メール経由の情報漏洩を「させない」4つのアプローチ

Winnyよりも身近なセキュリティ・リスク。ユーザーまかせは絶対危険！

（2006年07月14日）

情報漏洩を起こしていないことを証明するメール・アーカイブ

　昨今では、コンプライアンスの観点から、多くの企業においてメール・アーカイブの導入／検討が進められている。いざというときに自社で不正行為が行われていないことを証明するために、その証拠として、メールを保存しておこうというわけである。この不正行為には、当然、情報漏洩も含まれる。今日の企業は、情報漏洩の防止に加えて、情報漏洩を起こしていないことを第三者に証明できなくてはならないのだ。

　メールの保存規制は、2001年のエンロン粉飾決算事件を機に、米国証券取引委員会（SEC）が企業の不正を見極めるための対策として打ち出して以来、世の中の趨勢となりつつある。国内では、2005年11月に改正された不正競争防止法において外部委託先とやり取りしたメールの保存が義務づけられているほか、現在、金融庁によって制定が進められている日本版SOX法（Sarbanes-Oxley Act：米国企業改革法の日本版）の施行に伴い、上場企業では内部統制の一環として、メールをはじめとする電子データの適切な保管体制を構築することが義務化されると言われている。こうした背景から、メール・アーカイブへの注目が俄然高まることとなったわけだ。例として、本稿では、日本ヒューレット・パッカード（HP）の製品を紹介する。

　コンプライアンスの一環としてメール・アーカイブ製品を提供するHPは、企業がコンプライアンスを進めるにあたって、現在のITシステムは以下の3つの問題を抱えているとしている。

電子データの爆発的な増大
レガシーな技術とアーカイブ・プロセスの統合
アプリケーション間におけるデータの重複

　加えて、昨今の企業は訴訟や法規制によって情報開示を求められる機会が増えており、そうしたときのための対策を講じる必要がある。HPは、情報開示に向けた具体的な施策として、次の3つを挙げている。

保存すべきデータの種類と期間の決定
業務を横断する一貫した強制的保存・破棄ポリシーの決定
保管期間満了後にとるべきアクションの決定

写真1：HP StorageWorks RISS 1.7TBベース・ユニット

　ITシステムが抱える課題、そして各種の法規制に対応するために、企業は、ビジネス・プロセスと連動して情報の収集、管理、保管、活用のフローを確立する、いわゆるILM（情報ライフサイクル・マネジメント）の考え方に基づき、メール・アーカイブを含めたインフラを構築する必要がある。

　HPの「StorageWorks Reference Information Storage System（以下、RISS）」（写真1）は、メールをはじめとするコンテンツのアーカイブに必要なハードウェア、ソフトウェア、およびサービスを統合したストレージ・システムだ（図4）。

　RISSのメール・アーカイブ機能は、法規制に対応するためにすべての送受信メールをアーカイブする「コンプライアンスアーカイブ」モードと、メール管理を向上させるためにポリシーに応じてメールをアーカイブする「セレクティブアーカイブ」モードの2種類が用意されている。両モードにおいてアーカイブされたメールは、「RISSコンプライアンスエンジン」によって管理される。同エンジンの特徴について、日本HPエンタープライズストレージ・サーバー統括本部ストレージワークス製品本部プロダクトマーケティング部の平田伸一氏は、次のように説明する。

　「RISSコンプライアンスエンジンでは、重複データの排除とデータの圧縮を行い、データ管理に要する工数の低減とコスト削減を図ります。また、データがアーカイブされる際には、作成日、ユーザーまたはアプリケーションのID、有効期限の情報が付加され、それに基づいた厳密な管理がなされるため、設定された保存期間の不正削除や改竄を防止できます」

図4：HP StorageWorks RISSの構造

　つまり、RISSを導入することによって、メールを含む電子データのアーカイブ、保存、破棄という、ILMに沿った管理作業の自動化が実現されるとともに、保存されたデータの真正性を確保することが可能になるというわけだ。

　また、RISSでは、グリッド技術によって高速検索を実現している。実際にメールの検索性がどれくらい向上するのかというと、数分で数十テラバイトに上るアーカイブから目的のメールやその添付ファイルを検索することも十分に可能になるという。こうしたメールの内部監査における業務効率の飛躍的な向上が、結果として情報漏洩を許さない企業体質を導いていくと言える。

管理者の手間が省けるゲートウェイ・サービス

　さて、ここまでは、製品として販売されている情報漏洩対策を紹介してきたが、メール経由の情報漏洩対策をサービスとして提供するところも現われている。インターネットイニシアティブ（IIJ）がその1社で、同社は「IIJ Mailゲートウェイソリューション」を提供している。

図5：IIJの情報漏洩対策サービス「IIJ Mailゲートウェイソリューション」の仕組み

　同サービスは、ユーザー企業とインターネットの間に位置するゲートウェイとして機能し、さまざまなセキュリティ対策を提供する（図5）。そのため、メール・サーバの設定をいったん変更してしまえば、その後、管理者は運用に伴う作業を行う必要がない。本記事のテーマに適したメールによる情報漏洩対策としては、次のようなサービスが提供されている。

迷惑メールフィルタ

　独自のエンジンを利用して受信メールの内容を分析。広告メールやフィッシング・メールと判断したものは、ユーザー企業のメール・サーバに送信せずに遮断・隔離する。

メール監査

　送信メールの本文ならびに添付ファイルに関して、ユーザー側で指定したキーワードを含むものが発見された場合は管理者に通知する。さらに、送信禁止や保留の扱いにすることも可能。

メール保管

　送受信メールの本文ならびに添付ファイルをすべてIIJデータセンターで保管する。情報漏洩が発覚した場合などに、証拠として確認することができる。

　以上、メールを介して発生する情報漏洩の防止策について、4つのアプローチを製品／サービスの紹介とともに説明してきた。IT/IS部門側での適切な対策により、情報漏洩のリスクは大きく低減されることになる。ただし、いかなるテクノロジーも万全ではない。そのため、特にこの手の対策では、ユーザー側でのモラルや正しい知識が求められるのは言うまでもないことである。

（月刊Computerworld 2006年6月号に掲載）

前のページへ < ｜1｜2｜