変わりゆく手法と意味、
メールセキュリティの今を知る
宮田健
2007/2/21
スパムなどによる電子メールの危機的状況は残念ながらいまも続いており、収束する気配がない。それを踏まえてメールセキュリティ対策の製品が多く登場している。しかし、それらの製品がどのようにセキュリティを確保しているのか、カタログだけでは分かりにくい。そこで今回はメールセキュリティ対策における現状とトレンドの移り変わりをお伝えしよう。
発信元だけで判断するのは危険になった「迷惑メール」
スパムの判定は大きく2段階に分けられる。「発信元に問題がないか」そして「内容に問題がないか」だ。
まず発信元に問題がないかの判定は、メッセージの発信元のIPアドレスおよびドメインを基に、問題のある発信者でないかを確認する。このとき、RBLと呼ばれるブラックリストとの突き合わせを行い、過去にスパムメールを配信したなどの情報があれば、そのメールをスパムと認定する。この方法は発信元の比較のみで判定が行われるため、システムに対する負荷も少なく、しかも一定の効果が得られていた。
しかし、スパム発信側も黙ってはいない。これに対抗する手段として、ボットネットを利用し始めている。ボットネットは特定のサーバだけではなく、一般のクライアントマシン上でひそかに動作するため、スパムを発信するマシンのIPアドレスは非常に広範囲にわたることになる。そのため、それらすべてを問題のあるDNSとしてブラックリストに反映することは難しい。
さらにDNSブラックリストの大きな問題として、誤って登録される可能性があるということだ。例えばスパム発信を共用サーバから行っている場合、そのIPアドレスをブラックリストに登録してしまうと同じサーバを利用している別の企業のメールもスパム扱いされてしまう。
| 【参考記事】 迷惑メールブラックリストを提供してきたORDB.orgが活動停止 http://www.itmedia.co.jp/enterprise/articles/0612/19/news056.html |
スパム情報は集約してこそ意味を持つ
そして現在では、メールの内容を含め総合的に判断するエンジンが主流となっている。これは送信元のIPアドレス/ドメインだけで判断するのではなく、本文全体のハッシュ値を取得し、これをメールの「特徴」として記録する。この情報を全世界から収集することにより、スパムメールの傾向を蓄積し、判断するのである。メッセージのハッシュ値を計算、比較するため、メッセージ自体を外部に流出させることなく判定が行える。また、ハッシュ値を基にしてメッセージのシグネチャを作成しているため、言語に依存せずに判断を行うことができる。
この手法を使ったエンジンとして、例えばセキュアコンピューティングでは「TrustedSource」という自社のシステムを構築している。またコムタッチのように、レピュテーション(評価)機能をOEMとして広くライセンス提供する企業も出てきている。
最近ではボットネットを利用し、1通ごとに内容を微妙に変化させ、ハッシュ値が異なるように送信するなど、スパムの進化はとどまる気配を見せない。スパムフィルタリングを行うアプライアンス製品の性能も日々向上してはいるが、スパムの流量が年々増えることを踏まえ、新たな手法に対応できる拡張性と性能面でのスケーラビリティが確保できるソリューションを選ぶ必要がある。
内部統制が変える「メールセキュリティ」の意味
メールセキュリティはスパム対策だけではなくなっている。各社の製品では日本版SOX法施行に伴い、内部からの情報流出対策や暗号化、メールアーカイブの機能が目立つようになってきている。メールセキュリティで注目される機能を取り上げてみよう。
まず注目されるのが、フォレンジック対策としての「送受信メールのアーカイブ」機能である。現状では内部の情報が漏えいしていないかどうか、また漏えいした場合の発信元と内容を保持・確認するために送信メールのみをアーカイブする企業が多い。受信メールをアーカイブする場合、大量のメッセージを取り扱うことになるので、あらかじめスパムメールの判別を行い、メッセージの流量を抑える必要があるため、スパム対策と並行して導入を行うのが標準的だ。
メールアーカイブ機能を導入するに当たってのチェックポイントは、該当のメッセージを検索するための機能が十分であるかどうかということになる。さらにアーカイブした情報をどのようにバックアップするか、その期間と戦略を検討しておく必要がある。
また、日本でもニーズの高まる経路暗号化についても対応が始まっている。アメリカの一部企業では、メールサーバ同士の通信が暗号化されていることが取引の条件の1つに挙げられるという。アプライアンス製品がSMTP over SSL/TLSなどに対応していない場合、暗号化・復号のためにさらにもう1つメールサーバを設置する必要があり、構成が複雑になってしまう。
メールセキュリティをアウトソースするという選択
メールセキュリティに対するソリューションとして、スパムフィルタリングやメールアーカイブの機能をASPサービスとして提供する事業者も出てきた。ホスティングされた機能を利用することで、ハードウェアへの投資を行うことなく機能単位の利用が可能となる。
導入方法も簡単である。メールフィルタリングやメールアーカイブを提供するASPでは、企業のドメインのMXレコードをASP事業者が持つメールサーバに変更することで、すべてのメールをいったんASP事業者のメールサーバで受け取る。ASP事業者にてフィルタリングを行い、必要なメールのみを企業のメールサーバに送付するため、企業で受け取るメールを適切な量に減らすことができる。
このようなサービスを利用することでのメリットは管理コスト削減だけではない。アプライアンスとしてハードウェアを導入した場合、企業規模の拡大によるユーザー数増加に対応するには、アプライアンス製品をアップグレードするか台数を増やす必要がある。またユーザー数が増えなくても、年々増えていく迷惑メールに対応するには追加投資が必要となる。ASP型のサービスであれば、契約を見直すことで素早く対応が行えるのが特徴である。セキュリティ確保のためのハードウェアを購入するのではなく、必要な機能のみを購入することになるため、柔軟な対応が可能だ。メールを管理するコストを増やすことが難しい中小企業にとって、メールセキュリティのアウトソースは魅力のある選択肢である。
メールを取り巻く環境は、スパムやウイルスなど外的要因からの「守り」から、フォレンジックや内部統制のための「攻め」の投資に変わりつつある。現在、メールセキュリティに投資を行うにはスパム対策の視点だけでは不十分であり、コンプライアンスの観点でも機能が充足しているか、変化する状況に対応できる柔軟性があるかをチェックすべきである。
カタログスペックだけで判断することが難しい製品であるためか、アプライアンス製品を提供するベンダでは評価機を貸し出すサービスを行っていることが多い。これから対策を考えるシステム管理者は、このようなサービスを積極的に利用したい。
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
