メールセキュリティソリューションセミナーイベントレポート
@ITセミナー、大阪へ!
「精神論」に頼らないメールセキュリティ対策とは
宮田 健
@IT編集部
2007/12/12
2007年11月21日、新梅田研修センター(大阪府)にて「メールセキュリティソリューションセミナー」(主催:アイティメディア株式会社 @IT編集部)が開催された。@ITとしては初の大阪での開催となった本セミナーでは、多くの来場者が熱心に耳を傾けていたのが印象的であった。本記事では@IT発行人、新野淳一による特別講演と、独立行政法人 情報処理推進機構(IPA)セキュリティセンターの 園田道夫氏による基調講演の様子をお伝えする。
そこにあるメールの脅威――メールのいまを総括
|
@IT発行人 新野 淳一 |
セミナーは@IT発行人である新野淳一による特別講演「そこにあるメールの脅威。その現状と対策」でスタートした。この特別講演では、メールが置かれている現状について、外部からの脅威であるウイルス、スパム、フィッシングを、そして内部からの脅威である情報漏えいなどが取り上げられ。
この講演ではまずメールを「ビジネスで最も利用されているアプリケーション」と定義し、社内と社外、社内と社内をつなぐコミュニケーションツールになっていると述べた。そのため、IT部門としてはそれらを確実にコントロールしたいというニーズがある。
しかし同時にメールは個人的なツールでもある。IT部門によるコントロールの結果、使い勝手が大きく変わってしまうと個人の生産性低下にもつながってしまう。個人に依存するツールであるからこそ、メールセキュリティ対策はIT部門と利用者のニーズがぶつかることが多く、難しいのである。
まだまだ手探り? 内部統制向けメール施策のいま
企業にとって、情報漏えいに対するプレッシャーは日に日に大きくなってきている。この特別講演では、アイティメディアが2007年4月に上場するに当たり、審査時に「情報セキュリティにどのような対策を打っているのか?」という点を指摘されたことを例に挙げ、現在経営層からIT部門へとプレッシャーがかかっている現状を述べた。
企業ではすでにメールを「証拠能力を持った書類」として扱うようになっている。そのため、監査時に「その証拠はメールとして残っているか?」と問われる場面が増えてきている。メールはコミュニケーションツールとしての一面に加え、万が一何かが起きてしまったときに対応できる、内部統制のツールとしても存在感を増しているのである。
そして企業にとって、情報漏えいの重大さが決定的に増しているのが現状だ。NPO日本ネットワークセキュリティ協会のレポートによると、紛失や盗難、そしてWinnyワームなどによるものも含めた「事故による情報漏えい」は全体の約65%となっている。このような事故を防ぐための対策としては、例えばPC自体をそもそも持ち出させないことや、データに対する暗号化、またメールの誤配送を防ぐために同報専用のメーラーを導入するなど、各社から提供されているソリューションを検討することが必要だ。
内部統制のためのメールアーカイブも、重要な情報の送信をけん制、監視するための1つの方法である。ただし、何年間保存すべきであるか、またすべてを保存すべきなのかという点については現時点では明確な指針が存在しておらず、まだ手探り状態の会社が多いのが現状である。
 |
| 会場では、来場者が熱心に話を聞く姿が印象的であった |
OSだけではなくすべてのソフトウェアをアップデートすべし
2007年9月のIPAウイルス届出件数によると、NetskyやBagleなどのウイルス、ワームが多く報告されている。これらのほとんどはメールを経由し感染する。つまり、PCへの脅威は入り口となるメールで対策を打つ必要があるのだ。
PCにウイルスが登場したころは愉快犯的なものが多く、被害も微々たるものであった。しかし現在は事情が異なる。ウイルス制作者は明確に「カネになる」ということを目的としており、感染したPCだけで完結しないことが問題となる。被害者がそのまま加害者になるのだ。
これに対しては、例えばメールゲートウェイを導入し、スパムとともに迷惑メールをシャットアウトするなどの対策が考えられる。さらに重要なのはセキュリティパッチの確実な導入だ。Windows Updateなどの設定を見直すとともに、利用しているすべてのアプリケーションに対するセキュリティパッチの導入、および適切なアップデートが必要であるとした。
1/2 |
 |
| Index | |
| メールセキュリティソリューションセミナーイベントレポート
「精神論」に頼らないメールセキュリティ対策とは |
|
 |
Page1 そこにあるメールの脅威――メールのいまを総括 まだまだ手探り? 内部統制向けメール施策のいま OSだけではなくすべてのソフトウェアをアップデートすべし |
| Page2 もうメールに添付ファイルはダメ! 「危険なリンク先は踏むな」……危険でないリンク先って? 機械的にスパムを分別する必要性 ツールは無償で使えても、人的資源は無償にはなり得ない |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
