【第2回】スパムメールの傾向と最新の対策ソリューション（後編）

いまやスパムメールにまつわる問題は個人だけではなくなり、企業にとって特に大きな問題を引き起こすものとなった。これは、大量に送られてくるスパムメールが、ネットワークのトラフィックを圧迫したり、従業員の業務効率を低下させたりすることで、多大な被害を及ぼすためである。今回は、スパムメールに対処するための最新のソリューションを提供している米Symantec Symantec Mail Security Sr.Product ManagerのDaniel Freeman氏に、同社が提供するソリューションの内容とバックグラウンドのテクノロジーについて、話を伺った。

スパムメールにはウイルスよりも迅速な対応が必要

--従来からスパムメール対策としては、オープンソースのソフトなどが存在しました。こうしたソフトと、御社が製品化しているソリューションとは、どのような点で異なるのでしょうか？

米Symantec
Symantec Mail Security Sr.Product Manager
Daniel Freeman氏

Freeman氏●Symantecのスパム対策ソリューションである「Symantec Mail Security」が、オープンソースのテクノロジーと大きく異なるものとして3つの点が挙げられます。1つが高い認識性能で、オープンソースのソフトでは判別が難しい正規のメールを偽ったメールでも95％の確率で検知します。2つ目は正確さで、100万件のメールをスキャンしても誤検知はほぼゼロといっても過言ではありません。そして3つ目は、管理が容易な点で、こちらに関しても運用管理の手間はほとんど必要ありません。

　実はこの管理負担の大きな軽減というのは非常に重要な要素となります。私は、よく展示会やセミナーでオープンソースのスパム対策ソリューションを利用している管理者と話しますが、そうした人々は決まって1日何時間もスパムメールの解析や登録に時間を費やしていると聞きます。しかし、Symantecの「Symantec Mail Security」に関しては、約10分に1度、スパムメールの登録リストが更新される仕組みとなっています。これにより管理者が費やしている多大な手間を削減し、それを生産性の高い活動に費やすことが可能になるのです。高い更新頻度を実現するには、大量のスパムメールの取得と解析が必要となります。

　その点については、まずSymantecでは世界180カ国に200万個のおとりのメールアカウントを設置し、1日2000万通のスパムメールを受信しています。これらをSymantecのSecurity Labが随時解析し、最新の定義ファイルを提供しているのです。

　この対策は一見、ウイルスやワーム対策と同様に見えますが、大きく異なるのはスパムメールでは古いリストは意味がない場合が多いということです。スパムメールでは、短命のものだとわずか数時間程度でドメインが消えてしまうというケースがあります。10分に1回と更新頻度が高いのは、リストが常に新鮮さを保っていないと意味がないということです。

　こうした取り組みにより、米国では上位12社のISPの内の9社が、ヨーロッパでも10社中の4社がSymantecのスパム対策ソリューションを利用しています。日本においても大手ISPを含めた数社が利用する計画を立てています。

グローバルな対策に加えてローカルでも分析を実施

--スパムメール対策では、スパムメールを正しく検知しないフォールスネガティブや、その逆に必要なメールをスパムメールとして扱ってしまうフォールスポジティブなど、誤検知の問題がよく取り上げられています。

Freeman氏●Symantecのスパムメール対策ソリューションの誤検知率が非常に低い理由としては、先に述べたようなグローバルな解析のシステムに加えて、20にも及ぶ複雑なフィルターを利用していることが挙げられます。フィルターでは、定義ファイル以外に、言語解析エンジンによる経験則や、導入後の統計情報などのローカルパターンも分析を行い処理します。これにより、新しいスパムメールが登場した際にも確実に対処できるような仕組みとなっています。

　なお、URLフィルタリングやヒューリステックのフィルターは、英語以外に、日本語、中国語、フランス語、ドイツ語、韓国語など、様々な言語に対応しています。現在、ランゲージフィルターにて対応している言語は11言語となります。さらにSymantecのBLOC（Brightmail Logistics and Operations Center）には15カ国の言語をサポートできるメンバーがいます。

　そして、スパムメールはウイルスとは異なり、個人や部署毎のルール設定が重要になります。例えば、新卒の社員が重要な役職についている可能性は低いので、すべてのスパムメールを原則として排除する設定を行い、一方、お客様のメールを扱うような営業部では多少の可能性のあるメールを受け入れる、そして知的財産を扱う技術部や法務部では、添付ファイル付きのメールをいったんアーカイブするというように、個別の設定をすることが必要となります。この点についてもそれぞれに柔軟に設定できるだけでなく、LDAPとの連携により運用管理の手間についても削減できるのです。

情報漏洩対策や日本版SOX法対応も視野に

--「Symantec Mail Security」の製品群では8100シリーズと8200シリーズがラインアップされています。それぞれの役割についてお聞かせください。

Freeman氏●8100シリーズは、ISPや教育機関、大規模、2000名を超える組織をターゲットにおいており、トラフィックシェーピングを主な目的としています。例えば、200万件のメールを受け取る企業があり、70％がスパムメールだとすると、その内、確実にスパムメールであるものを判別します。そして、社内に入ってくるメールを60万の正規メールと40万のスパムメールに限定することで不要なトラフィックを圧倒的に削減します。

　同時に、8160はスパムメールと判断した発信元を対象に、メール受信のタイミングを0.5秒ずつ送らせます。これにより、メールサーバーに負荷をかけることで、スパムメール送信者のサーバーをダウンさせたり、以後の送信を控えさせるといった働きをします

　一方、8200は企業をターゲットとしており、企業内に入ってきたスパムメールの除外、LDAPとの連携による詳細な振り分け、そしてアーカイブなどの需要に応える製品となります。各々ユーザーに届く時点では、ほぼ99.9999％の確率でスパムメールが除外できます。この両製品を組み合わせることで、企業の問題となる2つの課題をクリアする、効果的なスパムメール対策ソリューションが実現します。

--今後のスパム対策の進化の方向やソリューションの展望についてお聞かせください。

　Symantecでは、更なるスパムメールの検知能力を強化するため必要に応じたフィルターの開発や検知エンジンの強化、メッセンジャーや携帯端末へのスパム対応などを視野に入れ、調査・開発しています。スパムメール以外にも、8200シリーズにて対応しているコンテンツコンプライアンス機能を活用することで、メールによる機密情報の漏洩をプロアクティブに防止できるようになります。これにより、情報漏洩対策や日本版のSOXができた際にも対応可能になります。

　さらに、スパムメールは常に進化しているため1つのフィルタリング技術では正確なスパム検知はできません。現状では、不特定多数に対しスパムは配信されていますが、今後は特定のユーザーに対して配信されるものや、より悪質な手口のスパムメールやフィッシングメールが登場することが予測されます。このように、巧妙化するスパムに対しSymantecでは、日々プローブネットワークにて収集されるスパムメールの解析を行い常に最新のフィルターをお届けしていく予定です。

--どうもありがとうございました。

前編へ