意外に危ないメーリングリスト運用
2006/7/1
メーリングリストはとても便利であるため、多くの組織で日常的に使われているが、何も考えずに運用しているとさまざまな問題を引き起こす。そこで今回はメーリングリストに関する問題を洗い出し、その解決方法を考えてみたい。
メーリングリストが引き起こす問題とは
以下ではセキュリティと社内情報格差というテーマで2つずつ、計4つの問題をケーススタディ形式で紹介する(すべてフィクションである、念のため)。
ケース1 退職者に社内情報が筒抜け
退職者が退職後もメーリングリストを受信できていて、社内情報が筒抜けであったことが発覚した。
解説: メーリングリストのメンバー管理はメーリングリスト作成者が行うところが多い。そのような場合は概してメンバー登録には熱心だが、メンバー削除には無頓着の場合が多い。メーリングリスト作成者の意識の低さも問題だが、そのことを社内のだれもが検知できない状況にも大きな問題がありそうである。
ケース2 社内機密情報が2ちゃんねるなどの掲示板に掲載
機密情報がインターネット上の掲示板経由で第三者に漏れているという事態が発生した。出所は明らかにメーリングリストのメールだ。なぜなら流出した内容がメーリングリストの内容そのものだったからだ。しかしだれが犯人かということまでは特定できなかった。
解説: メーリングリストは、1通のメールが多数の参加者にばらまかれる性質があるため、情報管理という意味ではとても厄介なツールである。メーリングリストに登録されているメンバーを1人1人調査すれば何か分かるかもしれない。しかし、もしメンバーのだれかが自分宛てのメールを外部ISPに転送していたりすれば、社内情報システム部員の管轄外での出来事となり、何が起こっても不思議ではない。今回の場合、途中経路で情報が傍受されたのかもしれないし、外部ISPのセキュリティ脆弱性が原因となって、悪意のある者によってメールサーバに不正侵入され、メールデータが盗まれたのかもしれない。
ケース3 中途採用の人には届かないメーリングリスト
社内の情報のやり取りが日常的にメーリングリストで行われている会社での話である。ある中途入社の社員は、業務上必要な情報がメーリングリストで流れているという事実を知らないまま数カ月が過ぎた。もちろんそんなメーリングリストが存在することすら知る由がなかったため、日常業務で大変な不便を強いられていた。
解説: メーリングリスト管理者が意識的にその人をメンバーに加えなければ、絶対にメンバーに加われない。自ら加わろうにも、そのメーリングリストの存在を知る手立てがなければ、その人は永遠にメーリングリストに加われず、必要な情報が受け取れないことになる。これは、メーリングリスト管理者の責任ともいえるし、そもそもそのような情報共有をメーリングリストで行うことが間違っているとも言える。
ケース4 当初の目的から外れるメーリングリスト
当初は、あるプロジェクト遂行のために作られたメーリングリストだったが、次第にその中でコミュニティが形成されつつある。このメーリングリスト上で社内生活のありとあらゆる情報が共有され、噂話や会社の不満まで共有されている。
解説: メーリングリストは安易な理由で作られることが意外に多い。メーリングリストの存在理由を明確化しておかないと、安っぽいコミュニティと化することも多い。また、メーリングリスト上で人の噂話や会社の不満を述べることは明らかに悪い行為である。就業規則によってはそのような行為が懲罰に値することもあり得るので注意願いたい。
メーリングリストをうまく使うための方法を考える
メーリングリストは、利用者にとっては大変便利なツールであるが、その反面、セキュリティと社内情報格差という点で大変問題点の多いコミュニケーション手段であることが分かっていただけたかと思う。
今回は、具体的なケースを4つ紹介したが、これらをまとめるとメーリングリストの問題は以下の4点に集約できるのではないかと思う。
- メーリングリストのメンバーが適切に管理されていない問題
- メーリングリストデータが広範囲に拡散する可能性がある問題
- メーリングリストの種類や登録されているメンバーが公開されていない問題
- メーリングリストの存在理由が曖昧な場合の問題
これらを解決するためには以下の対策を行うことが有効である。
- 適切なメンバー管理がされる環境を作る
- メーリングリストに登録できるメンバーは社内メールアドレスに限定する
- 社内メールアドレスから社外メールアドレスに転送できないようにするか、もしくは転送情報に関するログをすべて取り、外部に転送される場合はだれがどこに送ったのかが分かる状態にしておく
- メーリングリストのデータをノートPCや外付けハードディスクなどで持ち出せないようにする
- 社内にどんなメーリングリストが存在していて、それぞれだれがメンバーに加わっているのかを明らかにする
- 過去メールログをチェックできるよう、すべて社内Web上などで閲覧できるようにする
- .メーリングリストの存在と活用状況を第三者が定期的にチェックする
メーリングリストは安易に作成・運用されがちだが、業務用途であれば、それぞれの目的に従って的確に管理しなければならない。
国内某有名ITベンチャー企業に創業メンバーとして携わる。国内最大規模のシステムを構築運用してきたほか、社内情報システム業務を経験。韓国の交友関係が豊富なことから、韓国関連で多数のシステムインテグレーションを行ってきた。
企業におけるメーリングリストの運用では、さまざまな注意が必要になる。
情報漏えい防止の観点からは、メンバーを適切に管理し、その内容が拡散する可能性を減らすことが求められる。
社内における不公平、あるいは不適切な情報の流通を防ぐためには、メーリングリストの種類や、それぞれに登録されているメンバーを公開したり、メーリングリストの存在理由を明確化させる必要がある。
運用管理者のための知恵袋 バックナンバー 連載インデックスへ»
- 第1回 「システム運用管理担当者」を脱皮せよ
- 第2回 基本サービスこそ運用が難しい
- 第3回 セキュリティ対策はどこまで行えばいいのか
- 第4回 失敗しないグループウェア導入法とは
- 第5回 意外に危ないメーリングリスト運用
- 第6回 ファイルサーバの導入に失敗しない方法
- 第7回 現実的でバランスの良い冗長化について考える
- 第8回 TV会議システムを導入する前に考えること
- 第9回 安く、早く、確実、安全なバックアップとは
- 第10回 ソフトウェア資産管理を考える
- 第11回 社内PCの購買と管理を賢く行うには
- 第12回 サーバの設置場所はどこがいいか
- 第13回 ワークフローシステムの賢い導入法
- 第14回 会議室を効率的かつ便利な空間にする
- 第15回 情シス業務アウトソーシングの秘訣
- 最終回 社内ブログを導入しよう
 |
|
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
 |
操作もマニュアルも分かりやすい! ユーザー視点で開発されたPC管理ツール New! |
 |
仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
 |
情報漏えいで会社の社会的信用を失う前に @ITメールソリューションLive! in Tokyo |
 |
コスト削減・信頼性向上をまとめて満たす “高信頼Linux”を構築する方法とは? |
 |
SEの作業時間の大部分を占めるドキュメン ト作成。これを短縮するツールを紹介 |
|
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | 企業の仮想化に足りない“発想”とは? 仮想化運用管理のキモは意外なところに! New! |
| ◆ | 操作もマニュアルも分かりやすい! ユーザー視点で開発されたPC管理ツール New! |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | 深刻化する標的型攻撃への備えは万全か? Black Hat Japanで講演した村上氏に学ぶ |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | ドキュメント作成を自動化して、SEの作業 効率を大幅アップ! Visio 2007の魅力 |
求人情報
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「ITmedia」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。