2008年12月2日、梅田スカイルームにて「メールセキュリティセミナー2008 in 大阪」(主催:アイティメディア株式会社 @IT編集部)が開催された。@IT主催として2007年に引き続きメールセキュリティをテーマにしたイベントとなった。電子メールのセキュリティを軸とした各企業によるセッションの内容をいくつか紹介しよう。
| イベントレポート インデックス |
 アイアンポートシステムズ「メールを介した情報流出を防止 〜リスク軽減と生産性向上の実現〜」 |
| NTTPCコミュニケーションズ 「メール利用状況管理から始める、真のメールセキュリティ」 |
| バラクーダネットワークスジャパン 「電子メール保存の必要性とその手法 〜メールアーカイブとバックアップの違いについて〜」 |
 |
| セッション1:アイアンポートシステムズ | |
 |
メールを介した情報流出を防止 〜リスク軽減と生産性向上の実現〜 |
●メールによる情報漏えいは「過失」と「故意」で発生する
 |
アイアンポートシステムズ シニアSEマネージャ 花檀明伸氏 |
メールはビジネスの場でフルに活用されている。それだけに、メールが起点となる情報漏えい事件/事故もあとを絶たない。
メールによる情報漏えいにはBccで送るべきメールをTo、ccで送信してしまったり、間違ったメールアドレスへ送信してしまうなどの「過失で起きる情報漏えい」、そしてメールの盗聴や改ざん、悪意ある従業員による「故意による情報漏えい」が考えられる。これらに対し、情報漏えい事故に対する問題意識を社員教育で高めるとともに、システムでの対策を考えるべきである。
アイアンポートシステムズ株式会社 シニアSEマネージャ 花檀明伸氏は情報漏えい対策の必要性について、「法規制順守、利用規定順守、知的財産保護の3つの理由がある」と述べる。特に注目されるのは法規制順守であり、ここから外れたインシデントが発生した場合、企業のブランドイメージを傷つけることになる。そのためにも情報漏えい対策には現時点で考えられる最善をつくす必要がある。
メールによる情報漏えいを防ぐ場合には、メールサーバ1つのみを考えるのではなく、アーカイブやスパム、ウイルス対策製品、暗号化製品などメールを取りまく大きなシステム全体で対策を考える必要がある。アイアンポートのソリューションは、それらを1台のアプライアンスに集約することで、漏れがなく管理のしやすい仕組みを作るというものだ。
情報漏えい対策では「内から外への脅威」が中心となるが、前述の通りこれには過失と故意の2つに分けられる。これらの脅威に「IronPort Cシリーズ」では「コンテンツフィルタ」と「暗号化」で対策を行う。
まず「過失による情報漏えい」を防ぐコンテンツフィルタを見ていこう。社外に送信するメールに対して、Cシリーズでは「本文に“社外秘”という言葉がある」「パスワード保護されていないExcelシートが添付されている」「クレジットカード番号らしき16けたの数字が並んでいる」などの条件を設定し、それごとに「あらかじめ設定した免責事項の文章を追記する」「送信を一時保留する」「送信を行わない」などのアクションを定義できる。これらのルールはポリシーとして束ねることができるため、「“転職”という言葉が含まれるメールは送信禁止」とした場合でも、このようなメールを扱う必要のある人事部だけはルールを変更する、ということも可能だ。
また、「故意による情報漏えい」に対して有効なソリューションは暗号化だ。 例えば件名に「Secure」と付けられたものを暗号化処理するというように、このソリューションもコンテンツフィルタにて実装されており、条件に一致するメールを暗号化する。メールの暗号化は受け取り側での対処も必要なため普及があまり進んでいないが、Cシリーズでは「IronPort PXE暗号化テクノロジ」により、ゲートウェイにて暗号化を行い、受信者はWebブラウザを使って本文を見るような形になる。事前の公開鍵交換などは不要であるとともに、受信者がキーサーバにアクセスする方式となるため、受信者のキー取得状況から、送信者がメールの開封確認も行うことができる。さらにIronPort PXE暗号化テクノロジにより、誤送信してしまったメールに対しロックを行うことも可能だ。
ともするとメールの情報漏えい対策という「制限」をかけることで、従業員の生産性を下げてしまう場合もある。アイアンポートのソリューションはいままでのメールでは実現しにくかった確実な開封確認や誤送信メールの閲覧ロックなど、ビジネスユーザーにうれしい機能が利用できる。従業員の意識をいかに高められるかがポイントである情報漏えい対策において、このような「使って便利」な機能の存在は大きなポイントだろう。
| お問い合わせ先: jp-info@ironport.com | ||
|
||
| セッション2:NTTPCコミュニケーションズ | |
|
メール利用状況管理から始める、真のメールセキュリティ |
●メールセキュリティ対策はこの3ポイントで考えよ!
 |
NTTPCコミュニケーションズ ネットワーク事業部 バリューサービス部 執行役員 小山覚氏 |
メールセキュリティの現状を考えたときに、個人情報漏えい事故の現状を認識することが重要だ。件数は当然のように右肩上がりとなっているが、これは単に「増加している」という受け取り方ではなく、「1回の事故での件数が非常に大きい」ということに気付くと、なんらかの対策をすぐに打つべきであると実感できるだろう。
NTTPC コミュニケーションズ ネットワーク事業部 バリューサービス部執行役員の小山覚氏は「情報漏えいというインシデントを防止するのは、自社を守るためなのだ」と述べる。この点を最も理解しているのは経営者だ。事故が起きれば対策に追われ、経営責任を問われる立場となる。しかし情報システム担当者にとっては「どこまでの対策を行えばいいのか分からない」というのが現状だ。ガチガチに固めた自由度のないシステムを組むことも当然可能な立場にあるが、利便性を犠牲にしセキュリティレベルだけを上げたシステムを構築した場合、ユーザーは抜け道を見つけ、こっそりと利用するだろう。この状況では管理者もモニタリングできない。
小山氏は「セキュリティ対策のバランスが重要だ」と述べる。セキュリティと利便性のバランスをすべての人にとってのスイートスポットに収めるため、以下の3つのポイントが重要だとした。
- メールセキュリティの課題洗い出し
- 会社としての禁則項目の決定
- 「原則」と利便性に配慮した「例外」の策定
注目すべきは3.の例外策定だろう。単に「規則から外れることはすべて禁止」とするのではなく、正当な理由がある場合には制限を解除できるような例外、つまり“公式な逃げ道”を作ることにより、従業員の不満を軽減しつつ、かつシステム管理者のコントロール下に置くことができる仕組みが重要である。
この原則と例外の策定について、小山氏は「原則は『会社に甚大な損害がでる恐れのあるもの』、例外は『利便性低下が、売上の減退に直結するか』という観点で考えよ」と述べる。社外へ重要なファイルを送る際には暗号化を施しているか、持ち出しPCからメールにアクセスする場合に認証が行われているかというような、守らないことで取引先から契約解除させられる可能性があるものは原則として“徹底順守”させる。また社外からのメールアクセスを完全に禁止するなど、ともすると「営業機会の損失」につながるような可能性に対しては“部分的に許可”することで、コントロール下に置くようにする。このように原則と例外をあらかじめ策定することで、不満を抑えつつリスクマネジメントができる。
では、この例外の策定について「To、ccによるメールアドレスの漏えい」を例に見てみよう。この仕組みをNTT PCコミュニケーションズが提供する「MailLuck!」で実際に運用しているA社の事例として、まず原則として「To、ccに大量のあて先を入力したメールを社外に送ることは禁止」という周知を行い、3カ月モニタリングを行った。システムで制限を行わずともこの周知を行うだけでも効果があり、この期間で21件発生していたインシデントが9件にまで減少した。システム化はその9件ほどを対象として、対象のメールは一端保留、上長の承認で送信される設定を行い、運用を開始したという。
このような仕組みを実現できる背景には、NTT PCコミュニケーションズが持つ技術力がある。もともと大手プロバイダ向けに提供していたメールシステムという出自をもつ「MailLuck!」は、小山氏によると「ISPの裏メニューを提供する、いわば『まかないめし』」だという。メール管理者が欲しい機能を集めたサービスであるため、管理のための手間をいかに軽減できるかという設計になっていることが特長だ。小山氏はこのメールセキュリティ対策「3つのポイント」が実現できるMailLuck!を「メールサービスの検討時にはまず比較表に入れて欲しい」と述べた。
| お問い合わせ先: asp-staff@nttpc.co.jp | ||
|
||
| セッション3:バラクーダネットワークスジャパン | |
|
電子メール保存の必要性とその手法 〜メールアーカイブとバックアップの違いについて〜 |
●送信者が消すよりも先にアーカイブできますか?
 |
バラクーダネットワークスジャパン システムエンジニア 寺下理恵氏 |
メールシステムの大きな課題として管理者を悩ませるのは「メールアーカイブの必要性」だろう。メールアーカイブはバックアップのようなもの、と考えるのは早計で、単に「保存」さえすればいいというわけではない。
バラクーダネットワークスジャパン システムエンジニア 寺下理恵氏は「メールアーカイブはバックアップとは異なり、リアルタイムでの保存、具体的には『ユーザーが削除する前に』保存しなければならない」と指摘する。アメリカでは法令順守のためにメールアーカイブが必要とされており、最低5年間は電子記録を保存する義務がある。証拠として必要な情報なので、悪意あるユーザーが自分に不利となるメールを消すということも考えたシステムを作るべきなのだ。
バラクーダネットワークスが考える、メールアーカイブに必要な機能は以下の3項目だ。
- メールの取り出し、取り込み
- 現在のメールをリアルタイムでキャプチャ
- 過去のメールをインポート
- メールの保存
- 送受信されたすべてのメール(本文・添付ファイル)を保存
- 年単位におよぶ保存
- メールの検索
- 必要なメールを手軽に検索
では、メールアーカイブはどのように取得すればいいのだろうか。その方法は大きく「ジャーナルタイプ」「SMTPタイプ」「パケットキャプチャタイプ」の3つに分かれる。寺下氏は可能な限り「ジャーナルタイプ」を選択すべきであると述べる。その理由を見てみよう。
ジャーナルタイプのメールアーカイブを簡単に説明すると「送信、受信すべてのメールにBccを追加し、特定のアドレスにメールのコピーを送り続ける」というものだ。ジャーナルアカウントとしてメールアドレスを1つ用意し、メールサーバのジャーナル機能をオンにすれば設定は完了だ。この方式による大きなメリットは、ユーザーのメールクライアント(MUA)に対する設定変更が必要ないこと、そしてネットワーク構成もそのままの状態でメールアーカイブが実現できることだ。この方式はメールをホスティング業者に委託している場合でも実現が可能で、メールサービス自体はアウトソースしたまま、アーカイブデータだけを自社内に置くこともできる。
ジャーナルタイプの手法はスプール用のメールサーバ(MTA)にジャーナル機能を利用することで容易に導入が可能である。ジャーナル機能のないMTAを利用している場合はSMTPタイプを利用することになるが、この方式ではメールの送信サーバをすべてのクライアントで変更しなければならないケースがあるため、導入時の作業と理解が必須だ。
「Barracuda Message Archiver」はジャーナルタイプ、SMTPタイプそれぞれに対応できる、メールアーカイブに特化したアプライアンス製品だ。ジャーナルタイプおよびSMTPタイプに対応し、汎用的なメールサーバに対応するため、この1台を導入するだけでアーカイブに必要な機能を手に入れられる。メールアーカイブは内部統制対応という側面があり、管理者、経営者のためのものと受け取られがちであるが、Barracuda Message Archiverはメールバックアップの機能も充実しており、利用者からも過去のメールを手軽に取り出したり、検索できる。
メールアーカイブを導入するのであれば、単に法令順守のためだけではなく、利用者、管理者、経営者すべてにメリットがあるものを選ぶべきだろう。
| お問い合わせ先: jpinfo@barracuda.com | ||
|
||
提供:アイアンポートシステムズ株式会社
株式会社NTTPCコミュニケーションズ
バラクーダネットワークスジャパン株式会社
企画:アイティメディア 営業本部
制作:@IT 編集部
掲載内容有効期限:2009年01月31日
| イベントレポート インデックス |
 アイアンポートシステムズメールを介した情報流出を防止 〜リスク軽減と生産性向上の実現〜 |
| NTTPCコミュニケーションズ メール利用状況管理から始める、 真のメールセキュリティ |
| バラクーダネットワークスジャパン 電子メール保存の必要性とその手法 〜メールアーカイブとバックアップの違いについて〜 |
ゴールドスポンサー |
|
