添付ファイルによる情報漏えいリスクを軽減

NTTPCのメールセキュリティSaaSで
電子メールの誤送信を根絶しよう

ビジネスシーンでは、重要書類を添付した電子メールのやり取りが発生する。そのとき、メールアドレスや添付ファイルを間違えてしまったら、企業は大きな損失を生じるだろう。「うっかりミスなんて」とあなどることなかれ！情報漏えい事故の原因として、2004年度に過半数を占めていた「紛失」や「盗難」は2008年度には3割程度となり、それらに代わって「誤操作」が36％で1位となっている（JNSA調べ）。法人向け電子メールセキュリティSaaS（ホスティングサービス）の「Mail Luck!」が、新機能として添付ファイル付き電子メールの誤配信を防止する「添付ファイルの誤送信防止機能」を提供する。これまでの業務プロセスに負担を掛けずに、セキュアな添付ファイル付き電子メールのやり取りをどのように実現するのだろうか？

暗号化しても添付ファイルそのものの添付間違いは防げない

award 　NTTPCコミュニケーションズのメールセキュリティSaaS「Mail Luck!」は、ウイルスチェック機能やスパムフィルタ機能、メールアーカイブ機能、Webメールなどを備えた電子メールホスティングサービスだ。メールサーバ管理者の負担を増やすことなくセキュアな電子メール環境を提供する仕組みが支持され、RSA Conference Japan 2008ではNEW PRODUCTS & TECHNOLOGIES AWARD特別賞を受賞した。

　これに満足することなく、Mail Luck!はユーザーのニーズを汲み取り進化し続けている。いま、最も求められているのが「添付ファイル付き電子メールの誤送信による情報漏えいの防止」だ。

　ビジネスシーンでやり取りされる添付ファイルには、顧客情報や機密情報が含まれている。万が一、あて先を間違えたり、電子メールの送信経路上で盗聴・改ざんされたりした場合、企業は金銭面での損失もさることながら、顧客の信頼という大きな財産を失うこととなる。

「多くの企業で、添付ファイルの自動暗号化が行われています。しかしながら、これでは誤送信対策としては不十分です。機械的な仕掛けでは、添付ファイルそのものが間違っていても分からないからです」

　Mail Luck! プロダクトオーナーの及川光氏は、“人の目”による添付ファイル監査の重要性を強調する。あて先メールアドレスの制限やファイルの自動暗号化などによって、人為的ミスを減らすことができる。しかし、添付ファイルとしてやり取りされる伝票や仕様書などは、同じようなフォーマットの書類で作成されており、添付間違いをしても見過ごしてしまう。ここに落とし穴が潜んでいるのだ。

ビジネスの利便性を欠くことなく添付ファイル監査は可能だ

「添付ファイルの監査を行うというと、業務プロセスのスムーズさが損なわれると危惧されるかもしれません。Mail Luck! の『添付ファイルの誤送信防止機能』では、セキュリティと利便性のバランスを柔軟に調整できるようにし、エンドユーザーの負担を減らしつつ、きっちりとした添付ファイル付き電子メールの誤送信対策を実施できるような仕掛けとなっています」（及川氏）

　エンドユーザー（送信者）が添付したファイルは、Mail Luck! のメールサーバが自動的に電子メールから切り離し、専用のストレージに格納する。受信者には、本文にファイルの格納場所を示すURLが挿入された電子メールが届くので、監査のために情報が遅延することもない。

　同時に、送信者にはMail Luck! から添付ファイルのチェックを誰に依頼するかを確認する通知メールが届く。チェックを依頼された第三者（承認者）は、添付ファイルをストレージから実際にダウンロードし、内容を確認したうえで承認を行う。すると、Mail Luck! が電子メールの受信者に対して文書IDとパスワードを別メールで送信する。もしも添付ファイルが間違っていたら、ストレージから削除すればよい。

　なお、1通の電子メールに、複数のファイルが添付されていた場合、承認者はすべてのファイルをダウンロードしないと確認完了のボタンを押すことができない。また、複数のあて先メールアドレスを設定した場合、メールアドレスごとに異なるIDとパスワードが発行されるため、誰がファイルを受信したかが分かるようになっている。

　Mail Luck! がユニークなのは、添付ファイルを確認する第三者（承認者）をセキュリティポリシーによって柔軟に選択できることだろう。セキュリティを厳格に運用したい場合は、第三者（承認者）を上長やセキュリティマネージャにすればよい。業務のスピードを重視するのであれば、そばにいる同僚や自己承認でIDとパスワードを送信することもできる。

「自己承認では“緩い”と思われるかもしれません。しかし、誰が、いつ、どのファイルを確認したのかというログは記録されていますので、利用状況を監査し、問題があれば是正することもできます」（及川氏）

セキュリティマネージャによる第三者承認を必須とする場合の例。ポリシーに応じて承認者を選択制にしたり、自己承認制にしたりできる

添付ファイルをストレージで保管するメリット

　添付ファイルを電子メールから切り離し、ストレージで管理することによるメリットは、ファイルの正当性チェックだけに留まらない。

　どのような種類のファイルでもストレージに格納できる。例えば、10MBのファイルを添付しても、ユーザーのメールボックスの容量を圧迫しない。また、取引先や社内ユーザーから添付ファイル付き電子メールが送信されてきても、添付ファイルはMail Luck! のストレージに保管される。

　このほかにもメリットはあるが、詳細については2009年6月8日から12日まで、幕張メッセで開催されるRSA Conference Japan 2009のブース（NTTコミュニケーションズのブースの一角でMail Luck! が展示されている）、もしくはセキュリティソリューションクラスルーム（6月11日13時～、12日13時～）で実際に体験していただきたい。