最適インフラビルダーからの提言〜どこまでアウトソースするか?〜

特集:マネージド・サービスの選び方(2005年版)第1回目

深刻化する迷惑メール。
対策サービスは有効か?

2005/9/8
大宅宗次

 「迷惑」を超えた「被害」メール
 対策のアウトソースを考える

 最近、通信事業者が提供するマネージドサービスの1つとして、企業向けの「迷惑メール対策」サービスが登場してきた。企業インフラのセキュリティ強化の流れの中で、電子メールの「ウイルス対策」はすでに多くの企業がほぼ常識的に取り組んでいる。一方、迷惑メール対策は、迷惑メールがこれまであくまで「迷惑」程度と認識されており、対策が遅れているのが実情だろう。

 しかし、最近では迷惑メールそのものの数が急増しシステムに影響を与え、フィッシング詐欺への誘導メールなど「迷惑」を超えた被害が報告されており、企業が何らかの「迷惑メール対策」を必要とする状況になりつつある。企業のシステム管理者にとって非常に手間が掛かると思われる迷惑メール対策を、通信事業者の「迷惑メール対策」サービスを活用して効果的にアウトソースできるのだろうか。

 そもそも、迷惑メール対策とはどのようなものなのだろうか。これまで何の対策も施していない場合には、利用者は受信トレイに迷惑メールを受け取るたびに自分で削除していた。迷惑メールの数が増えてくると、たとえメールの内容を見なくてもこの作業に時間がかかり、さらに必要なメールが多数の迷惑メールの中に埋もれて読むまでに時間がかるなど、業務に悪影響を及ぼしていた。

 最近のメールクライアントの多くは基本的な迷惑メール対策機能が付いており、不要なメールのルールを設定することで、不要なメールを迷惑メールトレイやごみ箱に振り分けることが可能だ。しかし、このルールを設定することがかなりの手間と時間がかかり、企業から見れば社員1人1人がこのような作業をすること自体が迷惑メールによる被害の1つとなる。迷惑メール対策とはこのような振り分け作業を自動的に行い社員に負担を掛けないようにすることが基本だ。また、迷惑メールが増えてくると企業のメールサーバの処理に負担が掛かり、最悪の場合はメールサーバがダウンしてしまう危険がある。このような状態になるのを防ぐのも迷惑メール対策の1つだ。

 メールサーバをアウトソースするか否か

 では、通信事業者の提供する「迷惑メール対策」サービスとはどのようなものだろうか。まずはアウトソースの範囲により大きく2つのサービス形態に分けられる(表1参照)。1つはメールサーバ運用そのものをアウトソースして、その中で迷惑メール対策を提供するサービスだ。すでにメールサーバ運用をアウトソースしている企業は多いと思うが、その事業者がサービスをしていれば追加料金を払うだけで迷惑メール対策も行ってくれるようになる。

提供者 サービス名 サービス形態

IIJ

IIJ Mailゲートウェイサービス 企業のメールサーバはアウトソースしない
IIJ ポストオフィスサービス 企業のメールサーバもアウトソースする

NTTコム

OCN迷惑メールフィルタリングサービス 企業のメールサーバはアウトソー
スしない
PowerMail 迷惑メールフィルタリングサービス 企業のメールサーバーもアウトソースする
表1 記事執筆時のサービス一覧

 しかし、これまでアウトソースしていない企業がこの形態を利用するためにメールサーバを移行するのは簡単ではない。それはメールサーバをアウトソースできない理由がある場合が多いからだ。

 例えば多くの企業がメールを単なるメールアプリケーションだけで使っていない。スケジュール帳や連絡帳といった社内で共有する情報と連動したアプリケーションの一部として使っている。マイクロソフト社のOutlook 2003などが典型的なアプリケーションだが、メールサーバだけでなくこれらのアプリケーションの運用そのものをアウトソースできるサービスはほとんどない。迷惑メール対策のためにメールサーバそのものを気軽にアウトソースに切り替えることは難しい企業が多いだろう。

 「迷惑メール対策」サービスのもう1つの形態は、企業が自社でメールサーバを運用したまま迷惑メール対策だけをアウトソースできるサービスだ。この形態では企業のメールサーバのリレー先、つまりメールの送信先を通信事業者のメールサーバにし、DNSのMXレコード、つまりメールの受信先を通信事業者のメールサーバにするだけで済む。現在、自社でメールサーバを運用している場合でも、ほとんどシステムを変更せずに迷惑メール対策サービスを利用できる。迷惑メール対策をアウトソースするというイメージに近いのはこちらの形態だろう。

 現在「迷惑メール対策」サービスを提供している通信事業者は、どちらのサービス形態も提供し、どちらの形態でも「迷惑メール対策」サービスの中身自体は同じようなので、自社に最適な形態を選択できるだろう。ただし、その通信事業者のインターネット接続サービスを利用することが大前提となることに注意しなければならない。

 通信事業者がメールを自動的に振り分ける方法

 では、本題に戻ると、通信事業者の「迷惑メール対策」サービスの中身は主に以下のとおりである。基本的には受信したメールが迷惑メールかどうかの判定を、迷惑メールのパターンが記録されたデータベースに照会し、迷惑メールである可能性の高いメールを自動的に振り分けることである。振り分け方にもいろいろな方法がある。

 1つが迷惑メールである可能性が高いと判定されたメールには、メールの題名に「MEIWAKU」などの迷惑メールであるだろうという警告を付与して配信する方法である。迷惑メールである可能性をパーセントで表示する機能も付けられている。メールクライアントの方であらかじめ題名に「MEIWAKU」が含まれるメールを迷惑メールトレイやごみ箱に振り分ける設定をしておけば、より利用者に負担が掛からず迷惑メールを処理できる。

図1 通信事業者の迷惑メール対策サービスの仕組み

 さらに、迷惑メールである可能性が非常に高いと判定されたメールは、企業のメールサーバへ配信せず通信事業者のメールサーバで削除(ブロック)する、あるいは隔離して一時的に保存する方法が一般的だ。利用者のメールクライアントには迷惑メールは配信されず、必要に応じて通信事業者のサーバ側に隔離されたものは確認することができる。特に、迷惑メールのパターンとして多い、あて先が存在しない大量の迷惑メールを通信事業者のサーバで事前にブロックしてくれるので、企業のメールサーバの処理に影響が出ないというメリットがある。

 迷惑メール自動判定の精度は?

 現在のところ、通信事業者が提供している「迷惑メール対策」サービスの内容は、基本的には上記のとおりでどこもほぼ同じ内容になる。では、サービスを選ぶ際の決め手はどこが違いとなるのか。違いの1つが自動的に行われる迷惑メール判定の精度である。

 通信事業者のメールサーバでは受信したメールが迷惑メールかどうか、さまざまな迷惑メールのパターンが記録されたデータベースを照会して判定を行う。このデータベースのパターンの数、パターンの使い方、加えて新たな迷惑メールをパターンに記録するデータベースの更新時間が判定の精度にかかわってくる。このデータベースは通信事業者が保持しているわけではなく、専門の事業者のデータベースに問い合わせる方法を取っている。通信事業者はどこのデータベースを使用しているか公表し、その精度の良さを宣伝しているが、実際にはその精度はなかなか比較できないものだろう。

 どのサービスもある程度までの精度を誇るが、表現の仕方が悪いが“クセ”があるようで、受け取る迷惑メールの特徴により精度が異なるようだ。迷惑メールはウイルスと異なりシロかクロかの判断が難しいのが根本的な原因だ。実際には使ってみなければ分からないが、サービスを選ぶ際にこの精度に関しては納得がいくまで説明を受けると良いだろう。また、精度は基本的にはユーザーが報告をすれば上がっていくことが期待できるのも忘れてはならない。

 迷惑メール対策への期待

 「迷惑メール対策」サービスの料金も大きな違いがないようだ。現在のところサービスの対象となるユーザーアカウントの数で料金が決まる体系を取っているようで、ユーザーアカウント当たりの単価は約200円程度に設定されている。この料金設定が高いか安いかを比較するのは難しいが、本当に迷惑メール対策を必要としている企業が導入に尻込みするような価格帯ではないだろう。ただし、メールアカウント数、つまり社員数が多い企業ほど、迷惑メールの被害が大きいと思われるので、迷惑メール対策のアウトソースの流れを作るためにも今後は大口アカウント契約の大幅な割引などの登場に期待したい。

 今後、各社の「迷惑メール対策」サービスの内容の大きな違いになりそうな新しい技術が話題を呼んでいる。それがメールの送信元が実在しているかを確認する技術だ。現在、迷惑メールの多くが身元を隠すために送信元アドレスなどを詐称して送信されている。送信元が実在しているかを確認できるようになれば、受信メールを大きく「送信元が確認できた」と「送信元が確認できず」の2種類に分けることができ、迷惑メールの判定に根本的なルールが導入できることになる。

 送信元を確認するSender IDとDomainKey

 この送信元を確認する技術は現在のところ2つの方式がある。1つはマイクロソフトが主なプレイヤーである「Sender ID」(参照記事:Sender IDはスパム対策の切り札となるか!?)と呼ぶ技術で、メール受信時に送信元の情報がDNSサーバのIPアドレスに登録されているかを確認することで、送信元が実在するかを証明する技術だ。もう1つがYahoo!が主なプレイヤーである「DomainKey」と呼ぶ技術で、送信時にDNSサーバで公開されている鍵を使った電子署名をメールに埋め込み、受信時にその公開されている鍵を使って確認することで送信元が実在しているかを証明する技術だ。Sender IDの方が仕組みとてして簡単であり実際の導入も先行しているようだ。「迷惑メール対策」サービスへの導入はまだまだ先のようだが、通信事業者によってはすでに自社のユーザーを外部に証明するためにこの技術を導入し始めている。

 このメールの送信元を確認する技術の登場により、「迷惑メール対策」サービスをきっかけに新たなアウトソースの方法へ発展する可能性がある。Sender IDなどを使ってメールの送信元の確認をするシステムは企業が自前で導入できる技術である。しかし、こうした技術を導入するとメールサーバやDNSサーバなどの負荷がますます増大するので、迷惑メール対策と一緒に通信事業者にアウトソースする意義が大きくなるだろう。近い将来には企業間のメールは証明されたメールサーバ同士のやりとりしかできなくなるかもしれない。「迷惑メール対策」をきっかけに、いまのうちから企業のメールに関するどの部分を効率的にアウトソースできるかを検討していくことは無駄にはならないだろう。

 次回のマネージドサービスの選び方では、検疫ネットワークについて考える。




関連記事
  連載 最適インフラビルダーからの提言
VPNと広域イーサのコスト算出方法やネットワーク構成
特集:マネージド・サービスの選び方 2004年版
SSL-VPNIPセントレックスIPv6

「Master of IP Network総合インデックス」


Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Master of IP Network 記事ランキング

本日 月間