【第6回】メールマネジメントのずさんな実情とその対策を考える

個人情報保護法や、新会社法、そして2009年3月期の施行を予定している日本版SOX法など、企業に求められる法制対応（コンプライアンス）は年々強まる傾向にある。いわずもがな経営とITの関係が密接化している現在では、法が変わると共にシステムに変更を加えて対応させなくてはならない。そして今最も重要なコミュニケーションツールとなっているメールにも当然のようにコンプライアンスのための施策が必要となる。そこで今回はコンプライアンスの遵守のほかにも、様々な用途から今後の企業に必要となる、メールを介した情報漏えいへの対応策とメールアーカイブの必要性についてみていくことにしよう。

電子メールのセキュリティは穴だらけ？

　インターネットが1960年代に誕生した背景。それは、それまで、ポイント・ツー・ポイントでの接続でしかなかった世界中のWANやLANを相互接続することから始まった。これはネットワークが相互接続され、世界中に蜘蛛の巣のように張り巡らされることによって、特定のコンピュータやネットワークがダウンした際にも、常に通信ができるようにしようというコンセプトがあったからだ。この方式では、当然、データが行き交う際には様々なコンピュータを経由するため、速度や品質は保証されない。とにかく“つながる”ことを最大の無垢的としてインターネットは登場したのだ。そしてインターネットを活用するためのコミュニケーションツールとして1970年代に登場した電子メールも、“送れる”ことが前提としたものであった。

　このような登場の経緯もあり、電子メールにとってセキュリティや信頼性などの要件は今になっても未整備の状況となっている。例えば、各種の業務上のやりとりの大半にメールを使い、社外／社内を含めて重要なやりとりも行っている。しかし、ほとんどのメールは全くセキュリティ対策を施していない平文でやりとりされており、常に情報漏えいが生じるリスクを抱えながら運用しているのだ。

　また、メールに纏わる脅威は、ウイルス、スパム、フィッシング、情報漏えいと次々と増えており、企業はそうした脅威が登場する度に対策を迫られている状況にある。そして、最近ではコンプライアンス対策のためのメールアーカイブも取り組まなくてはならない項目として上がっている。ただ、いずれもポイントソリューションを別々に導入しているケースが目立つのが実情だ。こうした別々のベンダーの製品を利用すれば、別々インターフェースで運用・管理する必要があり、様々な部分で無駄が生じているのだ。

　現在は、電子メールが重要なメッセージングインフラとなっており、しかも電子メールに関わる脅威が多数登場している状況にある。その中でこれまでずさんな体制で運用されてきたメールシステムのセキュリティ対策や信頼性を万全なものにするためには、スクラッチに近い状態で再構築しなくてはならない時期にさしかかっているともいえるだろう。

電子メールの歴史

※クリックすると大きい画像を表示します。

脅威と共にトラフィックも大幅に増加

　メールシステムへの脅威は、トラフィック面でも大きな問題となってきている。特定のサーバーに対して負荷を与えサービス停止に追い込むDoS（Denial of Service attack）や、その進化系で複数のサーバーを利用して特定のサーバーを攻撃するDDoS（Distributed Denial of Service attack）、またスパムやフィッシングメールを送信するためにメールアドレス収集業者がメールアドレスを収集するアドレスハーベスティングなどがますます盛んになっており、そのトラフィックを処理するための負荷もますます増加している。

　特にアドレスハーベスティングは、ランダムに生成したメールアドレスをサーバーに送りつけ、そのアドレスが存在するか否かを見つけ出す。しかも、日々多数の事業者がこの行為を行っており、さらにはスパムの送り先が判明すれば、そこにスパムを送りつける。このように何重にも負荷がかかる仕組みとなっている。それにも関わらず、ファイヤウォールの外側にメールサーバーを設置しているケースなども散見されており、負荷がかかる状況をよしとした運用となっているケースが多い。

　一方で対策をとっている企業も、先に述べたように企業は脅威の種類が増える毎にポイントソリューションを適用することでメールシステムを保護してきた。その結果、メールシステムでは多数のアプリケーションが稼働していて、相当なリソースを消費している状況にある。加えて、トラフィックの増加がここに追い打ちをかける状況であり、メールシステムを安定稼働させるための莫大なハードウェアリソース必要になっているのだ。

　実際、大規模なシステムでは、ウイルス対策専門のゲートウェイを数十台ものサーバーを並列で動作させて運用しているケースも存在する。そのゲートウェイが処理するメールの大半がスパムであることを考えると、いかに収益性のないものに対して高価な投資を行っているかを問題視しなくてはならない。さらに、スパムによって、生産性の低下やミスの増大による機会損失など、いろいろな問題が起きているが、これらも既存のポイントソリューションでは解決できていない部分も多く、企業にとって大きな課題となっているのだ。