ここから本文です

システム管理者のための「メールセキュリティ」再整理

@IT 6月30日(木)6時10分配信

 社内システムの開発・運用に携わる方々に向けて、セキュリティ対策のポイントを解説する本連載。前回は、ユーザー部門が作成したアプリケーションをメンテナンスする際に注意すべき事項について紹介しました。

 今回と次回は、システムの「運用」の視点から考慮すべきセキュリティ上のポイントについて解説します。始めのテーマは、「メールシステムの運用におけるセキュリティ上のポイント」です。顧客の社内情報系インフラに長年携わってきた筆者の経験を踏まえつつ、企業の「メールシステム」を運用する上でのセキュリティ上のポイントについて、運用者視点で解説します。

●万能ゆえに厄介なメールシステム運用

 1990年代に国内の大企業で社内コミュニケーションのシステム化が進んで以来、メールは企業や各種の団体において、幅広く活用され続けています。メールが活用される場面は、大きく分けて以下の3つです。

(ア)企業や団体間のコミュニケーション
(イ)企業と顧客の間のコミュニケーション
(ウ)社内のコミュニケーション

 これらの場面で、メールは単純にメッセージを送受信する以外にも、さまざまな目的で使われています。例えば、以下のような用途があります。

・画像や文書などのファイルの共有や管理
・QAなどの知識・経験のやりとり(Wikiやブログのような使い方)
・ほぼリアルタイムで会話するチャット
・同報によるオンライン会議

 このように、メールはただメッセージをやりとりするだけではなく、いろいろな活用が可能なコミュニケーションツールです。

 ところが、そんな“万能コミュニケーションツール”のメールですが、「運用者の視点」で捉えると、見え方が変わってきます。運用者からすれば、メールは万能ゆえに「好き勝手に使われてしまうツール」というのが実感に近いといえます。例えば、運用者の視点で見れば、メールシステムの運用に関しては以下のような課題があります。

(ア)システムリソース不足や過負荷の問題にどう対処するか(イ)利用者からのより高い利便性やきめ細かなサポートへの要求にどう対応するか(ウ)ウイルスや情報漏えいなどのセキュリティリスクにいかに対処するか

 このうち、(ア)や(イ)に関しては、以下のようなケースがあります。

・大容量の添付ファイルを社内の約100人に一斉送信してしまい、メールが全く届かなくなった
・多くの人が数年分のメールを全てサーバに保存していたことで、ストレージが枯渇した
・24時間365日、メールサービスを停止しないでほしい
・メールが届いているか、相手がメールを読んだか確認したい
・外部システムと連携して、定期的な送信など、メール発信を自動化してほしい
・削除したメールを元に戻してほしい。誤送信してしまったメールを消してほしい

 筆者の経験上、メールシステムがユーザーにとって便利になり、活用されればされるほど、運用担当者の苦労は増えていきます。トラブルやユーザーからの要望など、何かが起きる度に、ルールの追加や設定変更、システム構成の変更、サーバやネットワークの増強、各種カスタマイズなど、運用担当者が作業を行う必要があります。

 ただし、近年ではサーバやストレージ、ネットワークなどのシステムリソースが安くなったことや、企業でもクラウドサービスを活用できるようになってきたことなどにより、こうした運用者の苦労も軽減されてきています。

 ところが、(ウ)のセキュリティリスクについては、軽減するどころかますます増大しています。メールに端を発する情報漏えいなどの事故については、皆さんもよくご存じでしょう。そこで以下では、メールシステムのセキュリティを、昔から存在する“内部起因のリスク”に対する「従来のメールセキュリティ」と、近年特に大きな被害をもたらしている“外部からの攻撃”に対する「近年のメールセキュリティ」に分けて、整理してみます。

●従来のメールセキュリティ

 はじめに、従来のメールセキュリティについて見てみましょう。2012年前後までは、メールのセキュリティに関するリスクは、大きく分類して以下の3種類が大部分を占めていました(もちろん、現在でもこれらのリスクがなくなったわけではありません)。

(ア)スパムやウイルスメール(イ)誤送信(ウ)悪意のないデータ持ち出し

 これらによって、以下のような事態が発生する可能性があります。

・「メール経由でのウイルス感染」や「大量のスパムメール送受信」により、社内もしくは関係企業などに被害を与えてしまう
・「社外秘の内容を顧客に送ってしまった」「見積書を別の会社に送ってしまった」など、メールの誤送信により情報が外部に漏えいしてしまう
・業務で作成している文書を自宅のPCに送って作業を行った結果、情報が漏えいしてしまう(いわゆる「シャドーIT」のリスク)
・退職者がメールシステムを利用でき、情報にアクセスできてしまう

 これらのリスクに対する運用上の対策では、「利便性を極力犠牲にしない」「コストを掛け過ぎずにミスを減らす」「効率的で必要最低限の出口対策を行う」の3つを考慮することが大切です。以下に、具体的な対策とその実現のためのポイントをまとめます。

・メール利用ルールを作成し、徹底する特に「社外宛てメール」については必ず宛先を再確認するようにする
・メール運用ルールを作成し、徹底する特に「アカウント管理」については退職者のアカウントの速やかな削除と定期的な棚卸しを行う
・メールの通過経路上でウイルスチェックを行うPCにウイルス対策ソフトを導入している場合にも、社外との送受信については別途ウイルスチェックの仕組みを実装する
・社外宛てメールによる情報漏えい防止策として、監査ツールやカスタマイズにより、メール利用ルールをシステム的に実装する例えば、以下のようなチェックを行い、メールを「停止/保留/通知」するようにする。
・メール本文や添付ファイル内の文言チェック
・宛先の数や種類(社内社外など)のチェック
・添付ファイルの種類や大きさのチェック、自動暗号化(大量の情報漏えいを抑止)
・メールの一時保留(誤送信防止や上長確認)
・インシデント発生時に調査できるように、「メール送受信ログ」や「送受信したメールの本体」を長期保管し、後から検索できるような運用機能を実装する

 対策の実現に当たっては、以下のような順序で作業を進めていきましょう。

・守りたい情報資産をリストアップし、優先順位を決める
・メール利用ルールを策定する
・メール運用ルール(特にアカウントの管理ルール)を策定する
・メールの利用/運用ルールを必要最低限の範囲でシステム化し、トラッキングする
・送受信ログや送受信メールの保管運用について必要最低限のシステム化を行い、トラッキングする
・「上長の事前承認」「一時停止」「事後確認」などの対象となるメールを明確化し、必要最低限のシステム化を行い、トラッキングする

 ここで紹介したのは、近年では多くの企業で当たり前のように行われている、「防御と同時に、インシデントが発生したときには原因を調査できるようにする」 スタイルの対策です。これらはメールセキュリティ対策の基本となりますので、それぞれの組織に適した方法で運用し、定期的に改善を繰り返していきましょう。

●近年のメールセキュリティ

 次に、近年のメールセキュリティについて解説します。最近は、外部からの悪意のあるサイバー攻撃が大きな問題になっています。

 攻撃には大きく「アプリケーションなどの脆弱(ぜいじゃく)性を狙ったWeb経由の侵入」と「メールによる侵入」の2種類がありますが、メールに関して特に注意が必要なのは、「標的型メール攻撃によるマルウェア感染」です。そこで、以下の4点を前述の「従来の対策」に加えることで、リスクを最低限に抑えます。なお、これらはメールに限らず、情報漏えい全般を防止する上で効果があります。

・利用者への注意喚起と、セキュリティ意識を維持するための啓発活動を継続的に行う「知らない送信者や“フリーメール”からのメール、不自然な日本語のメールに注意すること」「添付ファイルやURLリンクを不用意に開かないこと」といった継続的な注意喚起、メール訓練を繰り返すことで、ユーザーのセキュリティ意識を維持するようにします
・フォルダには必要最低限のアクセス権限を設定する重要な情報資産を扱う共有フォルダは、アクセスできる利用者や操作権限を必要最低限に設定し、マルウェアの攻撃範囲を最低限に抑えます。その上で、重要な情報資産が正しい場所に保管され、適切な権限設定となるよう管理します。これは、内部犯行や誤操作による情報漏えい対策としても有効です
・ファイルの暗号化やアクセス制御重要な情報資産のファイルは、暗号化やアクセス制御により、万が一情報が外部に漏れた場合でも、簡単には利用できないようにします。対象ファイルを「いつ」「どこで」「誰が」利用したのかトラッキングできるようにするとなお良いでしょう
・出口での多層防御侵入したマルウェアの出口対策として、「プロキシサーバ」「UTM(Unified Threat Management)」「次世代/L7ファイアウォール」「IDS/IPS」などによる通信制御やログの収集を行い、さらに情報の重要度合いに合わせて、エンドポイントでの対策ツールや、前述したファイル暗号化などを組み合わせ、多層防御で備えます

 標的型攻撃は、どれだけ運用担当者が努力をしても、利用者が十分に気を付けても、100%の防御はできませんので、「侵入を前提とした対策」が必要になります。「侵入されても早期に気付ける仕組みを作る」「万が一情報資産が流出しても、被害を最低限に抑える」という考え方で、追加の対策を施しましょう。

 以上、本稿では社内のメールシステムに関するセキュリティ対策のポイントを解説しました。情報セキュリティをめぐる状況は日々変化しており、今日まで有効だった対策も、明日には通じなくなってしまう可能性があります。従って、運用部門の担当者は、常に最新の知識を集め、トレンドに合わせた準備を行い、臨機応変に対応することが求められます。

 また、実際に発生するインシデントは社内の人間に起因するものが多いのが実情です。セキュリティ対策においては、「従来のメールセキュリティ」の部分で紹介したように、「利用ルール」「運用ルール」などを作成し、できる限りシンプルに、継続的に改善を繰り返すことが大切です。次回は、「企業のITインフラの運用とセキュリティ」について解説します。

●著者プロフィール 渡辺徹:1996年からエー・アンド・アイ システム株式会社(現株式会社ラック)で、プロジェクトマネジャーとして、主に、コミュニケーション基盤の提案/構築/維持運用を担当。2015年からは、新サービスの企画を行う部門にて、IoTやFinTech領域で日夜格闘中。

最終更新:6月30日(木)6時10分

@IT