Part3 監視のポイントをどこに置くか：「社内ブラックリスト」の作り方（4/7 ページ）

[N+I NETWORK Guide]

監視の対象：電子メール

ネットワーク監視により動きと内容を記録する

佐藤 敦（三菱スペース・ソフトウエア）

フィルタリング方式の限界

　電子メールによる情報漏えいは、電子メールの本文や添付文書に漏えいしてはならない情報があり、それが社外や部門外へ送信されることによって発生する。多くの企業ではすでに、電子メールによる情報漏えいの危険性に気づいており、社外向けの電子メールに特定のキーワードがあるか否かを調べ、キーワードがあった場合には送信をストップさせるフィルタリング装置を導入しているところもある。

　ただし、キーワードに漏れがあると送信できてしまうので、キーワードのメンテナンスは非常に重要な作業となり、システム管理者に重い負担をかけることになる。その一方、どれだけひんぱんにメンテナンスを行っても、キーワードを完ぺきに設定することはおそらくできない。したがって、このような装置を導入したとしても、電子メールによる情報漏えいが起こる危険が残ってしまうのだ。情報漏えい対策は、このことを前提に考える必要がある。この考え方は、ほかのすべてのサービスに共通していえることである。

事故の原因をトレースする必要性

　では、より徹底した対策を講じるにはどうすればよいか。それは、「ネットワーク」の項で触れたネットワーク監視を行うことだ。ネットワーク監視とは、ネットワーク上を流れるパケットをすべて記録しておき、記録したパケットから流れていたアプリケーションデータを再構成し、いつ、誰が、どこからどこへ、何を送った（受け取った）のかを管理するものだ。

　昨今急増している個人情報漏えい事件に見られる損失額は、企業の存続問題に発展するほど莫大である。しかし、その半分は、事故の発生原因を特定できなかったり、特定に時間がかかったりしたことによる社会的信用の失墜にあるといわれている。逆をいえば、事故が起きても迅速に対応できれば、社会的な信用の失墜を免れ、損失額を半分にすることができる。迅速に対応したことで、逆に信用を得た例もある。ネットワーク監視ができていれば、万一、情報が漏えいしても、それが事実であったのか、どういう情報を、誰が、どのようにして漏えいしたのかが調査可能である。

　また、ネットワーク監視によって、これまで気づいていなかった情報セキュリティ上の問題点が発見できる可能性や、ネットワーク監視の実施を告知した場合の情報漏えいへの抑止効果など、高い情報セキュリティマネジメント上の効果が期待できる。つまり、電子メールで最初に行うべきセキュリティ対策は、ネットワーク監視を行うことなのだ。

すべてのメールを記録し保管する

　電子メールの監視では、電子メールが送信された、あるいはされなかった事実が過去に遡って正しくわかるよう、いつ、どこの電子メールアドレスから、どの電子メールアドレスへ、どんな内容が送られたのかがわかるようにしておかなければならない。

　ここで重要なことは、添付文書を含む電子メール全体が記録されている必要があるということである。最初に書いたとおり、情報は普通、電子メールの本文や添付文書に含まれているので、どの電子メールが情報漏えいの媒体となったかを調査するには、宛先や件名（subject）だけでは十分ではないからだ。つまり、電子メールの監視は、すべての電子メールを保管しておくことから始まるといえる。

　情報漏えいの事実を過去に遡って確認するには、電子メールの長期にわたる保管が必要となる。しかし、すべての電子メールを長期間メールサーバに保管しておくには、システムを拡張しなければ難しい。一般に、稼働中のシステムに手を加えることは危険を伴う。電子メールは、企業活動の生命線でもあるので、システム拡張は慎重に考える必要がある。

　また、電子メールは今後、事件の証拠として警察などから提出を求められることが出てくるだろう。電子メールが蓄積されている場所がメールサーバであった場合、メールサーバを差し押さえられてしまう可能性もあり、企業活動に深刻な影響をもたらすことが考えられる。

　これに対して、ネットワーク監視であれば、既存システムに影響を与えることなく行え、警察による差し押さえがあってもメールサーバは残るので、業務は継続できる。電子メールの監視は、ネットワーク監視による方法を推奨する。

監視のPoint 1.電子メールの本文や添付文書に機密情報が記載され、情報が漏えいする。 2.フィルタリングによる漏えい対策は、完ぺきを期すことができない。 3.ネットワーク上を流れるパケットを記録するネットワーク監視が効果的。