※クリックで拡大

図4　電子メールポリシー管理のイメージ

　最近のさまざまな調査を見ると、現在過半数の企業が何らかの情報セキュリティポリシーを策定しているようだ。電子メールポリシーもこの一部に位置付けられるもので、ほかの項目と同様、まずは企業ごとの電子メールで業務が遂行される際のリスクを洗い出したうえで、従業員が電子メールをどのように使うべきかについてのポリシー（ガイド）を策定する（図4）。 　ただし、これについてはいくつか参考になる資料がある。たとえば、経済産業省が公表している「情報セキュリティ管理基準」というものがある。

　これは、企業や組織が情報セキュリティ管理を行う際のたたき台として使えるように作成されたものだ。この中に「電子メールにおけるセキュリティ上のリスクを軽減するための管理策の必要性について考慮すること」という項目があり、考慮すべき点として「電子メールの攻撃への対処」「電子メールの添付ファイルの保護」「電子メールを使うべきでない場合を規定」「会社の信用を傷つける行為に対する従業員の責任を規定」「メッセージの機密性と完全性を保護するための暗号技術の利用」「証拠として使えるメッセージの保存」などが挙げられている。

　これらの方針を踏まえて具体的なガイドを作成することができる。また、現在は経済産業省の定めた情報セキュリティ監査制度というものがあり、これに沿った監査を受けて助言を仰ぐことも可能だ。


　ウイルスにしても、情報漏えいにしても、結局問題を起こすのは人なので、上記で策定されたポリシーを従業員に浸透させることが必須事項となる。

　特に、メールとWebは日々使うツールであり、セキュリティ意識の低さや単純なミスが大事故につながる危険性をはらんでいるので、個々の禁止事項に関してそれを犯すことによるリスクを全社員に理解してもらう必要がある。

　あくまで全社員というのが重要だ。1人でも意識の低い人がいると、その人がセキュリティホールとなる可能性があるからだ。ちなみに筆者の所属するクリアスウィフトでは、入社時にメールとWebの使用に関するガイドにサインを求められる。最近では、こうした企業も増えてきている。

※クリックで拡大

図5　UTMアプライアンスでメールセキュリティを統合管理

　最後に、ツールを使った電子メールセキュリティ対策の実施となる。電子メールセキュリティ対策には現在さまざまな製品が出ているが、大きく分けると、アンチウイルスやアンチスパムなど受信メール対策のための製品と、情報漏えい対策やコンプライアンスを意識した送信メールの管理を行う製品がある。これらを組み合わせて最適なセキュリティ対策を行う。

　ウイルスやスパムメールに対する個別の対策については第3回以降に譲るが、ここで重要なポイントが2つある。

　1つ目は、多層的な対策だ。たとえばウイルス対策。単一のウイルス定義（パターン）ファイルだけでは100％ウイルスを検知することはできない。ウイルスの種類が激増し、拡散のスピードが上がっている現在、定義ファイルを取得する前に拡散してしまうことも珍しくない。こうした、いわゆる0dayアタックへの対応として、メールフィルタリングで実行型の添付ファイルや特定の拡張子などをチェックすることで、対策を補完する方法もある。

　また前述のように、今やウイルスとスパムの問題はリンクしている。ウイルスなどの不正プログラムがメールに添付されてくるのではなく、本文に記載されたURLをクリックするとダウンロードされてしまうようなものについては、スパム対策製品でよく使われるSURBL（＊3）などが有効となる。

　もう1つの例として、個人情報漏えい対策がある。漏えいそのものを防止する意味では、メールフィルタリングソフトで個人情報らしきファイルをブロックするとともに、ウイルス・スパム対策製品で外部からの不正アクセスを監視することが有効となるが、改ざんや盗聴を防止しながらメールを送信したい場合には暗号化を行う必要がある。また、情報漏えい事故が起きた際に、該当メッセージを探し出すために、メールデータをアーカイブしておく。

　そして2つ目は、ポリシーの集中管理。上記のような多層的な対策を取るには、複数のセキュリティ機能（製品）が必要となるが、製品が増えると管理面やコスト面でもロスが多くなる。製品ごとに操作を覚える必要があるし、パターンファイルの更新、ソフトウェアの更新、ハードウェアのメンテナンスなども製品の数だけ必要となるからだ。すべてをカバーできる製品を見つけるのは難しいとしても、最近はアプライアンスなどで必要な機能が複数まとまったUTM製品も出てきているので（図5）、選択肢の1つに加えたい。

（＊2） 日本版SOX法
SOX法は、米国で企業の内部統制強化を目的に制定された企業改革法、Sarbanes-Oxley（サーベンス・オクスリー）法を指す。このSOX法と同様の法制度が、日本政府の企業会計審議会・ 内部統制部会のもとで作成されており、草案が2005年7月に発表、2008年には導入されるとされている。

（＊3） SURBL
Spam URI Realtime Blocklist。スパムに含まれるURL情報をリストとして共有してフィルタリングする手法。http://sc.surbl.org/を参照。

宮本哲也 クリアスウィフト マーケティングディレクター マイクロコム、コンパックコンピュータなどを経て、2002年よりクリアスウィフト設立と同時に参加、マーケティングを担当。電子メールリスク管理の啓蒙活動に注力する。