もう惑わされない! 内部統制に必要なメールシステムのあり方とは:メールの管理は個人単位から企業単位へ
急増するスパムメールやメールの管理、そして日本版SOX法をはじめとする法規制への対応……企業を取り巻くこうした課題に対応するには、メールシステムの見直しが不可欠だ。
今やメールのセキュリティ対策は、高度化するネット犯罪だけでなく、法規制への対応などを考慮して進めなければならない。しかし法規制に関しては、なかなか理解しにくい点が多く、どのように進めればいいのか判断しかねるのではないだろうか。
そこで、ある仮想の企業を例にとり、法規制への対応を踏まえながら、メールシステムのセキュリティ対策を通じてやらなければならない事柄を簡単に整理し、紹介してみよう。
「目伊留商事」の内部統制プロジェクト会議では……
新人A 「日本版SOX法と呼ばれている金融商品取引法が施行されるまで、あと1年ちょっとですねぇ」
社員B 「そうだなぁ。逆算すると今年の4月くらいから、来年の開始に向けリハーサルを兼ねて運用しなければならないな。きっと、運用していくうちに幾つかの問題が出てくるだろう」
新人A 「ところで、メールシステムでの対応はどうなってましたっけ? 先日ネットで『メール監査のシステムが必要だ』という記事を読んだんですけれど……」
社員B 「メールかぁ。会計システムや文書管理では準備が進んでいるけど、メールは気にしていなかったな。メールでも対応が必要だって?」
新人A 「はい、そう書いてありました。メールデータをすべて保存しておく必要があるって」
社員B 「メールアーカイブってやつだな?」
新人A 「そうそう、確かにメールアーカイブって書いてありました」
社員B 「なるほど、去年もいろいろな事件でメールが削除されたり、改ざんされたりと話題になったからなぁ……メールもちゃんと保存しておかないとまずいんだな。んー、じゃぁちょっと調べてみるか」
メールの保存に関しては、金融商品取引法だけでなく、すでに施行されている他の法律や規則も密接に関係してくる。ここ数年で制定された、メールが関係すると思われる日本国内の主だった法律・規則を挙げてみると、
| 施行年月日 | 法律名 |
|---|---|
| 2005年4月 | 個人情報保護法 |
| 2005年4月 | e-文書法 |
| 2005年11月 | 不正競争防止法(営業機密) |
| 2006年5月 | 新会社法 |
| 2008年4月 | 金融商品取引法(日本版SOX法) |
ざっとこんな感じである。これら法規制とメールが関連するのは、主に次の2点である。
(1)メールによる企業情報の不正流出(漏洩)
(2)メールデータの保存と利用
その2つに対応できるシステムとして注目されているのが、「メールアーカイブ」(保存)である。
新人A 「具体的には、メールアーカイブってどんなシステムなんですか?」
社員B 「メールアーカイブは、普段我々が送ったり受け取ったりしているメールをすべてコピーして長期保存しておき、必要な時に、保存されているデータから必要なメールを検索できるようにしたものさ」
新人A 「へぇ〜。保存っていうと、バックアップとはまた違うんですか?」
社員B 「バックアップは、あくまでも、ある過去の時点のメールボックスのデータを保存するだけだろ。前のバックアップと次のバックアップの間にメールの送受信が行われ、すぐに削除されてしまったら、そのメールはバックアップでは保存されないんだ。しかも検索のことは考えてないから、必要なデータを取り出すのにも相当時間がかかるだろうね。第一、リストアも面倒くさいので、そう簡単にはバックアップデータを戻すというわけにはいかないのは知っているだろう」
新人A 「はい、そうですね」
内部統制を強化するには、メールアーカイブによるメール監査システムが必要になる。しかし、その前にやるべきことが実はあった。メールシステムの見直しである。
数年前のメールシステムでは現在の課題に対応できない
数年前にメールシステムを構築したまま現在に至る企業はまだ多い。当時の貧弱なメールシステムのまま運用し続けているため、現在の増加するメール数や肥大化するメールサイズ、新たに発生するサイバー犯罪に対応できていないのだ。
こうした問題を解消するために、今やらなければならないことは、次の3点である。
(1) メールは個人管理から企業管理へ
メールサーバからメールデータをPOPでダウンロードし、個人のクライアントPCに持ってくると、万一そのPCを紛失したり、盗難にあった場合、企業の機密情報が消失、漏えいしてしまう危険性がある。メールデータはセンター(サーバ)で管理できるWebメールシステムに!
(2) セキュリティ対策はサーバサイドで実施
最近、急激に増えているスパムメール。クライアント側のメーラーのフィルタリングでも多少の対策は可能だが、手元に届いた時点でサーバや社内ネットワークに負荷がかかり、リソースも大量に消費しているのだ。スパムは、ゲートウェイでシャットアウトを!
(3)すべての送受信メール履歴の保管へ
日本版SOX法への対応、抑止力効果および迅速な事後対応による情報漏えい対策、その他コンプライアンス対応といった側面から、履歴の保管が必要になっている。
サイバーソリューションズが提供するセキュアメールシステムのイメージサイバーソリューションズは、メールシステムを見直しする上で必要な、以下のような製品群をそろえている。
| 製品名 | 概要 |
|---|---|
| CyberMail | Webメール機能を搭載し、メールサーバと統合したオールインワン・パッケージ |
| MailGates | メールのゲートウェイに設置。SMTPフローに沿ったフィルタリングでスパムを排除 |
| MailBase | 社内メールも社外メールも内部統制。メールアーカイブで監査実施 |
これらの製品詳細は以下よりダウンロード可能なホワイトペーパーにて! また、メールのアーカイブと監査を通じて、内部統制の実現を支援する手法を解説するセミナーを3月に行う予定だ。セミナーについては詳細ページから確認してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:サイバーソリューションズ株式会社
企画:アイティメディア営業本部/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2007年3月14日
ITmediaはアイティメディア株式会社の登録商標です。