ドメイン セキュリティの計画

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-02-27

ドメイン セキュリティは、S/MIME などのメッセージ レベルのセキュリティ ソリューションの代わりとして Microsoft Exchange Server 2007 および Microsoft Office Outlook 2007 が提供する、比較的コストの低い機能セットです。ドメイン セキュリティ機能セットを使用して、管理者は、ビジネス パートナーとのセキュリティで保護されたインターネット経由のメッセージ パスを管理できます。これらのセキュリティで保護されたメッセージ パスの構成後、認証された送信者からセキュリティで保護されたパスを使用して正常に届いたメッセージは、Outlook および Outlook Web Access インターフェイスで、ユーザーに対して "ドメイン保護" と表示されます。

ドメイン セキュリティは、相互認証と共にトランスポート層セキュリティ (TLS) を使用して、セッションベースの認証と暗号化を提供します。相互認証機能を備えた TLS は通常実装される TLS とは異なります。通常、TLS が実装されている場合、クライアントは、サーバー証明書を検証することにより目的のサーバーへの接続が安全に行われているか確認します。これは、TLS ネゴシエーションの一部として受け取られます。このシナリオでは、クライアントがデータを送信する前に、クライアントはサーバーを認証します。しかし、サーバーはクライアントとのセッションを認証しません。

相互 TLS 認証では、各サーバーは、別のサーバーによって提供された証明書を検証することで他のサーバーとの接続を確認します。このシナリオの、Exchange 2007 環境で確認済みの接続を経由して外部ドメインから受信したメッセージには、Outlook 2007 は "ドメイン保護" アイコンを表示します。

important重要 :
暗号化および証明書テクノロジの詳細な説明と概念については、このトピックでは説明しません。暗号化とデジタル証明書を使用したセキュリティ ソリューションを展開する前に、信頼、認証、暗号化の基本概念と暗号化に関連する公開キーおよび秘密キーの交換について理解しておくことをお勧めします。詳細については、このトピックの最後の一覧を参照してください。

TLS 証明書の検証

セキュリティ全体と TLS で相互送信した結果として生じる信頼関係について理解するには、基になる TLS 証明書がどのように検証されるか理解しておく必要があります。

Exchange 2007 には、TLS 証明書を作成、要求、および管理するための一連のコマンドレットがあります。既定では、これらの証明書は自己署名入りです。自己署名入りの証明書は、証明書の作成者によって署名された証明書です。Exchange 2007 では、自己署名入り証明書は、基になる Microsoft Windows 証明書 API (CAPI) を使用して Microsoft Exchange を実行しているコンピュータによって作成されます。自己署名入り証明書のため、作成された証明書は、公開キー基盤 (PKI) またはサード パーティの証明機関 (CA) によって生成された証明書よりも信頼性が低いです。そのため、自己署名入りの証明書は内部メールのみに使用することをお勧めします。代わりに、セキュリティ保護されたドメインを介して手動で電子メールを交換する受信側の組織が、受信エッジ トランスポート サーバーのそれぞれの信頼されているルート証明書ストアに自己署名入り証明書を追加した場合には、自己署名入り証明書は明示的に信頼されます。

インターネットを通過する接続では、PKI またはサード パーティの CA を使用した TLS 証明書を生成するのがベスト プラクティスです。信頼された PKI またはサード パーティの CA を使用して TLS キーを生成すると、ドメイン セキュリティ全体の管理を削減できます。信頼された証明書およびドメイン セキュリティに関するオプションの詳細については、「ドメイン セキュリティのためにエッジ トランスポート サーバーの PKI を有効にする方法」を参照してください。

独自の PKI またはサード パーティの CA に対する証明書要求を生成するため Exchange 2007 証明書コマンドレットを使用できます。詳細については、「TLS の証明書または証明書の要求の作成」を参照してください。

ドメイン セキュリティを構成する方法の詳細については、以下を参照してください。

Exchange Hosted Services の使用

メッセージレベルのセキュリティは、Microsoft Exchange Hosted Services により拡張され、また Exchange Hosted Services のサービスとして利用可能です。Exchange Hosted Services は、次の 4 つの個別のホスト サービスで構成されています。

  • Hosted Filtering は、電子メールから感染するマルウェアから組織を保護します。
  • Hosted Archive は、規制準拠のための保存要件に対応するために役立ちます。
  • Hosted Encryption は、データを暗号化して機密を保持します。
  • Hosted Continuity は、緊急事態の発生中と発生後に電子メールへのアクセスを維持します。

これらのサービスは、社内で管理される任意の Exchange サーバーか、サービス プロバイダから提供される Hosted Exchange の電子メール サービスと統合されます。Exchange Hosted Services の詳細については、Microsoft Exchange Hosted Services に関するページを参照してください (このサイトは英語の場合があります)。

詳細情報

暗号化と証明書テクノロジおよび概念の詳細については、次のリソースを参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。