2007年11月21日、新梅田研修センター（大阪府）にて「メールセキュリティソリューションセミナー」（主催：アイティメディア株式会社 ＠IT編集部）が開催された。

　＠IT主催としては大阪で初の開催となったイベントとなり、多くの参加者が熱心に話を聞く姿が非常に印象的であった。ここでは、電子メールのセキュリティを軸とした、各企業によるセッションの内容を紹介しよう。

イベントレポート インデックス
	NTTPCコミュニケーションズ 「情報漏洩は社員教育だけでは防げない！」
	シマンテック 「最新のスパム攻撃とその対策」
	CSK Winテクノロジ/サイオステクノロジー/センドメール 「必要なメールを必要な人に届けるためのメール対策」
	マカフィー 「メールの情報漏えいリスクから企業を守る」

セッション1：NTTPCコミュニケーションズ 「情報漏洩は社員教育だけでは防げない！」

●生産性向上に関係ない仕事はアウトソーシングすべし

NTTPCコミュニケーションズ ネットワーク事業部　 バリューサービス部 小山覚氏

　企業内の最新情報が最もたくさん流れているアプリケーションはメールである。メールが止まったら、生産性が著しく低下してしまい、業務も停止してしまう。そこで、メールセキュリティを考える時、2方向からの脅威に注意せねばならない。つまり、情報漏えいなどの内部リスクと、ウイルスやスパムといった外部リスクだ。

　さらに、法律が変わることもある種の脅威と見ることができる。つまり、新しい法律に対応しなければならないというプレッシャーである。その法律は、上場企業のみに適用されるからといって、それ以外の企業には無関係というわけではない。取引先として選ばれるのは、情報漏えいを起こさないよう、セキュリティ対策をしっかり行っている企業だからだ。

　これらの脅威は、一度対策を施したらあとは放っておいてよいというわけにはいかない。情報漏えいは、対策製品の導入で防ぎきれるものではなく社員教育が重要となるが、操作ミスやうっかりといった事故を完全になくすことはできない。

　また、ウイルスやスパムは日々進化して対策製品の裏をかこうと進化を続けるし、法律も整備され変化する。このため、メールシステムの運用担当者は、これらの脅威に対応するだけで手一杯になってしまうことが多く、本来の「どのようなメールがどう流れていて、いかに生産性を上げることができるのか」という仕事ができない。

　解決策として、生産性向上とは関係ない作業はアウトソーシングするという選択肢がある。NTTPCコミュニケーションズの「Mail Luck! セキュアタイプ」もそのひとつだ。

　内部リスクへの対策として、証跡としてのメール保存、情報漏えい対策のメール監査（フィルタリング）、Webメールを利用した外出時の安全なメール確認が可能になる。また外部リスクへの対策としては、高水準のスパム・ウイルスフィルタと機器などの二重化設備による高信頼性を提供する。

　セッションでは、具体的な導入事例を基に、企業のさまざまなニーズにどう対応できるかが紹介された。まず、（1）顧客番号を含むメールの誤送信を防ぎたい、（2）スパムメールをなんとかしたい、（3）サーバとメーラーとの通信セキュリティを保ちたいというニーズを持った人材派遣会社を例に挙げた。

　（1）については、送信メールの監査（フィルタリング）機能によって、顧客番号を含むメールの検知を行うことで解決する。ポリシー違反があったメールは、自動的に送信をブロックするという設定もできるし、管理者および本人にそれを通知するという機能もある。もし、うっかり送信しようとしてしまったのなら、このシステムからの通知メールでその後は気をつけるようになるだろうし、何度も続くようなら管理者が直接注意することもできる。面倒な脅威への対応はホスティング業者に任せ、その機能をツールとしてうまく活用して社員の情報セキュリティに対する意識を向上させるというわけだ。（2）については、高性能スパムフィルタで、（3）についてはインターネット上を暗号化して通信することにより解決した。

　別のIT企業の場合は、（1）社内のメールをすべてアーカイブしたい、（2）いつでも検索できるようにしたい、（3）すぐに導入したいという要望だった。この企業は自社でメールシステムを運用する技術スキルは十分だが、アーカイブのためには新規にストレージを購入し、使いやすい検索システムも探して導入するといったことが必要になる。ストレージの容量は常に気にしなければならないし、なかなか面倒な作業である。しかしMail Luck!のアーカイブ用ストレージは、初期設定値はあるものの、それを超えても保存されないというわけではない。従量課金でダイナミックに容量を拡張できるからだ。また、アウトソーシングのメリットであるスピード導入で、ほぼ3週間ですべてのニーズに応えるシステムを提供できたことも紹介された。

お問い合わせ先：asp-staff@nttpc.co.jp

ホワイトペーパー ダウンロード NTTPCコミュニケーションズのホワイトペーパー◆メールリスク管理の勘所◆自社運用の限界とホスティングメリットが、TechTargetジャパン ホワイトペーパー ダウンロードセンターで入手できます。

セッション2：シマンテック 「最新のスパム攻撃とその対策」

●シマンテックならではのスパム解析力で誤検知を減らす

シマンテック プロダクトマーケティング部　 リージョナルプロダクト マーケティングマネージャ 今村康弘氏

　さまざまな通信プロバイダーやASPにも製品を導入しているセキュリティベンダーであるシマンテックは、セッションの冒頭で最近のスパムの動向を紹介した。

　インターネット全体のメールトラフィックの約70％がスパムであり、全体のカテゴリ別内訳としては製品やサービスの広告が一番多く、発信元としては北米が多いといった内容である。ただし日本に限定すれば、カテゴリとして最も多いのは「出会い系」であり、送信元のトップは中国ということになる。

　最近新たに登場した特殊なスパムについての動向も紹介された。画像を利用したイメージスパムは、2007年1月にスパム全体の52％とピークを迎えたが、その後減少して最近では7％ほどになっているという。もっとも、日本では欧米のようなグリーティングカードの習慣がないため、あまり被害は出ていない。

　また、添付のPDFファイルに悪意のあるリンクを埋め込んだPDFスパムは6〜8月頃がピークで、これも今はほとんどなくなっている。フィッシングでは、国内のネットバンクをかたるフィッシングサイトに誘導するスパムが9月に発見されている。日本では、ネット専業銀行をターゲットにしたものが多いようだ。さらに、スパムを送信するメールアドレスを取得する行為であるDHA（Directory Harvest Attack）については、ボットネットが利用されることが多い。ボットの数は、日本は比較的少ないが、家庭内のPCなどでは企業などに比べて可能性が高い。

　シマンテックがメールセキュリティの対策として導入を勧めるのは、Eメールファイアウォール、スパム対策、ウイルス対策、IMセキュリティゲートウェイ、送信メールのフィルタリングといった機能を1台に統合したアプライアンスである、SMS 8160とSMS 8300シリーズだ。

　SMS 8160はトラフィックシェーピング機能を持っており、大規模ネットワークにはスパム対策として有効となる。スパムではないかと疑われるメールはわざと処理に遅延を起こさせ、その結果送信元が送信をあきらめてしまうという効果により、メールサーバまで到達するスパムの数を大幅に削減するというものだ。また、2000アカウント以下程度の組織ならば、SMS 8300シリーズだけの導入でも十分に効果がある。そして、Symantec Security Responseというウイルスやスパムの収集・解析機関との連携により、定義ファイルなどを自動でアップデートすることで、管理者の負荷を軽減するものとなっている。

　スパム対策で一番重要なことは、正規のメールをスパムと判定してしまう誤検知を減らすことだ。不要なメールが届いてしまうことのデメリットと必要なメールが届かないことのデメリットでは、比較にならないほど後者の方が重大である。シマンテックのスパム対策は、誤検知率が100万分の1と圧倒的に少ないことが大きな特徴となっている。

　その理由は、解析機関であるSymantec Security Responseの存在にある。スパムは、数学的なアルゴリズムだけで判定することは難しく、人の目で見て判断しなければならないケースがどうしても存在する。そのためには、できるだけ多くのスパムを収集して人間が判断した結果に基づいたフィルタを生成しなければならない。

　Symantec Security Responseは、シマンテックの企業規模を生かし、24時間365日のスパム対策稼働時間と12カ国語への対応を実現している。もちろん、日本語のスパムにも完全に対応している。また、おとりメールボックスを使ってスパムを収集し、それをもとに分析やフィルタの生成を行っている。おとりメールボックスの数は、独自生成したものの他に期限切れのドメインやアカウントも利用して300万以上にのぼり、プローブネットワークを構成している。そこから得られるスパムを分析して生成したフィルタを、ユーザーに10分ごとに配信する。これにより、ユーザー企業のメールサーバに届くスパムを確実に削減できるのである。

ホワイトペーパー ダウンロード シマンテックのホワイトペーパー最新のスパム攻撃とその対策　〜Symantec Mail Security〜が、TechTargetジャパン ホワイトペーパー ダウンロードセンターで入手できます。

セッション3：CSK Winテクノロジ/サイオステクノロジー/センドメール 「必要なメールを必要な人に届けるためのメール対策」

●「多くの人の目で判定」――スパム判定はコラボレーションの時代

CSK Winテクノロジ 製品グループ グループ長　藤澤英治氏

　現在、企業のメールシステムには、アーカイブ、情報漏えいの防止、誤送信の防止といった対策が求められているが、実は自社のメールシステムにどのくらいのメールが流れているのかという実態を把握していない場合が多いのではないだろうか。

　例えば、CSK WinテクノロジがWebに公開しているメールアドレスに8週間で届くのは、正規のメールが2,482通でスパムが7,636通。4分の3は不要なメールというわけだ。しかもこのように公開しているメールアドレスは、複数の社員が共有して処理に当たる場合が多い。もし10人で見るとすれば、迷惑も10倍というわけである。スパム対策の重要性が実感できる数字だ。

　スパムのことを日本語では迷惑メールというが、迷惑を及ぼす対象によって2つに分類することができる。ひとつは、エンドユーザーに直接害を及ぼす迷惑メールで、勧誘などのメールのほかにウイルスやフィッシングもこれに当たる。もうひとつは、メールシステムに害を及ぼす迷惑メールである。例えば、DoS（Denial of Service attack）やDHAといったものだ。

　システムに害を及ぼす迷惑メールは何のために送られてくるのだろうか。迷惑メールはいたずらで送られてくるわけではない。配信者にとってこれはビジネスであり、読んでもらわなければ意味がないのである。そのためには、実際に使われているメールアドレスのリストが必要だ。そのメールアドレスを取得するための手法のひとつが、DHAである。

　DHAは、企業のドメイン名などを基に、ランダムに大量のメールアドレスを生成してメールを送りつけ、メールサーバからUser Unknownが返ってこなかったアドレスを実際に利用されているアドレスとしてリストにするというものだ。これは、企業のメールサーバにとってはたいへんな負荷となる。もちろん、取得されてしまった正規メールアドレスにはボットネットなどを通じて大量にスパムメールが送られてくるので、二重に迷惑な話だ。

　スパムのフィルタリングは、キーワードマッチングやブラックリスト、ヒューリスティックやベイジアンなどさまざまなものが開発されてきたが、今やこれらは役に立たなくなってきた。現在、スパム対策として有効とされているのは、自分がボットになることを防ぐOutbound Port25 Blockingおよび、一定時間内に大量のメールを送信してくるようなIPアドレスからの受信処理を遅らせるなどのフロー制御、人の判断を元にしたスパムフィルタである。

　CSK Winテクノロジが提供しているSendmailのスパムフィルタは、コラボレーション方式と呼ばれる。スパムメールを受信した世界中のユーザーが、「これはスパムメールである」ということをインターネット上のコミュニティに報告することでスパムを収集し、それを元にフィルタを生成するのである。これは、「より多くの人が利用することによって自動的により良いサービスを提供できる」というWeb2.0の基本原理を具現化したものといえる。その結果、スパムの補足率が98.8％、誤検知率は0.0001%以下を実現している。

　また、セッションでは、スパムフィルタ選択の際に注意すべき点を2つ挙げた。ひとつは、できれば実運用している自社のメールシステムでテストすることである。スパムフィルタはどれも毎日更新されているため、ベンチマークのためにためておいた1週間前のメールやネット上に公開されているテスト用のメールでは本当の精度は分からない。1週間前のメールであれば、どのスパムフィルタでも100％に近い確率で検知できるのである。

　また、グレーゾーンメールの取り扱いについて、あらかじめきちんと決めておく必要がある。グレーゾーンメールとは、例えば「購読の登録をしたことを忘れてしまっているメールマガジン」などのことだ。これらは、人によってはスパムと感じるが、誰にとってもスパムというわけではない。また、最新のスパム対策技術として、ドメイン認証という言葉は覚えておくとよいだろう。

お問い合わせ先：sales@cskwin.com

ホワイトペーパー ダウンロード CSK Winテクノロジのホワイトペーパー迷惑メール対策：ベンチマークテストで犯しやすい3つの間違いが、TechTargetジャパン ホワイトペーパー ダウンロードセンターで入手できます。

セッション4：マカフィー 「メールの情報漏えいリスクから企業を守る」

●アクセスコントロールから「データ損失防止」へ

マカフィー SE本部 SEマネージャ 馬場敏文氏

　企業のメールセキュリティについては、スパムなどの外から内への脅威と、情報漏えいという内から外への脅威の2正面で対策する必要がある。マカフィーは、情報漏えい対策という面を強調したセッションとなった。

　スパムがスパム配信業者のビジネスであることに加えて、現代では情報の闇マーケットとでもいうべきものが存在している。そこでは、アカウント情報を盗むトロイの木馬が数百ドルから数千ドルで、クレジットカード番号が数ドルから数十ドルで取引されている。このように、市場が形成されているからこそ、情報を盗み出そうとする者、持ち出して代価を得ようとする者が根絶できないのである。

　企業から情報が漏えいする場合、故意あるいは誤操作といった人の操作を介するもの、ファイルを勝手にインターネット上に送信してしまうプログラムであるマルウェアによるものなどがあり、スパムメールが引き金になってマルウェアをダウンロードしてしまうといったことも多い。いずれにしろ、情報が社内から不正に出ていくことを防ぐという観点が重要になる。

　情報漏えい対策というと、正規の権限を持つユーザー以外はデータにアクセスさせないというアクセスコントロールの技術が、これまで多く導入されてきた。しかし、マカフィーが考えているのは、正規ユーザーなら何をしてもいいのかということだ。つまり、データにアクセスする権限があることと、データを持ち出してよいということは全くの別物だということである。情報漏えい対策は、アクセスコントロールからデータ損失防止（Data Loss Prevention）の時代への変わったのである。

　マカフィーがこのデータ損失防止のためのソリューションとして提供しているのは、「McAfee Data Loss Prevention（以下、DLP）」である。これは、各クライアントPCにインストールするソフトウェア製品であるDLP Hostと、ネットワークのゲートウェイに設置するDLP Gatewayの2製品がある。ゲートウェイは、非WindowsマシンなどDLP Hostが導入できないクライアントがある場合に、ネットワーク経由で情報が流出することを防ぐ働きをする。

　このDLPの最大の特徴は、ファイルの流出ではなく、情報自体の流出を防ぐことができるという点だ。つまり、社外に持ち出してはいけないという属性を付与したファイルは、それをファイルサーバからローカルにコピーしても、あるいはファイル形式を変えても、メールに添付して送信したりプリントアウトしたりできないのである。さらに、ファイルの中の一部分だけをコピーしてメール本文に貼り付けたり、インターネット上の掲示板などに投稿しようとした場合にも、DLP Hostが検知してそれをブロックする。もちろん、USBメモリなどの外部記憶装置へのコピーを禁止するといったポリシー設定も可能だ。

　これらの動作を実現するのは、重要な情報に付与するタグとフィンガープリントである。重要データを含むファイルを直接指定する他、あるファイルサーバの特定のフォルダにあるファイルであるとか、特定のキーワードを含んでいる、特定のアプリケーションのファイルであるなどの条件にあうファイルに対してタグやフィンガープリントを付与し、移動の監視、メール送信や掲示板への投稿、プリントアウト、外部メモリへのコピーの禁止や警告、暗号化の強制といった動作を行わせることができる。しかも、タグは単純にファイルに追加されるのではなく情報自体に付与されるため、改ざんや圧縮などを加えても検出できるのである。

　さらに、ポリシー違反があった場合の検知ログは、メール本文および添付ファイルがエビデンスとして保存されるため、監査や訴訟の際の証拠として提出することも可能だ。まさに、情報漏えいのリスクを極限まで小さくする仕組みとなっている。

ホワイトペーパー ダウンロード マカフィーのホワイトペーパーメールの情報漏えいリスクから企業を守れ！が、TechTargetジャパン ホワイトペーパー ダウンロードセンターで入手できます。