“SI視点”でセキュリティのポイントを解説する本連載。第5回は、「メールシステム」のセキュリティについて、考慮すべきポイントを整理します。
社内システムの開発・運用に携わる方々に向けて、セキュリティ対策のポイントを解説する本連載。前回は、ユーザー部門が作成したアプリケーションをメンテナンスする際に注意すべき事項について紹介しました。
今回と次回は、システムの「運用」の視点から考慮すべきセキュリティ上のポイントについて解説します。始めのテーマは、「メールシステムの運用におけるセキュリティ上のポイント」です。顧客の社内情報系インフラに長年携わってきた筆者の経験を踏まえつつ、企業の「メールシステム」を運用する上でのセキュリティ上のポイントについて、運用者視点で解説します。
1990年代に国内の大企業で社内コミュニケーションのシステム化が進んで以来、メールは企業や各種の団体において、幅広く活用され続けています。メールが活用される場面は、大きく分けて以下の3つです。
(ア)企業や団体間のコミュニケーション
(イ)企業と顧客の間のコミュニケーション
(ウ)社内のコミュニケーション
これらの場面で、メールは単純にメッセージを送受信する以外にも、さまざまな目的で使われています。例えば、以下のような用途があります。
このように、メールはただメッセージをやりとりするだけではなく、いろいろな活用が可能なコミュニケーションツールです。
ところが、そんな“万能コミュニケーションツール”のメールですが、「運用者の視点」で捉えると、見え方が変わってきます。運用者からすれば、メールは万能ゆえに「好き勝手に使われてしまうツール」というのが実感に近いといえます。例えば、運用者の視点で見れば、メールシステムの運用に関しては以下のような課題があります。
(ア)システムリソース不足や過負荷の問題にどう対処するか
(イ)利用者からのより高い利便性やきめ細かなサポートへの要求にどう対応するか
(ウ)ウイルスや情報漏えいなどのセキュリティリスクにいかに対処するか
このうち、(ア)や(イ)に関しては、以下のようなケースがあります。
筆者の経験上、メールシステムがユーザーにとって便利になり、活用されればされるほど、運用担当者の苦労は増えていきます。トラブルやユーザーからの要望など、何かが起きる度に、ルールの追加や設定変更、システム構成の変更、サーバやネットワークの増強、各種カスタマイズなど、運用担当者が作業を行う必要があります。
ただし、近年ではサーバやストレージ、ネットワークなどのシステムリソースが安くなったことや、企業でもクラウドサービスを活用できるようになってきたことなどにより、こうした運用者の苦労も軽減されてきています。
ところが、(ウ)のセキュリティリスクについては、軽減するどころかますます増大しています。メールに端を発する情報漏えいなどの事故については、皆さんもよくご存じでしょう。そこで以下では、メールシステムのセキュリティを、昔から存在する“内部起因のリスク”に対する「従来のメールセキュリティ」と、近年特に大きな被害をもたらしている“外部からの攻撃”に対する「近年のメールセキュリティ」に分けて、整理してみます。
Copyright © ITmedia, Inc. All Rights Reserved.