電子メールのセキュリティ確保に向け挑戦広がる（4/4 ページ）

[Brian Prince，eWEEK]

電子メールセキュリティかコンテンツセキュリティか？

　データの盗難や内部の人間によるデータ漏えいが一般化した今日、電子メールのセキュリティ対策は、スパムやマルウェアだけではなく、DLP（データ漏えい防止）にも目を向けたものでなければならない。Tumbleweed Communicationsの技術担当副社長、ジョン・シーレンズ氏は、「企業の関心は総合的なコンテンツセキュリティの方にシフトしてきた」と指摘する。

　「今日、コンテンツセキュリティの問題を解決するには、何社ものベンダーからさまざまな製品――Webフィルタ、電子メールフィルタ、コンテンツ分析スイート、ファイル転送製品、エンドポイント防御スイートなど――を購入する必要がある」とシーレンズ氏は話す。

　DLP製品は総合的なアプローチを提供するもので、コンテンツ監視、データ分類、ポリシー適用などの機能を備える。

　DLP市場では昨年、何件かの買収があり、DLP技術はエンタープライズ市場に進出しようとしている。この技術は、例えば、社会保障番号が含まれている電子メールなどがメールゲートウェイを通過するのを阻止するという形でセンシティブなデータが流出するのを防ぐのに役立つが、多くの企業では同技術の配備がまだ進んでいない。

　昨年11月に好評された報告書「Extending Intellectual Property Protection Beyond the Firewall」（知的財産防御対策はファイアウォールだけでは不十分）の中で、Enterprise Strategy Groupのアナリストらは、調査に協力した109人の回答者の中でネットワークベースのDLPアプライアンスを自社で利用していると答えたのはわずか17％だったと指摘している。

　機密データが電子メールを通じて流出する前にそれをブロックする機能は、電子メールセキュリティで重要な要素だといえる。しかしアナリストらによると、企業はDLPの導入を検討する前に、自社の機密データはどれであり、自社のビジネスニーズは何であるのかをまず把握する必要があるという。シーレンズ氏によると、「禁止と許可」のアプローチを重視しすぎるのもリスクがあるという。どのような防御策を講じようとも、究極的にセキュリティの最終防衛ラインである従業員がそれを回避すれば、何にもならないからである。

　「コンテンツ管理問題というのは、細長い風船で作ったアニマルバルーンのバブル（ひねってできた球）のようなものだ。バブルをギュッと締め付けても、中の空気は右に行ったり左に行ったりするだけだ。電子メールを禁止すれば、ユーザーはファイルやWeb、インスタントメッセージングなどを使い始めるだろう。禁止という考え方で臨むかぎり、いつもモグラ叩きをする羽目になる」とシーレンズ氏は指摘する。

　「それよりも、許可という考え方で臨むべきだ。“間違ったやり方を防ぐための防御策を導入するが、情報を扱う業務を行う方法をあなた方が知っている部分では必要な手段を提供するつもりだ”と従業員に話せばいいのだ」（同氏）

原文へのリンク