信者ドメイン単位でTLSコネクションを管理
IPアドレス、ホスト名単位でTLS接続コネクションを管理
クライアントホスト 送信者ドメイン
Copyright © Clearswift 2017www.clearswift.com 9
TLS: ゲートウェイ⇔ゲートウェイ
Transport Layer Security
暗号トンネル区間(全てのトラフィックは暗号化されます。)
この区間ではメールの暗号化はされません
SECURE EMAIL Gateway
送信者 受信者
Copyright © Clearswift 2017www.clearswift.com 10
メッセージレベルの暗号化
• S/MIME
• PGP
• パスワード付きZIP(Windows互換、AES 256)
• エンクリプション・ポータル(クラウドベースサービス)
Copyright © Clearswift 2017www.clearswift.com 11
ポリシーベースの暗号化 ‐ メールの送信方向をトリガー
• メールの送信方向をトリガーとするポリシーベースの暗号化
– 送信者
– 受信者
特定の受信者へのメールは暗号化
ポリシールールを作成することにより、どの送信者、どの受信者をトリガーとしてメールの暗号化を実施するか定める。
Copyright © Clearswift 2017www.clearswift.com 12
ポリシーベースの暗号化 ‐ コンテンツをトリガー
• コンテンツをトリガーとするポリシーベース暗号化
– 件名
– 本文
– 添付ファイル
– ファイルの名前
– ファイルの種類
– X-header
– 文書ファイルのプロパティ
ファイルタイプ:Excel
本文:機密情報を含む場合
件名:特定のキーワードを含む場合
添付ファイル内:特定のキーワードを含む場合
プロパティ:製作者名、その他含まれる場合
ポリシールールを作成することにより、どのコンテンツ要素をトリガーとしてメールの暗号化を実施するか定める。
トリガー
トリガートリガー
トリガー
トリガー
Copyright © Clearswift 2017www.clearswift.com 13
公開鍵暗号方式
• 各サーバは公開鍵と秘密鍵のキーペアを所有
– 公開鍵
– 秘密鍵
• 公開鍵で暗号化を行い、秘密鍵で復号化を行う
• 暗号化したデータを復号できるのは秘密鍵を所有している者のみ可能
• TLSではデータ暗号化のために共有鍵暗号を使用するが、
その共有鍵を安全に交換するために公開鍵暗号方式を利用
Copyright © Clearswift 2017www.clearswift.com 14
証明書
• キーペアは、信頼できる第三者(認証局)によって認定(署名)されている場合に有効です。
Copyright © Clearswift 2017www.clearswift.com www.clearswift.com
S/MIME, PGPSecure / Multipurpose Internet Mail Extensions, Pretty Good Privacy
Copyright © Clearswift 2017www.clearswift.com 16
S/MIME・PGP: ゲートウェイ⇔ゲートウェイ
メッセージは暗号化されます
1. S/MIME・PGP ‐ ゲートウェイ⇔ゲートウェイ
SECURE EMAIL Gateway
送信者 受信者
Copyright © Clearswift 2017www.clearswift.com 17
S/MIME・PGP: ゲートウェイ⇔受信者
2. S/MIME・PGP ‐ ゲートウェイ⇔受信者
SECURE EMAIL Gateway
送信者 受信者
Copyright © Clearswift 2017www.clearswift.com 18
S/MIME・PGP: 送信者⇔受信者
3. S/MIME・PGP ‐ 送信者⇔受信者
メッセージは暗号化とコンテンツスキャンが可能です
SECURE EMAIL Gateway
送信者受信者
Copyright © Clearswift 2017www.clearswift.com 19
簡単に行える鍵管理
• ゲートウェイは、署名付きメッセージを収集し、鍵をゲートウェイ内の同期証明書ストアに格納します
• ゲートウェイは外部キーサーバーにアクセスして公開キーを取得できます
• ベストエフォートで暗号化を行う場合、“証明書が見つからない場合はパスワードの暗号化を使用する”のオプションを選択してください
Copyright © Clearswift 2017www.clearswift.com 20
もし鍵が見つからない場合、パスワード付きZipによる暗号化を試行します。
(ベストエフォートの暗号化)
ベストエフォートの暗号化
暗号化キーが見つからなくても、暗号化されずに機密情報が外部へ送信されないようパスワード付Zipによる暗号化を選択する。
暗号化/復号化デフォルトの自動暗号化設定
Copyright © Clearswift 2017www.clearswift.com www.clearswift.com
パスワード付きZip- Windows標準、AES256
Copyright © Clearswift 2017www.clearswift.com 22
• 受信アドレスまたはドメインにより暗号化を制御
• 暗号化メソッドで[パスワードの使用]を選択
• オプションパラメーターを指定
– 自動生成/固定パスワード
– パスワード長
– Windows互換/AES256
パスワード付Zipによる暗号方式
Copyright © Clearswift 2017www.clearswift.com 23
パスワード付きZipにより保護された添付ファイル: ゲートウェイ⇒受信者
SECURE EMAIL Gateway
①パスワード情報がゲートウェイから送信者宛にメールで送信されます。
②送信者は受信者宛にパスワード情報を送信します。
③送信者は受信者宛にパスワード情報を送信します。
受信者
Copyright © Clearswift 2017www.clearswift.com 24
• 受信者は次のメールを受け取ります。
パスワードにより保護されたメール
添付ファイルはパスワード付Zipにて自動暗号化されます。
Copyright © Clearswift 2017www.clearswift.com 25
送信者と受信者間でのパスワードの受け渡し方
①SEGから送信宛にパスワードが送られてきます。
②送信者は受信者へパスワードをメールで手動送信します。
③受信者はパスワードを使い添付ファイルを開封します。
送信者が自動暗号化の対象となるメールを送信した後の流れ
送信者受信者
Copyright © Clearswift 2017www.clearswift.com www.clearswift.com
セキュア・エンクリプション・ポータルSecure Encryption Portal
Copyright © Clearswift 2017www.clearswift.com 27
セキュア・エンクリプション・ポータル
• ポータル画面の色やロゴをカスタマイズ可能
• 英国、米国、カナダのデータセンターを利用した外部ホスティングサービスです
• 受信者へのメッセージをセキュアに保持します
• メッセージ保有有効期限は30日まで(デフォルト)
• TLS接続を介してエンクリプション・ポータルとセキュアに接続します
• 任意のメッセージトリガーまたはOutlookプラグインを使用することでエンクリプションポータルを利用したメールの暗号化を行えます
Copyright © Clearswift 2017www.clearswift.com 28
セキュア・エンクリプション・ポータル
①ゲートウェイはTLS接続にて、エンクリプション・ポータルへメールを送ります。
②エンクリプション・ポータルは受信者への通知メールを生成し、ゲートウェイへ送信します。
③ゲートウェイは通知メールを受信者へ送信します。
④受信者は暗号化されたメールが送信されたことを示す通知メールへアクセスするためのハイパーリンクをクリックする
⑤受信者はHTTPSによりエンクリプション・ポータルへアクセスし、セキュアにメールを閲覧する。
⑤受信者がエンクリプション・ポータル上でメールを閲覧すると、既読通知が送信者へ送られます。
エンクリプション・ポータル
SECURE EMAIL Gateway
送信者 受信者
Copyright © Clearswift 2017www.clearswift.com 29
Outlookプラグインによる暗号化
エンクリプション・ポータル経由でメールを暗号化したい場合このボタンを押します。
Copyright © Clearswift 2017www.clearswift.com 30
暗号化の実施をユーザーへ促す
Encryption Promptにチェックが入っていれば、メールが組織外へ送信されようとしている場合、ダイアログを開きメールの暗号化の実施をするようユーザへ注意喚起をすることが出来ます。
Encryption Promptを有効にする。
Copyright © Clearswift 2017www.clearswift.com 31
Office365/Exchange 2016 – OWA画面
Copyright © Clearswift 2017www.clearswift.com 32
送信者へのメッセージ取り下げ通知
送信者は、メッセージが開かれているかどうかを見ることができ、メッセージをリモートで削除することもできます
Copyright © Clearswift 2017www.clearswift.com 33
メール送信直後の画面
受信者へ通知メールが送信されます。
Copyright © Clearswift 2017www.clearswift.com 34
エンクリプションポータルを新規に利用する受信者
ポータルにユーザー登録するためのURLリンクが記載されたメールが受信者へ届きます。
Copyright © Clearswift 2017www.clearswift.com 35
受信者のユーザー登録
初めてエンクリプション・ポータルへアクセスするユーザはユーザ登録をする必要があります。
Copyright © Clearswift 2017www.clearswift.com 36
エンクリプション・ポータル上でのメール閲覧
Copyright © Clearswift 2017www.clearswift.com 37
メールの開封を送信者へ通知
送信者へメール開封通知が送信されます。
Copyright © Clearswift 2017www.clearswift.com 38
閲覧されたメッセージを送信者側で確認
送信者へメール開封通知が送信されます。
閲覧や二次漏洩を防ぐために、この時点でメッセージをメールボックスから取り下げることができます。
Copyright © Clearswift 2017www.clearswift.com 39
メッセージが期限切れになる前にリマインダーを受信へ送信
ポータル内に保管しているメールがまだ開封されてない場合は、受信者へ通知メールを送信。
デフォルト30日間メールをポータル内に保管します。
Copyright © Clearswift 2017www.clearswift.com 40
受信者側画面のカスタム設定
• 表示言語の変更が可能
エンクリプション・ポータルは日本国内からでもご利用頂けます。※データセンターは英国、米国、カナダにあります。
Copyright © Clearswift 2017www.clearswift.com 41
送信方法
• デフォルトの配信方法はHTTP / Sを介したブラウザによる「プル」
• オプションで、受信者への配信方法をポータルからのプッシュ“に変更することも可能
• S / MIME証明書をSEGにインストールすれば、受信者は、S / MIME暗号化されたメッセージをポータル上の受信トレイで直接受信することが可能
Copyright © Clearswift 2017www.clearswift.com www.clearswift.com
監査Audit
Copyright © Clearswift 2017www.clearswift.com 43
監査証跡
エンクリプション・ポータルを経由したメールであっても、SEG上にログが残るため、メッセージトラッキング機能を利用して、過去にさかのぼり、配信されたメールを確認することが出来ます。
Copyright © Clearswift 2017www.clearswift.com www.clearswift.com
Appendix補足事項
Copyright © Clearswift 2017www.clearswift.com 45
S/MIMEとPGPの比較
S/MIME PGP
正式名称 Secure/Multipurpose Internet Mail Extensions Pretty Good Privacy
開発者 RSA Security社(現在はIETFが変更管理)Philip R. Zimmermann Jr.1991年初版公開
特徴S/MIMEでは、認証局(CA)により公開鍵の正当性を保証通常は商用認証局を利用
既に正当性を検証済みの第三者の秘密鍵で公開鍵が署名されていれば信用する公開鍵の正当性には限界
署名送信者は自身の秘密鍵を用いて署名受信者は送信者の公開鍵を用いて検証
送信者は自身の秘密鍵を用いて署名受信者は送信者の公開鍵を用いて検証
暗号送信者は受信者の公開鍵を用いて暗号化受信者は自身の秘密鍵を用いて復号化
送信者は受信者の公開鍵を用いて暗号化受信者は自身の秘密鍵を用いて復号化
その他不特定多数の相手とのやり取りに向く公開鍵の持ち主側が商用認証局等から鍵と証明書を入手する必要がある多くのメールクライアントが標準で対応
特定の相手とのやり取りに向く認証局は不要だが鍵の安全な保管が必要標準でサポートするメールクライアントは少ない
電子メールの暗号化と電子署名にはS/MIME(Secure/Multipurpose Internet Mail Extensions)とPGP(Pretty Good Privacy)がよく利用されています。それぞれ共通鍵暗号方式、公開鍵暗号方式、メッセージダイジェスト関数を利用して「署名機能」と「暗号化機能」を提供することにより、電子メールの盗聴、改竄、なりすましによるリスクを回避します。
S/MIMEとPGPの比較
Copyright © Clearswift 2017www.clearswift.com 46
MIKE - Mail Initiated Key Exchange MIKEを有効にすれば、外部パートナーに対して公開鍵の要求とプロビジョニングを許可し、電子メール暗号化の鍵交換メカニズムを提供することが出来ます。応答用アドレスに登録された宛先にメールリクエストを送ると、外部のパートナーに公開鍵を提供をします。
応答用アドレスにメールによるリクエストを送信することで公開鍵を受信します
例)[email protected]に対してPGP公開鍵を受信させたい場合以下の手順でメールを送信してください
• 件名に[email protected] PGPと記載(※1メールにつき1アドレスまで)• [email protected]宛にメールを送信する
Copyright © Clearswift 2017www.clearswift.com
ありがとうございました