17.9 S/MIMEセキュアメッセージを送信する

セキュリティ保護ソフトウェアがインストールされている場合、GroupWiseはそのソフトウェアと連携してセキュリティ保護項目を送信します。

17.9.1 要件

この項で説明するセキュリティ機能は、Microsoft Cryptographic APIを使用し、完全なRSAまたはAES (あるいはその両方)をサポートするどの暗号化プロバイダでも利用できます。

セキュリティの追加

送信する項目には、デジタル署名や暗号化によってセキュリティを追加することができます。項目にデジタル署名を行うと、受信者はその項目が途中で改ざんされていないこと、および署名者から送信されたものであることを確認できます。項目を暗号化すると、その項目を読ませたい受信者だけが読めるようにすることができます。

GroupWiseを使って署名または暗号化すると、受信者は他のS/MIMEが有効な電子メールプログラムを使って項目を読むことができます。

セキュリティ証明書を理解する

セキュリティ証明書は個人または組織を識別するファイルです。セキュリティ保護項目を送信する前に、セキュリティ証明書を取得しておく必要があります。Webブラウザを使用して、独立系認証局から証明書を取得します。認証局のリストについては、GroupWise仕様ページを参照してください。

セキュリティ証明書の検索にLDAPを使うこともできます。

送信する項目にデジタル署名を行うには、セキュリティ証明書を使用します。他のユーザから受信したデジタル署名された項目を検証するには、そのユーザのパブリックセキュリティ証明書を使用します。

項目を暗号化し、受信者に復号化させるには、そのユーザのパブリックセキュリティ証明書をすでに受信している必要があります。このセキュリティ証明書の要素をパブリックキーといい、項目を暗号化するために使用されます。受信者が暗号化された項目を開くときには、プライベートキーというセキュリティ証明書の要素を使って暗号を解読します。

ユーザのパブリックセキュリティ証明書を取得する方法には2つあります。

  • ユーザはデジタル署名した項目を送信することができます。項目を開くと、セキュリティ証明書を追加、信用することを求めるメッセージが表示されます。

  • ユーザはパブリック証明書をエクスポートしたり、ディスクや外部ドライブに保存したり、送信したりできます。受信者はパブリック証明書をインポートすることができます。

セキュリティ保護項目を受信する

項目リストでは、セキュリティ保護項目には次のようなアイコンが表示されます。

アイコン

説明

署名された項目を示します。

暗号化された項目を示します。

署名され、暗号化された項目を示します。

セキュリティサービスプロバイダを使用する

インストールしているセキュリティソフトウェアに応じて、送信する項目に対して異なるセキュリティサービスプロバイダを選択できます。たとえば、社内の業務上必要な暗号化と、個人的な目的で項目を送信する場合の暗号化では、選択するセキュリティサービスプロバイダが異なります。セキュリティオプションの種類も、選択したセキュリティサービスプロバイダによって異なります。

詳細については、セキュリティサービスプロバイダを選択するを参照してください。

詳細情報

GroupWiseは、S/MIMEバージョン2および3の仕様と互換性があります。GroupWiseがサポートするセキュリティサービスプロバイダは、一般的な暗号化アルゴリズム(RC2、RC4、およびWindows 7以降の場合はAESなど)を使用しています。項目をデジタル署名すると、GroupWiseは標準のアルゴリズムSHA-1を使って、その項目をハッシュしてメッセージダイジェストにします。メッセージダイジェストは送信される項目と共に配布されます。

詳細については、セキュリティサービスプロバイダを選択するを参照してください。

17.9.2 メッセージをデジタル署名または暗号化する

項目を暗号化し、受信者が復号化できるようにするには、その受信者のパブリックセキュリティ証明書を受信している必要があります。

  1. セキュリティ証明書があること、および使用したいセキュリティサービスプロバイダを選択していることを確認してください。

  2. 項目ビューを開きます。

  3. 宛先フィールドをクリックし、ユーザ名を入力して、<Enter>キーを押します。複数のユーザを指定する場合は、各ユーザに対して同じ手順を繰り返します。

  4. 項目にデジタル署名するには、をクリックします。

  5. 項目を暗号化するには、をクリックします。

  6. 件名とメッセージを入力します。

  7. ツールバーの送信をクリックします。

    項目を送信しようとすると「受信者の証明書が見つかりません」というメッセージが表示される場合、次のいずれかの理由による可能性があります。1)ある受信者のために項目を暗号化しようとしているが、その受信者のパブリック証明書を取得していない。2)パブリック証明書の電子メールアドレスと受信者の電子メールアドレスが一致しない。3)受信者のパブリック証明書に電子メールアドレスがなく、受信者の電子メールアドレスを検証できない。

    1)の場合は、受信者のパブリックセキュリティ証明書を取得する必要があります。2)または3)の場合は、証明書を検索をクリックして、受信者の証明書を検索します。

17.9.3 すべてのメッセージをデジタル署名または暗号化する

すべてのメッセージをデジタル署名または暗号化する:

  1. ツール>オプションの順にクリックします。

  2. セキュリティをダブルクリックし、送信オプションタブをクリックします。

  3. デジタル署名または受信者に対して暗号化するを選択します。

  4. 詳細送信オプションをクリックして、オプションを選択します。

  5. OKを2回クリックし、閉じるをクリックします。

17.9.4 認証局からセキュリティ証明書を取得する

ほとんどの企業では、GroupWiseのローカル管理者がセキュリティ証明書を発行します。どこでセキュリティ証明書を取得すべきかわからない場合は、GroupWiseのローカル管理者に問い合わせてください。

  1. ツール>オプションの順にクリックします。

  2. 証明書をダブルクリックします。

  3. 証明書の取得をクリックします。

    Webブラウザが起動し、認証局のリストが記載されている GroupWiseのWebページが表示されます。このリストには一部の認証局しか記載されていませんが、GroupWiseでは広範囲な認証局がサポートされています。

  4. 使用する認証局を選択し、Webサイトの指示に従います。

    証明書の取得にInternet Explorerを使用した場合、その証明書はGroupWiseで利用できます。証明書の取得にFirefoxまたはChromeを使用した場合は、ブラウザから証明書をエクスポートまたはバックアップする必要があります(方法については、ブラウザーのマニュアルを参照してください)。詳細については、セキュリティ証明書をインポートまたはエクスポートするを参照してください。

  5. GroupWiseで、ツール>オプションの順にクリックし、セキュリティをダブルクリックして、送信オプションタブをクリックします。

  6. セキュリティサービスプロバイダの選択にある[名前]ドロップダウンリストから、Microsoftベース暗号化プロバイダまたはMicrosoft拡張暗号化プロバイダを選択します。

    使用している証明書の暗号化強度に基づいて、適切なセキュリティサービスプロパイダを選択します。証明書の暗号化強度は、証明書の取得に使用したブラウザの暗号化強度によって異なります。たとえば、Internet Explorerに128ビット暗号化機能をインストールした場合、暗号化強度は高く、Microsoft拡張暗号化プロバイダでのみ機能します。

  7. OKをクリックします。

  8. 証明書をダブルクリックし、使用する証明書をクリックして、デフォルトに設定をクリックします。

  9. OKをクリックし、閉じるをクリックします。

17.9.5 セキュリティサービスプロバイダを選択する

  1. メインウィンドウで、ツール>オプションの順にクリックします。

  2. セキュリティをダブルクリックし、送信オプションタブをクリックします。

  3. 名前ドロップダウンリストからセキュリティサービスプロバイダを選択します。

  4. OKをクリックし、閉じるをクリックします。

選択したセキュリティサービスプロバイダは、そのプロバイダにログインするとすぐに有効になります(ログインが必要な場合)。使用可能なオプションや暗号化の方法は、選択したセキュリティサービスプロバイダによって異なります。

セキュリティサービスプロバイダのオプションを個々の項目で選択することはできません。これらのオプションは、メインウィンドウから選択する必要があります。

17.9.6 デジタル署名項目のセキュリティ証明書を選択する

デジタル署名するセキュリティ証明書を選択する:

  1. ツール>オプションの順にクリックします。

  2. 証明書をダブルクリックします。

  3. 証明書名をクリックします。

  4. デフォルトに設定をクリックします。

  5. OKをクリックし、閉じるをクリックします。

17.9.7 LDAPを使用して、受信者の暗号化証明書を検索する

セキュリティ証明書の検索にLDAPディレクトリサービスを使用する前に、LDAPディレクトリサービスをGroupWiseのアドレス帳に追加しておく必要があります。詳細については、ディレクトリサービスアドレス帳に追加するを参照してください。

  1. ツール>オプションの順にクリックし、セキュリティをダブルクリックします。

  2. 送信オプションタブをクリックします。

  3. 詳細送信オプションをクリックします。

  4. LDAPアドレス帳に定義されているデフォルトのLDAPディレクトリ内で受信者の暗号化証明書を検索するを選択します。

  5. OKを2回クリックし、閉じるをクリックします。

17.9.8 項目の暗号化に使用される方法を選択する

  1. ツール>オプションの順にクリックします。

  2. セキュリティをダブルクリックし、送信オプションタブをクリックします。

  3. 詳細送信オプションをクリックします。

    使用可能な場合は受信者の優先暗号化アルゴリズムを使用: GroupWiseは、使用可能であれば、受信者の優先暗号化アルゴリズムを使用します。

    LDAPアドレス帳に定義されているデフォルトのLDAPディレクトリ内で受信者の暗号化証明書を検索する: GroupWiseは、定義されたLDAPアドレス帳を使用して、受信者の暗号化証明書を見つけようとします。

    デフォルトの暗号化アルゴリズム: 暗号化項目ボックスにある[暗号化アルゴリズム]ドロップダウンリストはスクロールでき、GroupWiseクライアントを実行しているワークステーションにインストールされているWebブラウザのバージョンでサポートされているすべての暗号化アルゴリズムが含まれています。次のリストは、一例です。

    • 3DES (168ビット)

    • DES (56ビット)

    • RC2 (128ビット)

    • RC2 (40ビット)

    • RC2 (56ビット)

    • RC2 (64ビット)

    • RC4 (128ビット)

    • AES (128ビット)

    • AES (256ビット)

    次の暗号化アルゴリズムで署名付き項目をブロードキャストする: 暗号化された項目を送信する際に、使用したい暗号化アルゴリズムを指定できます。

    メッセージ部をクリアテキスト形式で送信する(クリア署名): メッセージをクリアテキスト形式で送信します。これを選択しない場合は、PKCS7エンコードのメッセージとして送信されます。

    認証局の証明書を含める: 送信するメッセージに認証局の証明書を含めます。

    受信/送信するセキュリティ項目が認証取り消しに相当するかどうかを確認する: 送受信するセキュリティ項目を証明書取り消しリストで確認します。

    取り消しサーバがオフラインの場合は警告する: GroupWiseがチェックしたときに、取り消しサーバがオフラインだった場合には警告されます。

    証明書に認証取り消し情報がない場合は警告する: 証明書内に証明書取り消し情報がない場合は警告を受け取ります。

    証明書がS/MIMEに準拠しているかどうかチェックしない: 証明書がS/MIMEに準拠しているかどうかチェックしません。

    証明書がS/MIMEバージョン2に準拠しているかどうかチェックする: 証明書がS/MIMEバージョン 2規格に準拠しているかどうかチェックします。

    証明書がS/MIMEバージョン3に準拠しているかどうかチェックする: 証明書がS/MIMEバージョン 3規格に準拠しているかどうかチェックします。

  4. 暗号化項目グループボックスで各項目を選択します。

  5. OKを2回クリックし、閉じるをクリックします。

使用可能な暗号化方法は、選択したセキュリティサービスプロバイダによって異なります。

17.9.9 項目のデジタル署名が検証されたかどうかを確認する

デジタル署名が検証されたかどうかを確認する:

  1. 受信したデジタル署名付き項目を開きます。

  2. ファイル>セキュリティのプロパティの順にクリックします。

  3. タブをクリックして、使用されたセキュリティ証明書の情報を表示します。

項目を開くと、デジタル署名が検証されます。項目に署名した証明書に疑わしい点がある場合は、警告またはエラーがただちに表示され、項目のステータスバーに「信頼なし」と表示されます。

デジタル署名が検証されなかった場合は、セキュリティ証明書が無効であるか、項目の送信以後にメッセージテキストが変更されている可能性があります。

17.9.10 受信したセキュリティ証明書を表示して信頼性を変更する

受信したセキュリティ証明書を表示して信頼性を変更する:

  1. 完全なフォルダリストで連絡先をクリックします。

    完全なフォルダリストにアクセスするには、フォルダリストヘッダドロップダウンリスト(フォルダリストの上にあり、実行しているGroupWiseのモードを示すオンラインまたはキャッシングが表示されているはずです)をクリックします。続いて、完全なフォルダリストをクリックします。

    または

    アドレス帳を開きます。

  2. 連絡先をダブルクリックして、詳細タブをクリックします。

  3. 証明書の管理をクリックします。

  4. 証明書をクリックして、詳細表示をクリックします。

はじめは信頼していなかった受信者のセキュリティ証明書を信頼したい場合は、その受信者からのデジタル署名付き項目を開き、セキュリティ証明書をクリックします。次に、信頼性を変更をクリックし、信頼性オプションをクリックして、OKをクリックします。

受信者のセキュリティ証明書を信頼する必要がなくなった場合は、セキュリティ証明書をクリックし、削除をクリックして、はいをクリックします。

受信者のセキュリティ証明書をリストから削除すると、証明書データベースからも削除されます。以降、削除したセキュリティ証明書を使用している項目を受信すると、不明な送信者と見なされます。

17.9.11 独自のセキュリティ証明書を表示する

自分のセキュリティ証明書を表示する:

  1. ツール>オプションの順にクリックします。

  2. 証明書をダブルクリックします。

  3. 証明書をクリックして、詳細表示をクリックします。

セキュリティ証明書が複数ある場合は、デフォルトのセキュリティ証明書にチェックマークが付きます。デフォルトを変更するには、証明書をクリックして、デフォルトに設定をクリックします。

セキュリティ証明書の名前を変更するには、プロパティの編集をクリックし、証明書名フィールドでテキストを編集します。証明書の名前はリストに反映されますが、実際の証明書には保存されません。

17.9.12 セキュリティ証明書をインポートまたはエクスポートする

プライベートキーがあるセキュリティ証明書をファイルにエクスポートすると、エクスポートしたファイルを保護するためのパスワードが必要になります。エクスポートしたファイルをバックアップコピーとして使用したり、他のワークステーションにインポートすることができます。他のユーザがそのファイルと、それに関連付けられたパスワードを取得すると、項目にユーザの名前でデジタル署名したり、ユーザが受信する暗号化された項目を読むことができるようになります。

パブリック証明書をエクスポートするときには、他のユーザに証明書を送信できます。そのユーザは、送信されてきたパブリック証明書をインポートし、暗号化された項目を送り返すことができます。

  1. ツール>オプションの順にクリックします。

  2. 証明書をダブルクリックします。

  3. インポートまたはエクスポートをクリックします。

    または

    認証局の証明書をクリックし、インポートまたはエクスポートをクリックします。

  4. パス名を含むファイル名を入力します。

    参照をクリックして証明書ファイルを検索し、ファイル名をクリックして保存または開くをクリックすることもできます。

  5. 必要であれば、証明書のパスワードを入力します。

  6. OKをクリックします。