システム管理者のための「メールセキュリティ」再整理：システムインテグレーションとセキュリティ（5）（2/2 ページ）

[渡辺徹（ラック），＠IT]

従来のメールセキュリティ

　はじめに、従来のメールセキュリティについて見てみましょう。2012年前後までは、メールのセキュリティに関するリスクは、大きく分類して以下の3種類が大部分を占めていました（もちろん、現在でもこれらのリスクがなくなったわけではありません）。

（ア）スパムやウイルスメール
（イ）誤送信
（ウ）悪意のないデータ持ち出し

　これらによって、以下のような事態が発生する可能性があります。

• 「メール経由でのウイルス感染」や「大量のスパムメール送受信」により、社内もしくは関係企業などに被害を与えてしまう
• 「社外秘の内容を顧客に送ってしまった」「見積書を別の会社に送ってしまった」など、メールの誤送信により情報が外部に漏えいしてしまう
• 業務で作成している文書を自宅のPCに送って作業を行った結果、情報が漏えいしてしまう（いわゆる「シャドーIT」のリスク）
• 退職者がメールシステムを利用でき、情報にアクセスできてしまう

　これらのリスクに対する運用上の対策では、「利便性を極力犠牲にしない」「コストを掛け過ぎずにミスを減らす」「効率的で必要最低限の出口対策を行う」の3つを考慮することが大切です。以下に、具体的な対策とその実現のためのポイントをまとめます。

• メール利用ルールを作成し、徹底する
  特に「社外宛てメール」については必ず宛先を再確認するようにする
• メール運用ルールを作成し、徹底する
  特に「アカウント管理」については退職者のアカウントの速やかな削除と定期的な棚卸しを行う
• メールの通過経路上でウイルスチェックを行う
  PCにウイルス対策ソフトを導入している場合にも、社外との送受信については別途ウイルスチェックの仕組みを実装する
• 社外宛てメールによる情報漏えい防止策として、監査ツールやカスタマイズにより、メール利用ルールをシステム的に実装する
  例えば、以下のようなチェックを行い、メールを「停止／保留／通知」するようにする。
  • メール本文や添付ファイル内の文言チェック
  • 宛先の数や種類（社内社外など）のチェック
  • 添付ファイルの種類や大きさのチェック、自動暗号化（大量の情報漏えいを抑止）
  • メールの一時保留（誤送信防止や上長確認）
  • インシデント発生時に調査できるように、「メール送受信ログ」や「送受信したメールの本体」を長期保管し、後から検索できるような運用機能を実装する

　対策の実現に当たっては、以下のような順序で作業を進めていきましょう。

• 守りたい情報資産をリストアップし、優先順位を決める
• メール利用ルールを策定する
• メール運用ルール（特にアカウントの管理ルール）を策定する
• メールの利用／運用ルールを必要最低限の範囲でシステム化し、トラッキングする
• 送受信ログや送受信メールの保管運用について必要最低限のシステム化を行い、トラッキングする
• 「上長の事前承認」「一時停止」「事後確認」などの対象となるメールを明確化し、必要最低限のシステム化を行い、トラッキングする

　ここで紹介したのは、近年では多くの企業で当たり前のように行われている、「防御と同時に、インシデントが発生したときには原因を調査できるようにする」 スタイルの対策です。これらはメールセキュリティ対策の基本となりますので、それぞれの組織に適した方法で運用し、定期的に改善を繰り返していきましょう。

近年のメールセキュリティ

　次に、近年のメールセキュリティについて解説します。最近は、外部からの悪意のあるサイバー攻撃が大きな問題になっています。

　攻撃には大きく「アプリケーションなどの脆弱（ぜいじゃく）性を狙ったWeb経由の侵入」と「メールによる侵入」の2種類がありますが、メールに関して特に注意が必要なのは、「標的型メール攻撃によるマルウェア感染」です。そこで、以下の4点を前述の「従来の対策」に加えることで、リスクを最低限に抑えます。なお、これらはメールに限らず、情報漏えい全般を防止する上で効果があります。

• 利用者への注意喚起と、セキュリティ意識を維持するための啓発活動を継続的に行う
  「知らない送信者や“フリーメール”からのメール、不自然な日本語のメールに注意すること」「添付ファイルやURLリンクを不用意に開かないこと」といった継続的な注意喚起、メール訓練を繰り返すことで、ユーザーのセキュリティ意識を維持するようにします
• フォルダには必要最低限のアクセス権限を設定する
  重要な情報資産を扱う共有フォルダは、アクセスできる利用者や操作権限を必要最低限に設定し、マルウェアの攻撃範囲を最低限に抑えます。その上で、重要な情報資産が正しい場所に保管され、適切な権限設定となるよう管理します。これは、内部犯行や誤操作による情報漏えい対策としても有効です
• ファイルの暗号化やアクセス制御
  重要な情報資産のファイルは、暗号化やアクセス制御により、万が一情報が外部に漏れた場合でも、簡単には利用できないようにします。対象ファイルを「いつ」「どこで」「誰が」利用したのかトラッキングできるようにするとなお良いでしょう
• 出口での多層防御
  侵入したマルウェアの出口対策として、「プロキシサーバ」「UTM（Unified Threat Management）」「次世代／L7ファイアウォール」「IDS/IPS」などによる通信制御やログの収集を行い、さらに情報の重要度合いに合わせて、エンドポイントでの対策ツールや、前述したファイル暗号化などを組み合わせ、多層防御で備えます

　標的型攻撃は、どれだけ運用担当者が努力をしても、利用者が十分に気を付けても、100％の防御はできませんので、「侵入を前提とした対策」が必要になります。「侵入されても早期に気付ける仕組みを作る」「万が一情報資産が流出しても、被害を最低限に抑える」という考え方で、追加の対策を施しましょう。

　以上、本稿では社内のメールシステムに関するセキュリティ対策のポイントを解説しました。情報セキュリティをめぐる状況は日々変化しており、今日まで有効だった対策も、明日には通じなくなってしまう可能性があります。従って、運用部門の担当者は、常に最新の知識を集め、トレンドに合わせた準備を行い、臨機応変に対応することが求められます。

　また、実際に発生するインシデントは社内の人間に起因するものが多いのが実情です。セキュリティ対策においては、「従来のメールセキュリティ」の部分で紹介したように、「利用ルール」「運用ルール」などを作成し、できる限りシンプルに、継続的に改善を繰り返すことが大切です。次回は、「企業のITインフラの運用とセキュリティ」について解説します。

著者プロフィール

▼渡辺　徹

1996年からエー・アンド・アイ システム株式会社（現株式会社ラック）で、

プロジェクトマネジャーとして、主に、コミュニケーション基盤の提案／構築／維持運用を担当。

2015年からは、新サービスの企画を行う部門にて、IoTやFinTech領域で日夜格闘中。