IT Initiative Day（AD）

メールによる情報漏えい対策のポイント～添付漏えい防止・ミス撲滅・出口対策

IT Initiative Day／メールセキュリティ NRIセキュアテクノロジーズセミナーレポート

2012/01/20 17:00

通知

電子メールは企業の生命線ともいえるほど、重要なコミュニケーションツールとなっているが、そこからの情報漏えいも後を絶たない。2011年11月11日に開催された『IT Initiative Day 2011／メールセキュリティ・スペシャル』におけるNRIセキュアテクノロジーズ狩谷充氏のセッションでは、電子メールを仲介した情報漏えいの危険性と、それらのリスク対策のポイントが、同社製品の紹介を交えながら説明された。

通知

添付による漏洩と誤送信が２大注意点

NRIセキュアテクノロジーズ株式会社

ソリューション事業部上級プロダクトマネージャ

狩谷充氏

　NRIセキュアテクノロジーズに寄せられるメールからの情報漏えい対策に関する相談は「数あるソリューション・製品の中から、どれをどう選ぶか」、「既存メール環境になるべく手を入れずに対策したい」、「大きなコストはかけられない」の3つに収れんされるという。一方、狩谷充氏が挙げた実際の対策におけるポイントは「メール添付を介した情報漏えい」と「誤送信防止とメールリテラシー」の2つ。

　添付ファイルに関する課題としては、まず容量制限がある。また、重要度の異なるデータの混在も問題だ。そのためインシデントが発生した場合、問題のメールをアーカイブの中から探すのに手間と時間がかかる。さらにポリシー面にも課題が存在する。事前承認や振り分けで実効的な漏えい対策をするには、結構作り込みが必要だからだ。

　大容量の添付ファイル送付のため、無料のオンラインストレージ、メールサービスを利用する場合もあるだろう。ただ、無料サービスは個人ID対応であることが多く、企業同士の契約ではないしSLAもない。

　外部と安全にファイルを受け渡しする為の仕組みを検討する上で、押さえるべきポイントは「社内ポリシーに照らして適切な送受信ルール」、「承認の要否（事前承認・事後承認）」、「アカウント運用」、「ログ（送受信ログ、管理者操作ログ）」、「委託先管理（自社よりセキュリティレベルの低い場所に置けるのか？）」、「使い勝手・利便性」の6つだ。

メールによる情報漏えい対策の6つのポイント

添付ファイルからの漏えいを防ぐ仕組みを提供

　ではNRIセキュアテクノロジーズのサービスは、以上の課題にどのように応えているのか。クラウド型メールサービス「クリプト便」は、送受信者の間に入り、親展ボックスを提供するイメージの製品だ。同様のサービスの中で、立ち上がりが最も早く、ユーザーは高いセキュリティが求められる金融、保険業界の企業が4割を占めている。

　送信者はWebブラウザでクリプト便にアクセスし、受信者情報を入れ、ファイルをアップロードする。ファイルは暗号化され、クリプト便のサーバで「一時預かり」される。受信者にファイル到着の通知メールが送られ、受信者はメール上のURLと、事前に決められていた暗号コードを入力してダウンロードする。最後に送信者に「受信完了」メールが送付される。

　仕組みは単純だが、狩谷氏は「セキュリティ専業企業として、運用ルールの設定・運用から社員教育、データセンターのマネジメントも含め、一本背骨の通ったサービスとして提供している」と語る。具体的にはセキュリティのプロフェッショナルが24時間365日監視しており、通信、ファイルの暗号化も行っている。仮にデータセンター内部からファイルを盗ろうとしても、不可能な仕組みが導入されているという。

　セキュリティについては第三者からの評価を受けており、全社(国内)でISMS（情報セキュリティマネジメント）の国際規格であるISO IEC27001を取得。またクリプト便の運用業務に対し、格付け会社のアイ・エス・レーティングにより、最高レベルである「AAA（トリプルA）」の情報セキュリティ格付けを付与されている。

　情報漏えい対策において、クリプト便導入のメリットとは何か。まず、メールとファイルが分離されているので、受信者がダウンロードするまでの間は取り消しできる。クリプト便の利用形態は大きく3つあり、それは「特定の固定した相手との重要・機密文書のやりとり」、「任意の相手にファイルをセキュアに送る、全社員のOAツールとして利用」、「APIを利用してシステムからファイルを直接送受信」になる。

　代表的なオプション機能としては、「上長の承認を事前に受ける、または送信と同時に確認メールを送信する上長承認機能」、「シングルサインオン対応（認証連携）」、「APIによるシステム連携」がある。また「運用アウトソーシング」、「ログ延長保存・原本延長保存」、「システム連携の開発」などのオプションもユーザーの評価が高い。

「クリプト便」利用イメージ

情報漏えい対策の王道はミス撲滅と出口対策

　一方、既存のメールシステムに大きな手をいれずに情報漏えい対策を行いたい企業に向けては「SecureCube / Mail Adviser」という誤送信対策ソフトを開発し、提供している。製品のポイントは「メールの利便性と効果の高い誤送信実現の両立」だ。実際の誤送信の事例を見てみると、送信者本人が事前確認をきちんとしていれば、防げたものが多い。そこで送信者本人に「いかに簡単にもれなくチェックさせるか」という観点で作られているのがこの製品だ。

　「SecureCube / Mail Adviser」をインストールしたPCでメール送信ボタンをクリックすると、ポップアップ画面で送信内容が表示される。送信者は一つずつチェック内容を確認し、それぞれの「！」マークをクリックすると、実際の送信が行われる。

　一見、仕組みは単純だが、一呼吸置いて確認するため、宛先や添付ファイルの間違いだけでなく、本文の間違い、内容の再検討を促すなどの効果がある。またクリプト便と連携し、添付ファイルを分離して送る機能の提供も予定されている。

　セッションの最後に狩谷氏は「優先度から見たメールセキュリティ対策の王道」を述べた。まず、大きなコストをかけずにミスを減らす対策を打ち、次に「出口対策をきちんとする」。具体的には、「リスクとなるサービスの利用を止め、その代替手段を用意する」ことだと語り、セッションを締めくくった。

誤送信対策ソフト – SecureCube / Mail Adviser