【連載】
情報漏洩100％対策──あらゆるリスク、ケースを徹底検証

第2回ネットワーク運用からのアプローチ（1）
「内部から外部への通信」におけるリスクと対策

（2006年03月09日）

業務に不可欠なメール・プロトコル「SMTP」

　電子メールはもはや、企業・個人を問わず、社会活動のために不可欠なコミュニケーション・ツールとなっている。実際、連絡窓口としてメール・アドレスを用意していない企業は少数派になりつつある。しかし、メールは便利な反面、情報漏洩を簡単に起こすリスクを抱えている。例えば、メールだと、バイナリ・ファイルをはじめ、いかなるデータも送信できてしまう。そのことに頭を痛めている管理者も多いはずである。以下、メール送信時の情報漏洩対策について説明しよう。

SMTPサーバをチョーク・ポイントとする

　メールは、一般にユーザーから直接外部のメール・サーバに送られることはなく、ネットワーク内部のSMTP（送信メール）サーバを経由して宛先のメール・サーバに届けられる。つまり、SMTPサーバはうってつけのチョーク・ポイントとなるわけだ。SMTPサーバ、またはその間近にチョーク・ポイントを設けた場合、ユーザーが外部と直接通信するのを防ぐほか、不正なコマンドの実行防止、メールの内容の監査、利用者や宛先などの記録といったことが行える（図2）。

図2：SMTPのチョーク・ポイントで講じる対策

メールの転送を停止する

　携帯電話をはじめとする外部のメール・アカウントへのメール転送を許可することは、メールという情報の管理を他組織にゆだねることになり、「情報漏洩」に当たる（この定義は前号で説明済みである）。

　例えば、転送先のメールボックスの容量が不足していたために、送信者に転送先のサーバからエラー・メールが送られるというケースは珍しくない。その場合、送信者が送ったメールはエラーとして転送先（外部のネットワーク）の管理者に届いてしまっている可能性が非常に高いのだ（図3）。だが普通は、その管理者はメールの正当な閲覧者ではないはずなので、管理者に情報が漏洩してしまったことになる。

図3：外部のメール・アカウントへの転送を許可している場合に発生する情報漏洩の例

　情報（メール）を完全に自社の管理下に置かないことがどれだけ恐ろしいことか、ご理解いただけただろうか。このたぐいの事故が非常に多いことを考えれば、やはり、メールの転送は禁止するべきである。

　そのほか、私用メールを認めるかどうかという問題もある。その線引きは難しく、確かに結論を出しにくい。だが、私用メールに間違えて機密情報を添付してしまう、意図的な情報漏洩が私用メールに紛れて見逃されてしまう、といった状況が想定されることを考えれば、今後私用メールは禁止されていくのではないだろうか。技術者としては残念だが、セキュリティを考慮すれば致し方あるまい。

　これらの例は、メールが連絡手段として安易に扱われすぎていることを象徴している。企業は、従業員に対して、メールが情報漏洩の発生要因となりうることをあらためて啓蒙、周知させる必要があろう。

前のページへ < ｜1｜2｜3｜4｜ > 次のページへ