大手ゼネコンやハウスメーカーが実践、事例で見るメールセキュリティ強化術メールセキュリティ強化で課題になりやすいポイントを解決

日々やりとりされる「メール」は、誤送信といったミスが重大なセキュリティインシデントにつながることがあり、コンプライアンスやガバナンスへの対応が求められる。そこで重要になるのが、利便性を維持した状態で、セキュリティを強化することだ。本稿では、メールセキュリティ強化術と併せて、企業によって異なるメールシステムにも柔軟に対応できるメール誤送信対策やメールアーカイブなどを使って、メールセキュリティを強化した大手エネルギー関連企業や大手ハウスメーカーの事例を紹介する。メールセキュリティに悩んでいる企業は、参考にしてみたらいかがだろうか。

» 2019年03月29日 10時00分 公開
[PR/@IT]
PR

「かゆいところに手が届かない」――メールセキュリティ強化で課題になりやすい点とは

ソースポッド 営業部マネージャー シニアコンサルタントの水野真孝氏

 メールシステムをクラウド化する企業が一般化してきた。Office 365やG Suite、IBM Verseといったクラウドサービスを採用することで、デバイス問わずいつでもどこでも、メールを閲覧、返信できるようになり、生産性が大きく向上した企業も多いはずだ。

 ただ、クラウドメールにはそうしたメリットがある一方、どのようにメールセキュリティを担保すればいいのかという課題も同時に発生する。例えば、クラウドメールによっては、基本的な機能としては十分なものの、企業で求められる対策に一部そぐわない仕様で機能が実装されていたり、ユーザーの使い勝手に少しクセがあったりする場合がある。また、メールセキュリティサービスを導入するに当たり、必要以上に費用が発生してしまうケースもある。

 例えば、グループ会社の一部で新たなクラウドメールを使い始め、他のグループ会社や関連会社では従来のメールシステムを利用している場合、異なるメールシステム間で全社的に統一したセキュリティポリシーを適用する必要がある。そのためには、連携するメールシステム全てに対応したメールセキュリティサービスを導入する必要があるが、オンプレミスやホスティングで使っているメールシステムと連携できるサービスが見つからない可能性がある。

 クラウドメールセキュリティサービスの提供およびそれらの導入コンサルティングなどを展開するソースポッド シニアコンサルタントの水野真孝氏(営業部マネージャー)によると、メールセキュリティを強化するに当たり、特に問題になりやすいのがメール誤送信対策とメールアーカイブだという。

メール誤送信対策の課題

 メール誤送信対策とは、メールを送信する前にユーザーに意識付けをする仕組みや、送信の一時保留、添付ファイルの暗号化、上長による承認、ポリシー制御、フィルタリングなどの機能を追加するものだ。これらの機能は、利用するクラウドメールの中で標準提供されていることもあるが、組織固有の条件に柔軟に対応できないことが多い。またメール誤送信対策を実装するために、大幅な運用方法の変更を求められ、利便性を大きく損なってしまうケースもある。

 「近年は、取引先からメール誤送信対策や暗号化などの機能を備えることを取引条件として要求されるケースがあります。『Pマークを取得しているから大丈夫』『しっかりした運用手順書があるから大丈夫』では済まなくなりつつあり、利便性とセキュリティのバランスをどのように取るべきなのかが求められています」(水野氏)

メールアーカイブの課題

 企業間のやりとりではメールの重要性が依然として高く、メール内容の真正性、保存性、検索性を確保する上でメールアーカイブの重要性は年々高まっている。監査対応のためにメールを一定期間アーカイブし、必要に応じて速やかにメールを検索して、提出できるようにしたり、退職者の過去のメールを探して確認したりする対応が必要になっている企業は多い。

 日々大量にやりとりされるメールは膨大で、その中から特定のメールを素早く探し出すことは現実的に難しい。また、ユーザーが自分のメールボックスからメールを消してしまった場合、後から管理者がメールを探したり、チェックしたりすることができなくなる。

 「日々やりとりされる膨大なメールの中から、法規制やコンプライアンスの求めに応じて素早くメールを探し出すには、会社として一元的にメールが管理される状態で、検索性に優れ、情報の真正性を担保できるメールアーカイブを利用するのが一番効率的です。万が一インシデントが発生した際にも、メール内容を素早くチェックすることで原因特定のスピードを上げられます」(水野氏)

 一方で、メールセキュリティ強化を求められているが、根本的にどのように対応すべきか迷っている企業も多いのではないだろうか。

 こうした課題に対して、ソースポッドが提供しているのが、あらゆるメールシステムに対応できる、メール誤送信対策「SPC Mailエスティー」やメールアーカイブ「SPC Mailアーカイブ」などのソリューションだ。

 まずは、メール誤送信対策から見ていく。

大手ゼネコン、大手エネルギー関連企業が採用した「メール誤送信対策」ソリューション

 SPC Mailエスティーは、Office 365やG Suite、IBM Verseなどのクラウドや、オンプレミス、ホスティングといったあらゆるメールシステムでメール誤送信対策を実現できる。

 「万が一、メールの誤送信が起こってしまったときの不安を抱える企業は少なくありません。SPC Mailエスティーを利用することで、メール誤送信対策を人の意識だけに頼るのではなく、仕組みとして定着させ、利便性をなるべく損なわずにメール誤送信を未然に防ぐことが可能になります」(水野氏)

SPC Mailエスティーの構成イメージ。クラウド、オンプレミス、ホスティングにかかわらずメール誤送信対策を実現できる

 実際にこうしたメリットを享受している企業は数多い。そのような企業の一つに大手ゼネコンがある。同社では、グループ全体の約2万ユーザーが利用するコミュニケーションインフラとしてOffice 365を導入。そのメール誤送信対策としてSPC Mailエスティー採用した。

 具体的には、まず「メール一時保留機能」を利用して、社外に送信されるメールを自動的に5分間保留するように設定。保留時間内であれば、メールの送信を取り消すことが可能となった。社員の異動や退職などに合わせてアカウント情報を自動で更新して、日々の運用を効率化している。

 同社ではこれまで、送信後にメールの内容や添付ファイルの誤りに気付き、送信を取り消すといった「ヒヤリ・ハット」メールの送信数が多かったものの、メールの送信状況を簡単に把握できる手段がなかった。SPC Mailエスティーを導入してからは、管理コンソール画面でメールの送信状況や取り消し数、ファイルが添付されたメールの数などの状況を確認できるようになり、メールセキュリティ強化の効果を確認している。

SPC Mailエスティーの管理画面で社内メールの状況を把握できるようになりPDCAサイクルを実行できる

 また、ある大手エネルギー関連企業は、グループ内の異なるメールシステムの共通機能として、SPC Mailエスティーによるメール誤送信対策機能を導入している。グループの中には、メールインフラを共同利用している会社もあれば、独自にメールインフラを運用している会社もあった。そのような背景から、クラウドやオンプレミスなどの異なるメールインフラに総合的に対応できるSPC Mailエスティーを採用した。これにより、グループ会社で統一されたセキュリティポリシーを適用できるようになった。

 同グループではSPC Mailエスティーを使って、通常のメール送信操作後に「宛先アドレス」「本文」「添付ファイル」について、再確認(ダブルチェック)を実施しており、情報子会社では「パスワード暗号化機能」も追加して利用して、メールの誤送信を防いでいる。

 次は、メールアーカイブを紹介する。

大手ハウスメーカーがメール誤送信対策と同時に採用した「メールアーカイブ」ソリューション

 法規制やコンプライアンスのニーズに応え、検索性の課題を解決するために、ソースポッドはSPC Mailアーカイブを展開している。

 「SPC Mailアーカイブは、必要なメール全てをアーカイブして、監査などの際に簡単に探し出せる仕組みを整え、さまざまなリスクに対応できるようになるクラウドサービスです。メール誤送信対策と同時に利用される企業も増えています」(水野氏)

SPC Mailアーカイブの構成イメージ

 SPC MailエスティーとSPC Mailアーカイブを同時に利用し効果を感じているのが、ある大手ハウスメーカーだ。同社では従来、不用意に個人情報や機密情報をメールでやりとりしないという取り決めがあり、添付ファイルの暗号化といった運用ルールを設けてきた。しかし、運用ルールの徹底だけでは、万が一のトラブル発生を防止できないため、社内のコンプライアンス委員会から、できるだけ人手を介さず、システムで自動的に対応することが求められていた。

 そんな中取り組んだのが、グループ全体としてのコンプライアンスの強化と同時にガバナンスを強化することだった。その一環として、従来システム化されていなかったメールによる情報漏えい対策のシステム化に加えて、メールアーカイブを含めた総合的なメールセキュリティ対策の強化を実施したのだ。

 具体的には、グループ傘下11社が利用するメールシステムでSPC MailエスティーとSPC Mailアーカイブを採用。メール誤送信対策を含めた情報漏えい対策のみならず、メールをアーカイブすることで、万が一情報漏えいなどが発生した際などでも、素早く調査、追跡ができる体制を整え、社内セキュリティ強化を果たしている。

 また、SPC Mailエスティーと他社サービスとの連携について水野氏は次のように述べる。

 「SPC Mailエスティーは、セキュリティゲートウェイ製品やサードパーティー製シングルサインオン製品などと連携が可能です。メール配送経路のTLS暗号化やデジタル署名(DKIM-Signature)によるなりすまし防止といった最新のトレンドに合わせたセキュリティ対策を必要に応じて追加できることもメリットです」(水野氏)

メール専業ベンダーの強みを生かし、パートナーとともに企業をサポート

 これらの事例からも分かるように、SPC MailエスティーとSPC Mailアーカイブの特長は、「必要十分な機能が網羅されていること」「現在主流となっているクラウドメールに加え、オンプレミスやホスティングメールにも対応していること」「最新のトレンドに合わせたオプションを展開していること」などにある。しかしそれだけでなく、パートナーとの協業体制がしっかりしていることも、安心してSPC MailエスティーとSPC Mailアーカイブを導入いただける理由だという。

 水野氏はソースポッドの強みについて次のように話す。

 「当社はメール専業ベンダーとして、組織固有の事情に配慮しながらメールセキュリティ対策サービスの導入と支援ができます。また、Office 365やG Suite、IBM Verseなどのインテグレーションを得意とするパートナーとも密接に連携する体制を整えており、多くの支援実績があります。導入コンサルティングサービスをメニュー化して、分かりやすい支援体制を整えている点や、必要な機能のみご契約いただけるリーズナブルな価格体系を高くご評価いただいています」(水野氏)

 記事内で紹介した企業をはじめ、多くのSPC MailエスティーとSPC Mailアーカイブの導入事例がある。事例を参考に、メールセキュリティ強化について見直してみてはいかがだろうか。

資料ダウンロード

成功事例7選 大手ゼネコンやハウスメーカーが実践するメールセキュリティ強化

アブス:重大なセキュリティインシデントの未然防止や、コンプライアンスやガバナンスへの対応が求められるメール。重要なのは、利便性とセキュリティを強化のバランスだ。7つの事例から、組織のメールセキュリティ強化策をあらためて考えてみてほしい。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社ソースポッド
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年4月28日

資料ダウンロード

重大なセキュリティインシデントの未然防止や、コンプライアンスやガバナンスへの対応が求められるメール。重要なのは、利便性とセキュリティを強化のバランスだ。7つの事例から、組織のメールセキュリティ強化策をあらためて考えてみてほしい。

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。