pr

いま、改めて問い直すメールアーカイブ戦略 複雑化する環境の中、効果の高い アーカイブとは

		業務メールの削除が「犯罪」に

　7月14日、日本振興銀行の前会長、木村剛氏が銀行法違反の容疑で逮捕された。2009年6月、金融庁が検査に必要な電子メールを準備しておくよう要請していたにもかかわらず、立ち入り調査の前に、業務に関するメール約280通を削除するよう指示し、検査を妨害した疑いだ。また金融庁の立ち入り調査中にも、同じ手口で、さらに400通以上のメールが削除されたという。一部の報道によると、メール削除作業に必要な手順やパスワードが、システム担当役員から組織的に伝えられていたということだ。

　この事件によって、改めて電子メールが持つ「証拠能力」が証明された。電子メールを消去することが、金融庁の検査を妨害する証拠隠滅行為と見なされているからだ。

　日常の業務を遂行する上で欠かせない電子メールは、そのまま、企業がどのような活動を行っているか、法に反する行為を行っていないかを示す鏡となる。逆に言うと、法的機関の要請に応じて、速やかに必要な情報――メールのアーカイブデータを提示できれば、清廉潔白を証明できるということでもある。

　米国では早くから、コンプライアンス（法規制遵守）の観点からメールのアーカイブに注目が集まっていた。具体的にはSOX法をはじめ、SEC（米証券取引委員会）、FINRA（米金融取引業規制機構）などの法令／規制によって、一定の基準を満たす企業には電子メールの長期保存（＝アーカイブ）が義務付けられている。

　メールアーカイブはまた、民事訴訟に備えて企業自身を守る手段としても注目されている。訴訟に際して、裁判所から関連する電子メールの開示請求がなされる可能性は少なくない。その際、迅速に定めた期日までに関連する電子メールを提出できないと、罰金を支払わねばならない羽目に陥る。逆に、電子メールを速やかに提出し、どのような取引を行ったのかを速やかに示すことができれば、疑いを晴らし、無用なトラブルから自社を守ることができる。

		情報漏えい対策の一環としてのアーカイブ

　一方日本では、若干状況が異なる。一時期大いに話題になったJ-SOX法では、メールアーカイブに関する要件は明確に記載されることはなかった。だが、だからといって国内でメールアーカイブの必要性が薄れたわけではない。

　日本ではむしろ、情報漏えい対策としてのメールアーカイブ導入が先行した感がある。電子メールを介した情報漏えいは少なくないが、万一事件が発生した際には、原因究明が急務となる。だが、クライアント側を1台1台調べていては手間が掛かる上に、証拠隠滅の恐れもある。そこで、「いつ、どのユーザーから、どのあて先に個人情報が送られたのか」と漏えい元を明確にたどれるよう、サーバ側で電子メールを保管しておきたいというニーズが高まった。

　また、電子メールの流れを常に監視しているという意識を従業員に持たせることで、故意の情報漏えいを未然に防ぐという「抑止力」に期待した企業も多い。

　このように国内では情報漏えい／セキュリティ対策としての意味合いが強かったメールアーカイブだが、先に述べた事件によって、企業の活動履歴を示す証拠としての電子メールの重要性がいよいよ浮上してきたと言えそうだ。

		アーカイブ選びのポイントとは

　では、どのようにメールを保管し、必要に応じて提出できる体制を整えておけばいいのだろうか。紙の書類ならばファイルに綴じて書庫などに保管する。電子メールの場合、データの長期保存を担ってくれるのが「アーカイブ」だ。

　アーカイブはしばしば「バックアップ」と混同されがちだが、この2つはそもそも目的が違う。バックアップは、障害などが発生した際への備えであり、速やかにシステムを元の状態に復旧することを目的としている。このため、データは常に最新のものが上書きされるようになっており、ユーザーが手動で過去に消去したメールなどがあると、その復元までは難しい。

　これに対してメールアーカイブは、企業がやり取りするメールを、添付ファイルも含めてすべて保存する。メールサーバと連動してメールを長期間にわたって保存し、基本的に上書きは行わない。

　製品の設定にもよるが、メールアーカイブでは基本的に年単位でデータを保管する。しかしこうなると、数年分という積もり積もったデータの中から目的とするメールを見つけ出すことになり、多大な手間が掛かる。ただでさえ、企業がやり取りするメールの量は加速度的に増加している。その中から、法的機関などの要請に応じて速やかに必要なメールを見つけ出すための仕組みが不可欠だ。

統制ニーズで注目の電子メールアーカイブ製品 - ＠IT情報マネジメント via kwout

　こう考えていくとメールアーカイブには、データを保管するという基本機能に加え、インデックス化と検索の機能が必須と言える。それも単純な文字列の検索では不十分だ。日付やタイトル、発信者名やあて先といった多様な要素を組み合わせ、目当てのメールを絞り込む機能があれば、提出までの時間を大きく短縮できるだろう。

　同時に、検査に当たる人物自身が不正を行うことのないよう、きちんとアクセス制限を掛け、また監査プロセスを支援する機能があることが望ましい。さらにアーカイブ製品の中には、削除や改ざんを防ぐ機能を備えた製品もある。こういった製品を導入すれば、たとえ前述の事件のように経営陣が証拠隠滅を図ろうとしても、システム上不可能になる。

　なおアーカイブは、監査以外にもいくつかの効果がある。まず、メールサーバ自身でデータを保管する代わりに、アーカイブを比較的安価なストレージに保存することによって、高速だが高価なストレージを使わなくて済むため、コストを削減できる。中には、データの圧縮機能や、より高度な重複排除機能を備えたものがあり、これらを活用すればストレージをさらに節約できる。こういった部分にも目を配りたい。

		これからのアーカイブに求められる要素とは

　さて近年、自社内にシステムを構築するやり方だけでなく、クラウドコンピューティングやSaaSといった選択肢が急速にクローズアップされている。その延長線上で、SaaSでメールをやり取りし、クラウド側にデータをアーカイブする、というソリューションもあり得るだろう。

　だがその場合、本当にデータが失われないか（逆に、データを消去する場合は、クラウド上のすべてのサーバから本当に削除されたか）、どの程度の期間にわたって保存可能かなどの条件を見極める必要があるだろう。

　また同時に、企業のコミュニケーション手段は多様化している。電子メールが業務を遂行する上で主要なツールであることに間違いはないが、環境によってはWebメールを使わざるを得ないこともあるだろうし、インスタントメッセンジャーやソーシャルネットワークといった、メール以外の手段を使って情報を伝達することも考えられるだろう。こうしたシーンを想定しながら、コミュニケーションとアーカイブに関する指針を定め、それに対応できる柔軟な仕組みが求められることになるだろう。

ソリューションFLASH Pick UP!

「溜める」から「使いこなす」へ アーカイブから始める、データ活用のためのインフラ構築 シマンテックの「Enterprise Vault」は、単にメールを効率よく保管することだけでなく、企業内に蓄積されるデータをどう活用するかをゴールに見据えた包括的なプラットフォームとして設計されている。 メールアーカイブ導入の決め手とは？ MailDepotならいえる「こんなこともあろうかと！」 メールアーカイブ製品の選択の決め手は企業によりさまざまだろう。SRAが提供するメールアーカイブソリューション「MailDepot」ならば、多くの企業のニーズに応えられるのではないか。本記事では活用シナリオとともに、同製品の開発者に、製品に込めた思いを聞いた。

提供：株式会社シマンテック
アイティメディア営業企画
制作：＠IT 編集部
掲載内容有効期限：2010年09月27日