第3回 情報漏えい対策――保存と検閲で「もしも」に備えよ
藤澤 英治
株式会社CSK Winテクノロジ
2007/6/4
いまや電子メールクライアントはブラウザとともにPCになくてはならないソフトウェアです。企業でも当たり前のように業務に電子メールが使われています。誰もが簡単に使える便利なツールとして、単なるメッセージのやりとりだけでなく、受発注業務など電子メールがビジネスの中枢にもなっていることが多いのではないでしょうか。
しかし、電子メールの「手軽に使える」ということが、外に出してはいけない情報が電子メールによって漏えいしてしまうなどセキュリティ上の脅威となっているのも事実です。
では、情報漏えいなどセキュリティ上の脅威に対抗する手段はどのような方法があるでしょうか。手法としては大きく分けて2つあります。
- メールアーカイブ(保存)
情報漏えいが発生した場合の監査証跡のために導入されるケースが多いようです
- フィルタリング(検閲)
情報漏えいを防止する、誤送信を防止するためのチェック機構として導入するケースが多いようです
今回は電子メールのアーカイブとフィルタリングについて解説します。
メールアーカイブとバックアップは異なる
アーカイブとは、本文メッセージを含めた電子メールすべてを保存することを指します。最近では内部統制やコンプライアンス(法令順守)などの話から随分と意識されだしましたが、バックアップと何が違うのでしょうか。
電子メールのアーカイブで必要な機能は、任意の時点の電子メールを取り出し、内容の確認ができることです。添付ファイルを含めた横断的な検索機能も必要でしょう。それに対しバックアップは通常障害復旧を目的としており、バックアップを取った時点のデータを戻すことが必要条件となりますので、バックアップしたデータから情報を検索するのは困難です。一般的にバックアップはある一時点のデータ保存ですので、バックアップ≠アーカイブと考えた方がよいでしょう。
どのように電子メールをアーカイブするのか
電子メールのアーカイブを行う手法には、主に「ゲートウェイ型」「パケット収集型」そして「ジャーナル連動型」の3つがあります。
 |
| 図1 電子メールのアーカイブ方法(クリックすると拡大します) |
●ゲートウェイ型
ゲートウェイ型は、ネットワーク上に設置したゲートウェイ(アーカイブサーバ)を通過するすべての電子メールに対してアーカイブを行います。多くのメールアーカイブ製品に採用されている方法であり、最もポピュラーな方法といえるでしょう。電子メールの送受信の経路上に配置することになるので、電子メールのフィルタリング機能も同じサーバ内に実装している場合がほとんどです。
[ゲートウェイ型のメリット]
- 電子メールの経路上に設置するため、ネットワーク構成の大幅な変更をする必要がなく、比較的簡単に導入することができます
- ゲートウェイを通過する電子メールのすべてを取りこぼすことなくアーカイブすることができます。
[ゲートウェイ型のデメリット]
- 電子メールの経路上に設置するため、ゲートウェイ自体に障害が発生した場合には、メールシステム全体が停止する原因になると考えられます
- ゲートウェイを通過しない電子メールはアーカイブの対象とはなりません。ゲートウェイは通常社外に行く電子メールの経路上に配置されますので、社内メールが対象外となります
●パケット収集型
パケット収集型は、電子メールを含め、ネットワーク上に流れるすべてのパケットを対象としている実装が多いようです。この方法は、スイッチングハブのミラーポートなどを使ってコピーされたパケットを対象に収集を行います。
[パケット収集型のメリット]
- ネットワーク上に流れるパケットすべてを対象とすることができます。電子メールのプロトコルであるSMTPをはじめHTTPなども対象にできるため、Webアクセスなどの情報もアーカイブの対象とすることが可能です
- アーカイブを目的とした場合には、既存のメールシステムの設定変更は不要であるので、比較的容易に導入することができます
[パケット収集型のデメリット]
- ミラーポート機能を備えたスイッチングハブなどのパケット収集が可能な装置を用意する必要があります。トラフィック量やネットワーク機器の性能によっては、パケットロスを起こす可能性があります
- パケット収集を行うことが目的であり、収集するパケットもコピーされたものになるため、フィルタリング機能を使って電子メールの送信を止めることはできません
●ジャーナル連動型
ジャーナル連動型は、メールサーバの「ジャーナル」と呼ばれる機構を使い、メールシステム内で電子メールのやりとりが発生するたびに、ジャーナルから電子メールのアーカイブを行うものです。ジャーナルとは、メールサーバシステム内の特定のメールボックスなどにすべての電子メールのコピーを取る機能でMicrosoft Exchange ServerやLotus Notesなどに実装されています。この方法は、ジャーナル機構を持っているメールサーバにしか有効ではありません。
[ジャーナル連動型のメリット]
- メールシステム全体でやりとりされるすべての電子メールを対象とすることができます
- 電子メールの経路上に設置する必要がないので、障害時にメールシステム全体を停止させる危険性は少ないと考えられます
[ジャーナル連動型のデメリット]
- メールシステム固有の機能に依存するので、限られたメールシステムにしか対応していません
- パケット収集型と同様に電子メールのコピーをアーカイブする仕組みのため、フィルタリング機能を使って電子メールの送信を止めるなどのことはできません。
1/3 |
 |
| Index | |
| 情報漏えい対策――保存と検閲で「もしも」に備えよ | |
 |
Page1 メールアーカイブとバックアップは異なる どのように電子メールをアーカイブするのか |
| Page2 アーカイブに必要なリソースは |
|
| Page3 フィルタリングで問題のある電子メールを判定 システムだけの対応ではなく、社内ルールの徹底も重要 |
|
 |
電子メールセキュリティの基礎知識 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
