メールセキュリティソリューションセミナー2008イベントレポート

「法律」はメールの秩序を取り戻す鍵となるか


宮田 健
@IT編集部
2008/3/14



 2008年2月28日、青山ダイヤモンドホール(東京都港区)にて「メールセキュリティソリューションセミナー」(主催:アイティメディア株式会社 @IT編集部)が開催された。大阪に続いての開催となる本セミナーでは、メールが発端となるさまざまな問題をいかにして防ぐかという各社のソリューションの紹介に加え、メールセキュリティと法律の関係を詳しく解説する特別講演が行われた。

【関連記事】
メールセキュリティソリューションセミナー(大阪・2007年11月開催)
「精神論」に頼らないメールセキュリティ対策とは
http://www.atmarkit.co.jp/fsecurity/special/105mailosaka/mailosaka01.html

 現在、メールはビジネス上で最も利用されているアプリケーションであることはいうまでもないだろう。しかし、現在まん延しているウイルスのほとんどがメール経由にて感染する現実や、スパムやフィッシングの対策、さらには内部統制にかかわる整備の必要性などを考えると、「素のままのメールシステム」では高いリスクを抱えることになってしまう。このリスクをどう管理するのかがメールシステム管理者を悩ませる問題となっている。この点について、ソリューションという観点と法律という観点でセッションが行われた。その模様をレポートしよう。

 「分かっちゃいるけど」情報漏えいせざるを得ない現実

 まず、メールによる情報漏えいの現状から見ていこう。メールが引き金になって発生する情報漏えいは、

  1. スパムメールを受信する
  2. スパムメールにあるURLをクリックする
  3. 悪意のあるWebサーバに接続する
  4. レスポンスとして悪意のあるコード(マルウェア)が実行される

 これらの動作は「受動的攻撃」と呼ばれ、Webサーバへの攻撃ではなく、クライアントPCが狙い打ちされるという状況だ。外部からの接続をチェックするファイアウォールも受動的攻撃では通用しない場合が多い。

 また、無視できないのは人の操作を介した情報漏えいである。具体的には、故意に機密情報をメールにより社外へと持ち出すことだ。これは悪意のある場合だけではなく、例えば自宅で仕事をするために、書類をメールにて個人メールアドレスに送るということも含まれる。これはもちろん規則違反となるが、現実としては仕方なく行われてしまっているのではないかと考えられる。

マカフィー
SE本部 シニアエンジニア
岩井 弘志氏

  マカフィーが調査した結果でも上記のような結果が出ている。マカフィーの岩井弘志氏によると、70%の人はこのような違反行為が会社のブランドにダメージを与えることを理解しており、職場を追われることすら理解しているにもかかわらず、このような行為は絶えることがないのが現状なのだ。

 同社ではこの問題に対し「McAfee DLP」をソリューションとして提供している。データ損失防止(Data Loss Prevention)という考え方を基にし、機密情報に特別なタグを付け、それらのタグが付いているファイルはメール添付を禁止したり、一部のテキストをコピーしWeb上の掲示板に張り付けたとしてもブロックができるなど、そもそもの「規則違反」を行えないような仕組みを提供している。

 各企業ですでに制定されているであろう運用ルールを補完し、それを守らせるためにITの力を利用するというソリューションだ。

マカフィーの調査では、多くの人が仕方なく情報漏えいをしてしまっている現状が見て取れる。

 メール監査を教育手段として利用できる?

 スパムメール対策、ウイルス対策などはほぼ一通り対策を行った企業も多いだろう。次にやってくるのは「内部統制」をどうメールへ適用していくのか、というポイントではないだろうか。例えばメールの監査だ。このメールの監査というのを内部統制ではなく、別の側面から考えていきたい。

NTTPCコミュニケーションズ
ネットワーク事業部
バリューサービス部 執行役員
小山 覚氏

 NTTPCコミュニケーションズの小山覚氏は「企業ではメールの書き方まで教えられていない、という方が多いのではないでしょうか」と語る。メールは基本的には1対1、1対多でやりとりが行われるため、例えば新入社員がどのようなメールを取引先とやりとりしているのか上司からは見えない。そこでこのメール監査を使い、教育としても使ってみてはどうだろうか、という話だ。

 NTTPCコミュニケーションズが提供するメールホスティングサービス「Mail Luck!」ではスパムやウイルス対策はもとより、メールの保存(アーカイブ)やWebメールインターフェイスの提供などを行っているが、メールの監査(フィルタリング)機能では監査ルールとして特定のキーワードが使われているかを判別し、使われていた場合は管理者の承認が必要となる。

 小山氏はこのメールの監査を「河川に設置された魚道」に例えた。魚道を見ることで、すべての魚の行き来をストップすることもできるし、どのような種類の魚が魚道を通り、上流へと泳いでいるのかも分かる。メールの監査も外に流れるものを観察することで、正しい管理ができるのだ。

メールASPの仕組みを応用し、メールの送信前に内容をチェックすることが可能だ。

1/3

Index
メールセキュリティソリューションセミナーイベントレポート
「法律」はメールの秩序を取り戻す鍵となるか
Page1
「分かっちゃいるけど」情報漏えいせざるを得ない現実
メール監査を教育手段として利用できる?
  Page2
メールの情報漏えい、「うっかりミス」が原因であるとしたら
メール監査の整備は内部統制以前の問題
  Page3
法律という側面からメールのリスクを見る
日本における迷惑メール関連法の現状
特定電子メール法違反は直罰? 間接罰?
情報の窃盗はそれ自体が罰とならない
機密性と可用性の悩ましい関係

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH