ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2007/07/06 掲載

多様化、巧妙化するスパム/ウイルスに対応するメールセキュリティ(2)(2/2)

NETWORK Guide Vol.1より

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。

電子メールポリシーの策定



※クリックで拡大
図4 電子メールポリシー管理のイメージ
 最近のさまざまな調査を見ると、現在過半数の企業が何らかの情報セキュリティポリシーを策定しているようだ。電子メールポリシーもこの一部に位置付けられるもので、ほかの項目と同様、まずは企業ごとの電子メールで業務が遂行される際のリスクを洗い出したうえで、従業員が電子メールをどのように使うべきかについてのポリシー(ガイド)を策定する(図4)。  ただし、これについてはいくつか参考になる資料がある。たとえば、経済産業省が公表している「情報セキュリティ管理基準」というものがある。

 これは、企業や組織が情報セキュリティ管理を行う際のたたき台として使えるように作成されたものだ。この中に「電子メールにおけるセキュリティ上のリスクを軽減するための管理策の必要性について考慮すること」という項目があり、考慮すべき点として「電子メールの攻撃への対処」「電子メールの添付ファイルの保護」「電子メールを使うべきでない場合を規定」「会社の信用を傷つける行為に対する従業員の責任を規定」「メッセージの機密性と完全性を保護するための暗号技術の利用」「証拠として使えるメッセージの保存」などが挙げられている。

 これらの方針を踏まえて具体的なガイドを作成することができる。また、現在は経済産業省の定めた情報セキュリティ監査制度というものがあり、これに沿った監査を受けて助言を仰ぐことも可能だ。

従業員の啓蒙

 ウイルスにしても、情報漏えいにしても、結局問題を起こすのは人なので、上記で策定されたポリシーを従業員に浸透させることが必須事項となる。

 特に、メールとWebは日々使うツールであり、セキュリティ意識の低さや単純なミスが大事故につながる危険性をはらんでいるので、個々の禁止事項に関してそれを犯すことによるリスクを全社員に理解してもらう必要がある。

 あくまで全社員というのが重要だ。1人でも意識の低い人がいると、その人がセキュリティホールとなる可能性があるからだ。ちなみに筆者の所属するクリアスウィフトでは、入社時にメールとWebの使用に関するガイドにサインを求められる。最近では、こうした企業も増えてきている。

電子メールセキュリティ製品を利用した対策


※クリックで拡大
図5 UTMアプライアンスでメールセキュリティを統合管理
 最後に、ツールを使った電子メールセキュリティ対策の実施となる。電子メールセキュリティ対策には現在さまざまな製品が出ているが、大きく分けると、アンチウイルスやアンチスパムなど受信メール対策のための製品と、情報漏えい対策やコンプライアンスを意識した送信メールの管理を行う製品がある。これらを組み合わせて最適なセキュリティ対策を行う。

 ウイルスやスパムメールに対する個別の対策については第3回以降に譲るが、ここで重要なポイントが2つある。

 1つ目は、多層的な対策だ。たとえばウイルス対策。単一のウイルス定義(パターン)ファイルだけでは100%ウイルスを検知することはできない。ウイルスの種類が激増し、拡散のスピードが上がっている現在、定義ファイルを取得する前に拡散してしまうことも珍しくない。こうした、いわゆる0dayアタックへの対応として、メールフィルタリングで実行型の添付ファイルや特定の拡張子などをチェックすることで、対策を補完する方法もある。

 また前述のように、今やウイルスとスパムの問題はリンクしている。ウイルスなどの不正プログラムがメールに添付されてくるのではなく、本文に記載されたURLをクリックするとダウンロードされてしまうようなものについては、スパム対策製品でよく使われるSURBL(*3)などが有効となる。

 もう1つの例として、個人情報漏えい対策がある。漏えいそのものを防止する意味では、メールフィルタリングソフトで個人情報らしきファイルをブロックするとともに、ウイルス・スパム対策製品で外部からの不正アクセスを監視することが有効となるが、改ざんや盗聴を防止しながらメールを送信したい場合には暗号化を行う必要がある。また、情報漏えい事故が起きた際に、該当メッセージを探し出すために、メールデータをアーカイブしておく。

 そして2つ目は、ポリシーの集中管理。上記のような多層的な対策を取るには、複数のセキュリティ機能(製品)が必要となるが、製品が増えると管理面やコスト面でもロスが多くなる。製品ごとに操作を覚える必要があるし、パターンファイルの更新、ソフトウェアの更新、ハードウェアのメンテナンスなども製品の数だけ必要となるからだ。すべてをカバーできる製品を見つけるのは難しいとしても、最近はアプライアンスなどで必要な機能が複数まとまったUTM製品も出てきているので(図5)、選択肢の1つに加えたい。

(*2) 日本版SOX法
SOX法は、米国で企業の内部統制強化を目的に制定された企業改革法、Sarbanes-Oxley(サーベンス・オクスリー)法を指す。このSOX法と同様の法制度が、日本政府の企業会計審議会・ 内部統制部会のもとで作成されており、草案が2005年7月に発表、2008年には導入されるとされている。

(*3) SURBL
Spam URI Realtime Blocklist。スパムに含まれるURL情報をリストとして共有してフィルタリングする手法。http://sc.surbl.org/を参照。

宮本哲也
クリアスウィフト マーケティングディレクター

マイクロコム、コンパックコンピュータなどを経て、2002年よりクリアスウィフト設立と同時に参加、マーケティングを担当。電子メールリスク管理の啓蒙活動に注力する。


評価する

いいね!でぜひ著者を応援してください

  • 0

会員になると、いいね!でマイページに保存できます。

共有する

  • 0

  • 0

  • 0

  • 0

  • 0

  • 0

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line

関連コンテンツ

なぜ「ゼロトラスト」実現につまずく? サイバー攻撃の標的「特権ID」管理の難しさ

EDRの導入はなぜ失敗するのか? ガートナーが語る「2つの人間系の問題」とその解決策

なぜトヨタの14工場が停止? サプライチェーンに「社長セキュリティ」が必須なワケ
関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample