電子メールのセキュリティ確保に向け挑戦広がる(3/4 ページ)
セキュリティ対策の手段はさまざま
つい数週間前、バージニア州アーリントン郡の職員の受信ボックスにターゲット型攻撃の電子メールが届いた。同郡の最高情報セキュリティ/プライバシー責任者であるデビッド・ジョーダン氏によると、電子メールの添付ファイルの中にパスワードダンププログラムが隠されていたという。しかし、この職員はセキュリティ意識向上を目指した教育を受けていたため、添付ファイルを開かなかった。
「その職員は添付ファイルを開けてはいけないことを知っていた。それですぐに、不審な電子メールをITサービスヘルプデスクに転送した」とジョーダン氏は話す。
同郡ではSymantec Client Securityを利用しており、ジョーダン氏によると、そのユーザーが添付ファイルを開けたとしても、このシステムが悪質なプログラムを無害化した可能性があるという。しかし同氏は、この出来事はセキュリティおよび従業員教育という観点から常に警戒を怠らないことが重要であることを示す例だとしている。
「従業員を教育し、彼らがコンピュータの安全な利用に責任を持てるようにすることが、わたしの任務の1つだ」と同氏は話す。
「例えば、研修中の新人スタッフ全員に個人的に面談し、オンラインの脅威を意識させるとともに、Webや電子メールの利用などに関する当郡のセキュリティポリシーの周知徹底を図っている。加えて、週刊ニュースレターを発行したり、SMS(ショートメッセージサービス)のテキスト通知システムを通じて最新の詐欺や電子メール攻撃に関して職員に警戒を呼びかけたりするなど、日常的な教育や注意喚起活動も行っている」
航空会社Stevens Aviationでネットワーク管理者を務めるケビン・ヒューイット氏によると、Webセキュリティに関して、すべきこととやってはいけないことについてユーザーがきちんと教育されていなければ、どんな技術を用いても企業を守ることはできないという。
「Stevens Aviationでは、すべての新たな潜在的脅威に対してユーザー全員に注意を喚起している」とヒューイット氏は話す。
「これは当社のネットワークを守るためだけではなく、ユーザーが自宅でもそういった問題を避けることができるようにするためだ。ユーザーに新たな問題を通知するために社内で配信する電子メールには、詐欺、感染、攻撃を防止する方法を確認するためのFAQセクションも含めている」
Stevens Aviationでは、電子メールのセキュリティ対策としてSaaS(Software as a Service)方式を選んだ。同社が利用しているのはWebrootのSaaS製品「E-mail Security」である。ヒューイット氏によると、同社は毎日約12万通の電子メールを受信しているが、そのうちの約93%がスパムだという。「このSaaSモデルは帯域の節約になり、社内のスパムソリューションとして利用していたサーバも不要になった」と同氏は付け加える。
ヒューイット氏は、電子メールのセキュリティのベストプラクティスを幾つか示し、Webメールに関しては、企業はこれを禁止するよりも許可すべきだとアドバイスしている。従業員の個人的なやり取りには、仕事用の電子メールアカウントではなくWebベースのアカウントを利用するのを認めた方がいいというのである。
しかし、従業員にWebメールの利用を許可することがリスクを伴わないわけではない。それは従業員の生産性という面でのリスクだけではない。
MessageLabsの2008年2月の「Intelligence Report」は、すべてのスパムの4.6%がWebメールサービスから発信されていると指摘している。また、Gmailからのスパムの割合は1月の1.3%から2月には2.6%へと倍増したという。最も悪用されているWebメールサービスがYahoo! Mailで、Webメールベースのスパムの88.7%がここから発信されている。
「“理論的にはセキュリティホールを開ける恐れがあるため、Webメールは許可しない”という立場をとる企業もあるだろう」とMessageLabsのセキュリティアナリストのサナー氏は語る。
「メールゲートウェイを配備している企業では、コンテンツフィルタリングやウイルス防止対策が行われているだろう。最近では、ほとんどの企業が社内の電子メールシステムを防護するために何らかの対策を講じているはずだ。そうだとしても、(例えば)Hotmailへのアクセスを許可すれば当然、Hotmailアカウントに侵入したウイルスをユーザーが受け取る恐れがある。その場合、社内に配備したセキュリティメカニズムが完全に裏をかかれる形になる」(同氏)
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。