オーストラリア政府の電子メール送信に TLS 暗号化を要求する

この記事では、セキュリティの機密情報の保護に役立つトランスポート層セキュリティ (TLS) の使用に関するオーストラリア政府機関向けのガイダンスを提供します。 その目的は、政府機関が暗号化要件を理解し、それらを満たすように Microsoft 365 を構成する方法を理解できるようにすることです。 この記事のガイダンスは、 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) に記載されている要件に最も沿うように記述されています。

トランスポート層セキュリティ (TLS) は、このコンテキスト内で、転送中に電子メールを保護するために使用される暗号化の一種です。 TLS は メール サーバー で適用され、ユーザーまたはクライアント レベルではなく、 サーバーから送信されたすべてのメールに適用されます。 Microsoft 365 の TLS の詳細については、「Exchange Onlineが TLS を使用して電子メール接続をセキュリティで保護する方法」を参照してください。

TLS は日和見的です。つまり、Exchange Onlineは常に最も安全なバージョンの TLS を使用して接続を暗号化し、送信者と受信者の両方が同意するものが見つかるまで TLS 暗号の一覧を下に移動します。 Opportunistic TLS を使用すると、メッセージが電子メール転送で可能な限り最高レベルに暗号化されます。

既定では、Exchange Onlineでは TLS の日和見が有効になっています。これは、次の Information Security Manual (ISM) 要件を満たしています。

Opportunistic TLS の構成については、 ASD の Secure Cloud のブループリントでも説明されています。

暗号化されていないメールのリスク

TLS の日和見的な性質の欠点は、必須ではないということです。 受信メール サーバーで TLS が有効になっていない場合は、TLS 暗号化なしでメールを送信できるため、プレーンテキスト コンテンツが傍受および解釈される可能性が高くなります。 これは製品の欠陥ではなく、電子メール セキュリティの進化の症状です。 すべてのメール送信に対して TLS 暗号化を管理すると、TLS 対応ではない電子メール サービスのごく一部に対してメールが失われたりブロックされたりする可能性があります。

オプションの TLS 暗号化のリスクを評価するために、メール管理者は Exchange オンライン送信メッセージ レポートを定期的に確認する必要があります。これにより、TLS 暗号化の有無にかかわらず送信されるメールの割合の概要が提供されます。 詳細については、「Exchange Online.. のメッセージ レポート」を参照してください。

機密情報またはセキュリティの機密情報に対して電子メール暗号化をオプションで保持すると、情報の損失のリスクが高まります。 保護 セキュリティ ポリシー フレームワーク (PSPF) のセクション 9.3 からの送信要件と共に、このリスクを考慮する必要があります。

政府機関は、日和見 TLS に関連するリスクを軽減するための方法を検討する必要があります。 戦略には、次のものが含まれます。

• すべての送信メールに 強制 TLS アプローチ を使用する。 これにより、適用された秘密度ラベルやアイテムコンテンツに関係なく TLS 暗号化が保証されますが、一部のアイテムでは配信不能の可能性があります。 この方法の詳細については、「Office 365でExchange Onlineの強制 TLS を設定する方法」を参照してください。
• 定義済みの組織の一覧間の通信に TLS を必要とするパートナー コネクタ のセットの使用。 この方法では、固定組織間の通信をセキュリティで保護しますが、組織の一覧の外部の受信者に情報が送信される場合、TLS 暗号化は必須になりません。 この方法の詳細については、「Exchange Onlineでパートナー organizationを使用してセキュリティで保護されたメール フロー用のコネクタを設定する」を参照してください。
• セキュリティで分類された電子メールに TLS を必要とするExchange Onlineトランスポート構成の使用。 この方法は、一連のパートナー コネクタを補完して、セキュリティで分類されたすべての項目が PSPF 暗号化要件に合わせて確実に送信されるようにすることができます。

多くの政府機関、特にサービスベースの機関にとって、情報の大部分は OFFICIAL カテゴリに分類され、この量の電子メールに強制 TLS アプローチを利用すると、TLS を持たない個人や組織とのビジネスに大きな影響を与える可能性があります。 ビジネス ニーズに対応したリスクベースのアプローチが推奨され、多くの組織では、強制 TLS アプローチの使用が妨げられる可能性があります。 よりわかりやすいアプローチには、パートナー コネクタとトランスポート ベースの構成の両方の使用が含まれる可能性があります。

セキュリティで保護されたクラウドの ASD のブループリント には、OFFICIAL に TLS を要求するトランスポート ルールの構成に関する情報が含まれています : 機密または保護された電子メール。 この構成については、次のセクションで詳しく説明します。

セキュリティで分類された電子メールの TLS を管理する

Exchange オンライン メール フロー ルールを作成して、特定の秘密度ラベルが適用されたメールに対して TLS 暗号化を要求できます。 これを実現するには、まず、関連するラベルが適用されたアイテムを識別する必要があります。

秘密度ラベルがメールに適用されると、電子メールのヘッダーに配置される一連のメタデータがあります。 ラベル情報を含むヘッダーには msip_labels という名前が付けられ、項目に適用されたラベルに対応するラベルグローバル一意識別子 (GUID) が含まれています。

環境のすべてのラベル GUID を取得するには、 セキュリティとコンプライアンスの PowerShell を 使用できます。 環境のラベルと関連する GUID を表示するには、次を使用します。

Get-label | select displayname,guid

関心のある GUID は、サブラベルを含む機密ラベルと保護されたラベルの公式の GUID です。

取得したラベル名と GUID は、Exchange メール フロー ルールの構成に使用できるように記録する必要があります。

メール フロー ルールの作成に関する一般的なガイダンスについては、「Exchange Onlineでのメール フロー ルールの管理」を参照してください。

管理者は、Exchange Online 管理 センターを使用して、msip_labels ヘッダーを検索するメール フロー ルールを作成する必要があります。 1 つのメール フロー ルールを使用して、複数のラベル GUID のチェックできます。 ルールを作成するときに、ラベル GUID の後に Enabled=True を含めます。 次の例では、環境内の PROTECTED ラベル (情報管理マーカーと警告を含む) の 6 つのバリエーションを確認します。

メール フロー ルールアクションは、 メッセージのセキュリティを変更するように設定する必要があります。 TLS 暗号化が必要です。

次の例では、PROTECTED ラベルの 6 つのバリエーションのラベル GUID をチェックし、ラベルが適用された電子メールの送信に TLS 暗号化が必要です。

TLS を要求するためのメール フロー ルールの例

このメール フロー ルールは、セキュリティで分類された、または機密性の高い電子メールが TLS 暗号化なしでインターネット経由で送信されるのを防ぐことを目的としています。