メディア

連載

» 2001年08月01日 12時00分公開

電子メールセキュリティポリシー導入の必要性：電子メールに潜むリスク(3)

今回は電子メールセキュリティのためのセキュリティポリシーについて考える。

[宮本哲也，日本ボルチモアテクノロジーズ　マーケティングマネージャ]

ビジネスに対するリスクが顕在化

　これまで、スパムメールの被害およびプライバシーの問題を取り上げた。電子メールが企業にもたらすリスクとしてはほかにもたくさんあり、例えば以下のものが考えられる。

コンピュータウイルス感染、有害なモバイルコードの侵入
機密情報、知的財産など情報の損失
業務効率および生産性の低下
法的責任の発生
企業イメージの低下

　これらのリスクは、大きく2つに分けられる。1つは、システムの効率を低下させるリスク。もう1つは、ビジネスそのものに対するリスクである。

　現在多くの企業の情報セキュリティ対策は、主にウイルス対策に代表されるシステムを守るための対策に集中しているようだ。しかし一方で、最近はビジネスそのものに対するリスクも顕在化し、経営者の関心としては、機密情報の流出に対する懸念のほうが大きいということが、弊社の調査の結果から見て取れる。

ウイルス感染した電子メールが社内ネットワークに侵入した

ウィルス感染した電子メールを社外の個人、団体に誤送信してしまい、意図せずして加害者になってしまった

スパムメール（迷惑メール）が大量に送り付けられて、ネットワークの運用に支障をきたした

大量のスパムメール（迷惑メール）を他社のメールサーバに送り付けて機能を麻痺させる、いわゆるメール爆弾の踏み台にされ、意図せずして加害者になってしまった

電子メールで、顧客情報、開発中の製品情報などの機密情報が流出した

社員が送受信した大容量の添付ファイルのせいで、ネットワークがダウンした

電子メールによるセクハラ、いやがらせ等が表面化した

社員が発信した不適切な電子メールにより、企業イメージが損なわれた

電子メールによる被害を受けたことは、特にない

分からない

そのほか

図1　コンテンツセキュリティに関して。どのような被害にあったことがあるか？（複数回答）
Source:日本ボルチモアテクノロジーズ(2001年6月）

ウイルス感染した電子メールが社内ネットワークに侵入した

ウイルス感染した電子メールを社外の個人、団体に誤送信してしまい、意図せずして加害者になってしまった

スパムメール（迷惑メール）が大量に送り付けられて、ネットワークの運用に支障をきたした

電子メールで、顧客情報、開発中の製品情報などの機密情報が流出した

社員が送受信した大容量の添付ファイルのせいで、ネットワークがダウンした

電子メールによるセクハラ、いやがらせ等が表面化した

社員が発信した不適切な電子メールにより、企業イメージが損なわれた

電子メールによる被害を受けたことは、特にない

分からない

そのほか

図2　コンテンツセキュリティに関して。最も脅威に感じることはなにか？（複数回答）
Source:日本ボルチモアテクノロジーズ(2001年6月）

　では、これらのリスクを回避するためにはどうすればよいのだろうか？それが今回のテーマ「電子メールセキュリティポリシーの導入」である。ポリシーが大事だということは前回書いたので、今回は実際の導入の流れについて説明したい。

電子メールセキュリティポリシー導入の3段階

　電子メールセキュリティポリシーの導入には、大きく分けて次の3つの段階がある。

1.電子メールセキュリティポリシーの策定≫1.電子メールセキュリティポリシーの策定

　まず大事なことは、何を守りたいのかを明確にすることである。システムなのか、情報なのか、生産性なのか企業イメージなのか。それぞれにどのような具体的なリスクが考えられるのかを整理しておく必要がある。

「電子メール経由で機密情報が流出するのを防ぎたいのか？」「社員の発信した不適切なメールによって会社の評判を落とすことを避けたいのか？」「メール爆弾によってシステムがダウンするのを防ぎたいのか？」といったことに対する会社にとってのニーズとそのプライオリティを決定する。

　こうして、企業それぞれのセキュリティニーズが分かってきたら、次にそれぞれのリスクを回避する方策、あるいは何か起きた場合の対策などを決めていく。

　コーポレートポリシーや危機管理マニュアルがすでに存在する企業の場合、「何を守るか」についての基本的な部分については明文化されているはずなので、その基本に沿って電子メール経由でもたらされるリスクを考えたほうが早いかもしれない。

　また作成の手間の問題もあるが、少なくともセキュリティポリシー全体との整合性を取っておくことは必要だ。電子メールセキュリティポリシーは、コーポレートポリシーあるいはその中の情報セキュリティポリシーの一部として位置付けると分かりやすい。

2.社員教育

　作成したポリシーが生かされるためには、その理念をすべての従業員で共有する必要がある。この「すべての」ということが案外重要となる。1人でも理解していない従業員が存在すれば、その人の行為がセキュリティホールとなる可能性があるからだ。

　共有の方法としては、例えば社員規定の一部として作成し、メールで全従業員に告知あるいは印刷物として配布するとともに、イントラネット上に置いていつでも見られるようにしておくのが一般的である。徹底しているところでは、入社時に誓約書にサインをさせる会社もある。

　また、次の「管理、運用」の項にも関連することだが、もし電子メール管理のために、何らかのソフトウェアを導入する場合は、導入の目的、利点について社内で共有しておく必要がある。ここを省略してしまうと、いざ導入という段階で従業員の反発に遭うケースも出てくる。

3.管理、運用

　次の段階は管理である。ポリシーがあっても、きちんと守られなければ、リスクを回避できない。

　問題となるのは、「だれが管理をするのか？」である。調査によると、現在最も多い方法は「管理者が管理する」であるが、これはお勧めできない。人間の目でチェックするのは限界があるし、見るほうも見られるほうもよいい気持ちはしない。

　ここは、ソフトウェアを導入して機械的にチェックし、管理担当者はソフトウェアがきちんと動作しているか、止めなくてもよいメールを止めていないかなど、最低限の管理に徹するべきである。また、こうした電子メールの管理者とは別に、ポリシーについての担当者も必要となる。ポリシーは、状況に応じて常に進化させていく必要があるからだ。

ソリューション選びのポイント≫

　最後に、ポリシーを管理するソフトウェアの必要条件を列記していこう。

ポリシーを十分に反映できること≫ポリシーを十分に反映できること

　ウイルス感染の回避やスパムメールの阻止、といった個々の目的からソフトウェアを導入するのではなくて、まず会社の方針であるポリシーを基準にソフトウェアを導入する場合重要である。

チェック機能が優れていること≫チェック機能が優れていること

　設定したポリシーに従って、止めるべきメールは止め、通すべきメールは通すという動作の精度が高ければ高いほどよい。精度が低いと、結局管理者の手作業が増え、ソフトウェアを導入する意味が薄れてしまう。一番危険なのは、検出できなかったウイルスやスパム、あるいは機密情報を含むファイルといった脅威をそのまま通してしまうものである。この点については、導入前に、チェックしておきたい。

レポート機能

　ポリシーは、変化し続ける現状に常に即している必要があるので、ポリシーが有効であるか、新たに付け加えるべきものがあるかを知るために、入出するメールは常にチェックし、管理者が把握できる環境を整えておく必要がある。

スケーラビリティと信頼性

　セキュリティも重要だが、「電子メールサーバのパフォーマンスが落ちるのでは？」と気にする声をよく聞く。この場合、目の前にリスクがあるのであれば、迷わずセキュリティ対策を取るべきだとは思うが、それでもなるべくパフォーマンスが落ちないものを選ぶことは可能だ。また、電子メールのやりとりがしばらくは増え続けることを考え、メールの流通量に合わせてシステムを柔軟に拡張していけるかどうかもポイントである。

　さて、今回は「電子メールが企業にもたらすリスク」のまとめとして、対策の部分に焦点を絞って述べてきた。電子メール関連のトラブルは、今後ますます増加が予想されるが、ポリシーに沿ってきちんと管理をすれば、かなりのことは回避できる。何かが起こる前に第一歩を踏み出されることを期待したい。

著者紹介

▼著者名　宮本哲也（みやもとてつや）

1967年生まれ。多摩美術大学卒業。TV-CM制作会社を経てIT業界へ。2000年8月より、MIMEsweeperのマーケティング担当となり現在に至る。コンテンツセキュリティに関する啓蒙活動に注力している。

「電子メールに潜むリスク」バックナンバー