【第5回】コンプライアンス対応によって求められるメールを介した情報漏えい対策とアーカイブの必要性

個人情報保護法や、新会社法、そして2009年3月期の施行を予定している日本版SOX法など、企業に求められる法制対応（コンプライアンス）は年々強まる傾向にある。いわずもがな経営とITの関係が密接化している現在では、法が変わると共にシステムに変更を加えて対応させなくてはならない。そして今最も重要なコミュニケーションツールとなっているメールにも当然のようにコンプライアンスのための施策が必要となる。そこで今回はコンプライアンスの遵守のほかにも、様々な用途から今後の企業に必要となる、メールを介した情報漏えいへの対応策とメールアーカイブの必要性についてみていくことにしよう。

フィルタリングによる情報漏えい対策は管理工数を増やすだけの存在に！？

　今回のテーマに沿って話を進める上で、まずは企業が抱える最重要課題の1つである情報漏えいについて考察することにしよう。現在、内部から情報漏えいが起きるケースの最も多くを占めると言われているのが、実は人を介するアナログな方法となる。例えば、機密書類をコピーして競合他社などに渡したり、顧客リストを印刷して悪意ある第三者に渡したりするケースである。これは日本において特に多く見られる事象だという。というのも日本では、会社の規律が性善説的に社員を信用する文化で成り立っているという場合が多く、特定の部署以外は物理的なセキュリティが甘い傾向があるからだ。また、意図的でない場合には、書類を廃棄する際にきちんとした処理をしていないケースも数多くみられる。

　情報漏えいの媒介方法としてアナログな方法の次に多いのが、メールを介して情報漏えいが起きるケースだ。ブロードバンド化が進んだ現在では、大きめの添付ファイルが付属したデータであってもわずかな時間で送信できてしまう、非常に手軽な情報漏えいの手段となっている。ただ、企業も指をくわえてこのリスクを野放しにしておいたわけではない。実際にメールを介した情報漏えいへの対策としてフィルタリングシステムを導入する企業が増えている。これは、キーワードを使ってフィルタリングをかけ、問題となりそうなメールの送信を止めたり、廃棄したりするものだ。しかし、このフィルタリングシステムを導入した企業が情報漏えいに関する課題をすべて解決できたかというと、できていないのが実情なのだ。フィルタリングシステムを導入した企業の多くは、メールの管理工数やシステム管理者の負荷が増大するという新たな悩みが増えたという声も聞かれるようになっている。

　こうした課題が生まれる原因としては、キーワードフィルタリングにキーワードの設定が難易であるためだ。たとえば、もし少ないキーワードで運用しようと思えば、当然セキュリティが甘くなり、相当問題のある内容でない限りフィルタに引っかからなくなってしまう。一方で、キーワードの語数を増やせばガードは堅くなるが、問題のない文章が数多く引っかかるようになり、管理者がたびたび確認する手間やフォールスポジティブが頻繁に発生する事態となり、業務効率や生産性は大幅に低下するという結果に陥ってしまうのだ。

コンプライアンス先進国の米国では役職ベースのフィルタリングが中心

　上記のような問題はなぜ起きてしまうのであろうか？　これは企業で稼働中のメールフィルタリングのシステムの多くが現状の日本のビジネスに準拠した設定がなされていないためだ。例えば、営業部と技術部、そして経理部を比較すれば、メールを送信する頻度も、そこにかかれている内容も大きく異なる。しかし、これらを1まとめにして同一のポリシーのもとに管理している企業は数多く見られる。

　また、同じメールの内容であっても、宛先によって許可するか、許可しないかが分かれるケースも存在する。子会社や関連会社に送るメールであれば、コンフィデンシャルな内容が含まれていても問題はないが、それが競合他社なら情報漏えいにつながる可能性が高い。こうした様々なビジネス要件に準拠したフィルタリングシステムでなければ、導入しても有効に機能しないのである。

　実際に先進国の米国では、キーワードではなく役職や権限のみでフィルタリングしている例も多いと聞く。たとえば、インサイダー取引を禁止するために、証券会社内でアナリストとトレーダーのやり取りをフィルタリングして検閲したり、会計の不正処理を防ぐためにブランチオフィスの経理責任者同士のメールを許可しないようにしたりといったことが多くの企業で行われているという。

役職や送信先と内容をベースにしたメールのフィルタリング

　有効に機能しないもう1つの理由が、こうしたシステムを電子メールだけで実施しようと考えているケースが多いことだという。実際に、電子メールだけに特殊な仕組みを採用しても、そのほかのシステムとセキュリティポリシーが統一できていない場合、セキュリティレベルの均等化はできず、管理の手間が増大するだけの結果となってしまう。そもそも情報漏えいのリスクを削減したり、日本版SOX法に対応したりするためには、内部統制全般を強化する必要があり、メールという特定のシステムだけを強化してもあまり意味はない。アクセス管理やディレクトリーサービスとの連携によって、役職や部署といった権限や役割に応じたフィルタリングシステムが必要となるのだ。

　このような複雑なコンプライアンスに対応できるようなメールシステムの例としては、Sendmailの「Mail Stream Manager」などが挙げられる。同システムのフィルタリング機能には、アクティブディレクトリーをはじめとする各種のLDAPやアイデンティティ管理ツールとの連携も可能となっており、ユーザーの権限にあわせたフィルタリングルールの設定が可能となっている。また、送信先毎に検閲するキーワードを設定できる仕組みも備えている。送信する役職や部署に応じたポリシーやキーワード設定や、競合他社宛には厳しく、関連会社宛てにはゆるくするといった柔軟な対応ができ、使いやすさとセキュリティの強化を両立できる仕組みとなっているのだ。