メールセキュリティ

今日はメールセキュリティ製品に関する打ち合わせを３社で行いました。私が毎回自社製品で紹介するのは情報漏洩対策のIntraGuardianの話題が多いのですが、実はメール関連も古くからいろいろやってます。

数年前に某大手さんと一緒にメール・ファイアーウォールを開発・販売していました。メールの安全対策のシステムで、クライアント側（多くの場合はWindows機）にインストールして使うタイプでは、ほとんどのものがパターンマッチングタイプなのですが、パターンの更新が遅れたり、最新パターンを得るために毎年費用がかかるなどのデメリットがあります。私が考えたのが、
・HTML形式メールを添付ファイル化し、プレビューでスクリプトやリンクが有効にならないようにする。
・添付ファイルの拡張子のうち、実行可能など危険と思われるものは「---」という拡張しに変更し、ダブルクリックや直接実行ができないようにする。
というシンプルなものです。サーバタイプとWindowsクライアントタイプの２種類あり、Windowsタイプは簡単にインストールして個人レベルで使えるようにしたものでした。
残念ながら当時はほとんど販促の方法も分からず、他で忙しかったこともあり、放置状態でほとんど実績にはなりませんでしたが、いまでもサーバタイプは自社で使い続けています。

今回打ち合わせを行ったのは、ATGatewayという、添付ファイルの安全化のシステムです。メールに添付ファイルを付けて送信すると、サーバで自動的に添付ファイルをはぎ取り、ファイルサーバに格納するとともにダウンロード用のURLをメールに付けて送信するという仕組みです。必要な受信者だけが添付ファイルを認証に守られながらダウンロードし、その履歴をファイルサーバで管理できるようになります。ATGatewayは送信時だけでなく、受信時も添付ファイルをファイルサーバに隔離し、社外から送付されてきたデータの一元管理も行えます。もちろんファイルサーバでは暗号化やパスワードロックも行えます。
ATGatewayは現在、単独での販売ではなく、サイバーシステム総合研究所のMPKというアプライアンス製品に組み込んで提供するタイプをリリースしています。MPKはフォレンジック対策・情報漏洩対策・スパム対策を高いレベルで実現しているメールのワンストップソリューションで、それにATGatewayで添付ファイルの管理が追加されるような感じで販売しています。

他にも、メールの送信先制限を非常に手軽に実現するBridgeFilterSMTPなど、メール関連だけでもさまざまなシステムを作ってきました。もともとネットワークが得意なメンバーたちが、必要に迫られて、あるいは、腕試しで作ったりしたものが多いのが特徴でしょう。
お金になっていないものも多いのですが、ノウハウは蓄積できています。

メールは便利な反面、情報漏洩の脅威でもあります。私の考えとしては、最高の情報漏洩対策は社員が会社を愛していることだと信じていますが、会社によってはそれはかなり難しい状況の場合も多いでしょうし、便利さと安全のバランスを考えて対策する必要があります。P2Pが危険と排除され、skypeまで使うなと言われたり、USBメモリーが危険と言うことでiPodやiPhone・携帯電話などもダメ、という時代になってしまっています。どれだけ規制する仕組みを考えても、悪意を持つ人間が故意にやろうと思うことを防ぐのは難しいものです。しかし、少なくとも過失は防ぐべきでしょうし、社員のセキュリティ意識を高めるためにも対策は必要なのは間違いないでしょう。

新しいものを生み出すためのものではなく、むしろ不便になるためのもので稼ぐというのはあまり気分も乗らないのですが、自分たちの技術で少しでも安価に便利なシステムが提供できるよう、セキュリティ分野にもチャレンジしていきたいと考えています。