メールセキュリティソリューションセミナー2008イベントレポート
「法律」はメールの秩序を取り戻す鍵となるか
宮田 健
@IT編集部
2008/3/14
2008年2月28日、青山ダイヤモンドホール(東京都港区)にて「メールセキュリティソリューションセミナー」(主催:アイティメディア株式会社 @IT編集部)が開催された。大阪に続いての開催となる本セミナーでは、メールが発端となるさまざまな問題をいかにして防ぐかという各社のソリューションの紹介に加え、メールセキュリティと法律の関係を詳しく解説する特別講演が行われた。
| 【関連記事】 メールセキュリティソリューションセミナー(大阪・2007年11月開催) 「精神論」に頼らないメールセキュリティ対策とは http://www.atmarkit.co.jp/fsecurity/special/105mailosaka/mailosaka01.html |
現在、メールはビジネス上で最も利用されているアプリケーションであることはいうまでもないだろう。しかし、現在まん延しているウイルスのほとんどがメール経由にて感染する現実や、スパムやフィッシングの対策、さらには内部統制にかかわる整備の必要性などを考えると、「素のままのメールシステム」では高いリスクを抱えることになってしまう。このリスクをどう管理するのかがメールシステム管理者を悩ませる問題となっている。この点について、ソリューションという観点と法律という観点でセッションが行われた。その模様をレポートしよう。
「分かっちゃいるけど」情報漏えいせざるを得ない現実
まず、メールによる情報漏えいの現状から見ていこう。メールが引き金になって発生する情報漏えいは、
- スパムメールを受信する
- スパムメールにあるURLをクリックする
- 悪意のあるWebサーバに接続する
- レスポンスとして悪意のあるコード(マルウェア)が実行される
これらの動作は「受動的攻撃」と呼ばれ、Webサーバへの攻撃ではなく、クライアントPCが狙い打ちされるという状況だ。外部からの接続をチェックするファイアウォールも受動的攻撃では通用しない場合が多い。
また、無視できないのは人の操作を介した情報漏えいである。具体的には、故意に機密情報をメールにより社外へと持ち出すことだ。これは悪意のある場合だけではなく、例えば自宅で仕事をするために、書類をメールにて個人メールアドレスに送るということも含まれる。これはもちろん規則違反となるが、現実としては仕方なく行われてしまっているのではないかと考えられる。
|
マカフィー SE本部 シニアエンジニア 岩井 弘志氏 |
マカフィーが調査した結果でも上記のような結果が出ている。マカフィーの岩井弘志氏によると、70%の人はこのような違反行為が会社のブランドにダメージを与えることを理解しており、職場を追われることすら理解しているにもかかわらず、このような行為は絶えることがないのが現状なのだ。
同社ではこの問題に対し「McAfee DLP」をソリューションとして提供している。データ損失防止(Data Loss Prevention)という考え方を基にし、機密情報に特別なタグを付け、それらのタグが付いているファイルはメール添付を禁止したり、一部のテキストをコピーしWeb上の掲示板に張り付けたとしてもブロックができるなど、そもそもの「規則違反」を行えないような仕組みを提供している。
各企業ですでに制定されているであろう運用ルールを補完し、それを守らせるためにITの力を利用するというソリューションだ。
 |
| マカフィーの調査では、多くの人が仕方なく情報漏えいをしてしまっている現状が見て取れる。 |
メール監査を教育手段として利用できる?
スパムメール対策、ウイルス対策などはほぼ一通り対策を行った企業も多いだろう。次にやってくるのは「内部統制」をどうメールへ適用していくのか、というポイントではないだろうか。例えばメールの監査だ。このメールの監査というのを内部統制ではなく、別の側面から考えていきたい。
|
NTTPCコミュニケーションズ ネットワーク事業部 バリューサービス部 執行役員 小山 覚氏 |
NTTPCコミュニケーションズの小山覚氏は「企業ではメールの書き方まで教えられていない、という方が多いのではないでしょうか」と語る。メールは基本的には1対1、1対多でやりとりが行われるため、例えば新入社員がどのようなメールを取引先とやりとりしているのか上司からは見えない。そこでこのメール監査を使い、教育としても使ってみてはどうだろうか、という話だ。
NTTPCコミュニケーションズが提供するメールホスティングサービス「Mail Luck!」ではスパムやウイルス対策はもとより、メールの保存(アーカイブ)やWebメールインターフェイスの提供などを行っているが、メールの監査(フィルタリング)機能では監査ルールとして特定のキーワードが使われているかを判別し、使われていた場合は管理者の承認が必要となる。
小山氏はこのメールの監査を「河川に設置された魚道」に例えた。魚道を見ることで、すべての魚の行き来をストップすることもできるし、どのような種類の魚が魚道を通り、上流へと泳いでいるのかも分かる。メールの監査も外に流れるものを観察することで、正しい管理ができるのだ。
 |
| メールASPの仕組みを応用し、メールの送信前に内容をチェックすることが可能だ。 |
1/3 |
 |
| Index | |
| メールセキュリティソリューションセミナーイベントレポート
「法律」はメールの秩序を取り戻す鍵となるか |
|
 |
Page1 「分かっちゃいるけど」情報漏えいせざるを得ない現実 メール監査を教育手段として利用できる? |
| Page2 メールの情報漏えい、「うっかりミス」が原因であるとしたら メール監査の整備は内部統制以前の問題 |
|
| Page3 法律という側面からメールのリスクを見る 日本における迷惑メール関連法の現状 特定電子メール法違反は直罰? 間接罰? 情報の窃盗はそれ自体が罰とならない 機密性と可用性の悩ましい関係 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
