システム管理者のための「メールセキュリティ」再整理：システムインテグレーションとセキュリティ（5）（1/2 ページ）

連載目次

　社内システムの開発・運用に携わる方々に向けて、セキュリティ対策のポイントを解説する本連載。前回は、ユーザー部門が作成したアプリケーションをメンテナンスする際に注意すべき事項について紹介しました。

　今回と次回は、システムの「運用」の視点から考慮すべきセキュリティ上のポイントについて解説します。始めのテーマは、「メールシステムの運用におけるセキュリティ上のポイント」です。顧客の社内情報系インフラに長年携わってきた筆者の経験を踏まえつつ、企業の「メールシステム」を運用する上でのセキュリティ上のポイントについて、運用者視点で解説します。

万能ゆえに厄介なメールシステム運用

　1990年代に国内の大企業で社内コミュニケーションのシステム化が進んで以来、メールは企業や各種の団体において、幅広く活用され続けています。メールが活用される場面は、大きく分けて以下の3つです。

（ア）企業や団体間のコミュニケーション
（イ）企業と顧客の間のコミュニケーション
（ウ）社内のコミュニケーション

　これらの場面で、メールは単純にメッセージを送受信する以外にも、さまざまな目的で使われています。例えば、以下のような用途があります。

• 画像や文書などのファイルの共有や管理
• QAなどの知識・経験のやりとり（Wikiやブログのような使い方）
• ほぼリアルタイムで会話するチャット
• 同報によるオンライン会議

　このように、メールはただメッセージをやりとりするだけではなく、いろいろな活用が可能なコミュニケーションツールです。

　ところが、そんな“万能コミュニケーションツール”のメールですが、「運用者の視点」で捉えると、見え方が変わってきます。運用者からすれば、メールは万能ゆえに「好き勝手に使われてしまうツール」というのが実感に近いといえます。例えば、運用者の視点で見れば、メールシステムの運用に関しては以下のような課題があります。

（ア）システムリソース不足や過負荷の問題にどう対処するか
（イ）利用者からのより高い利便性やきめ細かなサポートへの要求にどう対応するか
（ウ）ウイルスや情報漏えいなどのセキュリティリスクにいかに対処するか

　このうち、（ア）や（イ）に関しては、以下のようなケースがあります。

• 大容量の添付ファイルを社内の約100人に一斉送信してしまい、メールが全く届かなくなった
• 多くの人が数年分のメールを全てサーバに保存していたことで、ストレージが枯渇した
• 24時間365日、メールサービスを停止しないでほしい
• メールが届いているか、相手がメールを読んだか確認したい
• 外部システムと連携して、定期的な送信など、メール発信を自動化してほしい
• 削除したメールを元に戻してほしい。誤送信してしまったメールを消してほしい

　筆者の経験上、メールシステムがユーザーにとって便利になり、活用されればされるほど、運用担当者の苦労は増えていきます。トラブルやユーザーからの要望など、何かが起きる度に、ルールの追加や設定変更、システム構成の変更、サーバやネットワークの増強、各種カスタマイズなど、運用担当者が作業を行う必要があります。

　ただし、近年ではサーバやストレージ、ネットワークなどのシステムリソースが安くなったことや、企業でもクラウドサービスを活用できるようになってきたことなどにより、こうした運用者の苦労も軽減されてきています。

　ところが、（ウ）のセキュリティリスクについては、軽減するどころかますます増大しています。メールに端を発する情報漏えいなどの事故については、皆さんもよくご存じでしょう。そこで以下では、メールシステムのセキュリティを、昔から存在する“内部起因のリスク”に対する「従来のメールセキュリティ」と、近年特に大きな被害をもたらしている“外部からの攻撃”に対する「近年のメールセキュリティ」に分けて、整理してみます。