メールセキュリティ

メールの情報セキュリティ対策は昔から話題になっていますが、対策はなかなか進んでいないのではないでしょうか。今日はたまたまメンバーとメールセキュリティのデモを行ってきましたので、少し紹介してみましょう。

・メール送信経路が暗号化されていないことが多い
・メールによる情報漏洩
・メールの誤送信問題
・メールの改ざん

ちょっと考えただけでも様々な問題が出てきます。それぞれの問題に対して様々なソリューションがありますが、当社ではかなり前からメールセキュリティ対策の製品としてATGatewayというものを提案していました。添付ファイルの管理に特化した仕組みです。

メール添付ファイルは社内から出ていくメールと、入ってくるメールの両方とも管理が必要です。出ていくメールの問題は情報漏洩です。

・暗号化されていないので、添付ファイルの内容が漏洩する
・メールの宛先を間違える

入ってくるメールの問題は、機密保持の問題です。お客さんから預かったデータを、誰がどのマシンで保持しているのかを管理する必要があります。

ATGatewayはメールの添付ファイルを送受信するサーバではぎ取り、ファイルサーバに暗号化して格納し、受信者にはWEBでダウンロードしてもらうという仕組みを提供します。もともとは、添付ファイルを使わずに、ファイルサーバ経由で情報のやりとりをするべき、というところなのですが、メールの添付は便利なので禁止しても使ってしまうもので、それなら自動でファイルサーバに格納してはぎ取ればいいのでは、という発想から誕生しました。

ダウンロードに必要なパスワードは別メールで送りますが、

・自動で送る
・WEBで再確認してから送る
・別メールで自分が送る

という選択ができます。WEBで再確認するのを、送信者ではなく上長にすれば承認機能としても使えます。

ファイルがダウンロードされるとダウンロードされたという通知が届くとともに、ダウンロード履歴に記録され、誰がどのIPアドレスでいつダウンロードしたのかなどが分かるようになります。

なかなか便利そうなのですが、メールシステムの難しさは、導入の敷居が高いことです。例えばメールサーバはISPのサービスを使っていて社内にはサーバが無い、という場合はプロキシ形式でないと入れられませんので、送信はともかく、受信メールにかんしてはPOP3やIMAPなどで処理するのが難しいということがあります。また、メールは今や業務に必須な仕組みですので、冗長化をはじめとした安全な構成を考えなければなりません。なかなか導入のハードルは高いのです。

当社の場合は、もともとほぼ全てのインターネットプロトコルはプロキシ形式の自作ファイアーウォールを介して使っていましたので、そこで細工することによりどのような仕組みでも後から組み込むことが容易になっていますが、業者に構築を依頼した場合などは、そもそもどうなっているかすら分からないこともあるでしょう。

いまやメール無しでは仕事が進まない時代になりましたが、なかなか仕組みとしての対策ができていないのがメールです。安全なプロトコルに入れ替えれば良いとも考えられますが、これだけ普及してしまうとサーバもクライアントも一斉に入れ替えるのは不可能ですので、現実的には難しいと言われています。

問題が起きてから対策を考える企業も多いようですが、問題が起きてしまうと企業としての信用を失う可能性があり、やはり問題がないように先に対策したいところです。運用での対策とともにシステムでの対策も、まだまだ遅れているのがメールセキュリティの分野です。