●メールを取り巻くさまざまな脅威
しかし、「メールのセキュリティー」と一言に言っても、実はウイルス感染以外にもさまざまな脅威が存在する。実はシステム管理者はユーザーが知らないところで、ウイルス以外のありとあらゆる脅威と日々戦いを繰り広げているのである。ここでは、その戦いの歴史をざっと振り返ってみよう。
メールの世界に始めて登場したセキュリティー上の脅威は、先ほども挙げたウイルスだ。メールが世間に普及したころには、既に多くのウイルスが猛威を奮っていたほどだから、その歴史は相当古い。しかも、今日に至ってもなおその被害は相次いでいる。
この脅威への対抗策は、これもまた今やすっかりおなじみになったアンチウイルスソフトだ。恐らく皆さんが普段使っているPCにも、この手のソフトがインストールされているはずだ。さらに近年では、PC上でウイルスの検閲や除去を行うのではなく、PCにメールが届く前、つまりメールサーバー上で一括して対策を施す方法も広く普及している。
そしてウイルスの次に問題になったのが、スパムメール。皆さんの中にも、かつて膨大な量の迷惑メールが毎日送り付けられてきて、辟易した方も多いだろう。これも一時期大きな問題となったが、最近ではスパムメールをメールサーバー上で自動的に排除するソリューションが普及したことで、かなり沈静化しつつある。
また最近のトピックでいえば、2008年に施行されたJ-SOX法の監査に備えて、メールを査証としていつでも提出できるよう、大量の過去メールを保管・管理するためのITソリューションが脚光を浴びた。
●メールを経由した情報漏えい事故が後を絶たない
ところで、ここまで挙げてきた脅威とその対策は、基本的には「受信するメール」に対するものだ。しかし、ここ2、3年の間ににわかに脚光を浴びてきたのが「送信するメール」に関するセキュリティー対策だ。なぜメールの送信が脅威になり得るのか、少しイメージしにくい面があるかもしれないが、「情報漏えい」と結び付けてみるとピンとくるだろう。つまり、本来は外部に漏らしてはいけない情報がメールの添付ファイル(もしくは本文)という形で社外に送り出され、漏えいしてしまうというリスクだ。実際のところ、メールを経由した情報漏えい事故は後を絶たない。ユニアデックスでメールセキュリティーのソリューションに携わる山本好範氏は、「新聞などで事故の報道を目にする機会も多いが、実際には報道されないところで、それこそ毎月のようにどこかで事故が発生している」と述べる。
こうした問題への対策手段には、大きく分けて2種類のものが存在する。「故意の漏えい」への対策と、「うっかりミス」への対策だ。前者の具体的な手段としては、メールを送信する前に上長の承認を必ず得るようにする方法が一般的だ。近年では、この手続きを効率化するための各種ITツールも提供されている。
また後者は、いわゆる「誤送信防止」と呼ばれるもので、ユーザーのミスで誤った宛先にメールを送ってしまい、結果として重要情報が漏えいしてしまうケースを防ぐための対策だ。実は、情報漏えい事故の原因の内訳を見ると、こうした誤送信によるものが大半を占める。従って、これを防止するためのITソリューションも多く提供されている。
中でもよく見られるのが、メールの添付ファイルを暗号化するというものだ。暗号化した添付ファイルは、本来の受信者でないとそれを復号して元の姿に戻し、内容を見ることができない。そのため、もし万が一間違った宛先に届いてしまったとしても、そこから情報が漏えいするリスクはないというわけだ。
●運用の定着が難しい誤送信対策
実は、添付ファイルを暗号化すること自体は、特別な製品やサービスを導入せずとも簡単に実行できる。というのは、Windows XP以降のWindows OSには、ファイルをパスワード付きZIP形式に暗号化する機能が標準で付属しているからだ。これを使って添付ファイルを必ず暗号化して送るようルール化しておけば、誤送信による情報漏えいリスクは確実に減る。ただし同時に、この方法はユーザーにある程度の手間を強いることも事実だ。添付ファイルを送るたびに暗号化の操作を行い、パスワードを決めて入力し、さらにそれを別途送信先に通知して……。こうした手間を嫌い、社内ルールに反して添付ファイルを暗号化しなかったり、あるいは類推しやすい安易なパスワードを付けてしまうユーザーが少なくないと聞く。
本来こうしたセキュリティーポリシーは、徹底的に順守させるべきものである。情報漏えいが一旦発覚した際に企業が被るダメージの大きさを考えれば、こうした対策に漏れは許されない。とは言うものの、セキュリティーをガチガチに固めすぎた結果、ITの使い勝手が低下して社員の生産性がガタ落ちしてしまっては、これもまた本末転倒だ。
IT管理者にとっては、この辺りのバランスの取り方が極めて難しい。山本氏とともにユニアデックスでメールセキュリティーソリューションに携わる伊草孝裕氏は、次のように述べる。「送信メールに対するセキュリティー対策は、受信メールに対するそれと違って、メールを送信する人にはもちろんのこと、メールを受け取る側の人にも手間を要求する。そうした手間がハードルとなって、なかなか運用が根付かないケースが多い」。
かといって、ユーザーに掛ける負担を軽くするあまり、本来の目的であるセキュリティー対策が手薄になってしまっては元も子もない。
「おのおのの企業の事情に合わせて、落とし所をどの辺りに設定するか。これがIT管理者が現在直面している最大の悩みどころであり、同時に腕の見せ所でもある」
伊草氏はこう述べるが、これと同じことは誤送信対策のためのIT製品やサービスに関しても言える。今求められているのは、セキュリティーの強度と、ユーザーおよび管理者の使い勝手の双方を高い次元で両立でき、かつ両者のバランスの度合いを柔軟に設定できる製品・サービスなのだ。
●ユニアデックスのメール暗号化サービス
ちなみに、ユニアデックスが提供する「メール暗号化サービス」は、まさにこうした背景やニーズを踏まえて開発されたものだという。システムが添付ファイル(もしくは添付ファイルとメール本文の両方)を自動的にパスワード付きZIP形式で暗号化し、パスワードを生成してくれるため、ユーザーに掛かる負担が最小限で済む。また管理者にとっても、送信元と送信先をグループ分けし、それぞれ個別に運用ルールを設定できるため、使い勝手とセキュリティーのバランスをきめ細かく管理できるメリットがある。例えば、営業部門から重要な顧客に送信するメールには厳格なルールを、関連会社宛てのメールには中程度のルールを、そして社内で社員同士がやりとりするメールには最小限のルールを適用するといったように、場面に応じた複数のルールをあらかじめ定義し、運用できるようになっている。
また、サービスはSaaS形式で提供されるため、初期導入コストゼロで迅速に運用を始めることができる。さらに、パスワード付きZIP形式より高い強度の暗号化アルゴリズムが必要なユーザー向けに、Camellia暗号化もオプションでサポートされている。
現時点で企業のメール誤送信対策に必要とされる機能は、一通り漏れなくカバーされていると言っていいだろう。山本氏も次のように述べる。
「SaaS型サービスなので、ユーザーから見ると運用の手間も一切掛からない。送信メールに対するセキュリティー対策はとかくユーザーやIT管理者に手間を強いるが、このサービスなら最小限の手間で、どんな企業でも無理なく導入・運用できるはずだ」
