電子メールにおける情報漏洩セキュリティ対策

コラムカテゴリー:

ビジネスにおける電子メールの重要性が高まるに伴い、会社としてメール利
用のコントロールが必要になっています。メールをコントロールするには、WEB
フィルタリングとメールフィルタリング、メールアーカイブ、ウイルス対策、
外部記憶媒体利用対策など、さまざまなサービス・ルールを組み合わせてクラ
イアントが要望するセキュリティレベル・コストレベルに合わせて提案する必
要があります。社内でどのくらいメールでのやり取りがあるのか、メールでど
のくらい機密情報がながれているのか、機密情報をメールで流しているという
認識はされているのか、等クライアントの状況を把握し、クライアントの現実
にかなった有効なセキュリティを提案します。ただし、人は必ずルールを決め
たり新たなシステムを導入すると、抜け道を見つけたり、もっと楽な方法を探
そうとします。せっかく導入した高価なシステムが抜け道により無力化してし
まうことも現実問題として起り得ることなのです。ではどうすれば、有効なセ
キュリティ対策が実現できるのでしょうか?

有効なセキュリティ対策の構築には、システム機能面と運用・制度面とコス
ト面のバランスがとれた対策を行わなければなりません。各社員の情報セキュ
リティ意識が高く、メール利用における統制レベルが高い場合は、システム構
築は最小限に、できるだけシステム投資は安価にし、運用・制度面からセキュ
リティ意識の低下を避けるようにします。逆の場合は、運用・制度面の見直し
はほどほどにし、コストをかけてシステム構築の範囲を広げます。

システム機能面を検討する際に重要な要素として、「メールの情報にどの程度
の機密情報が含まれるかを把握し、その状況を鑑み機密情報漏洩に対しどのよ
うな機能を実装するのか」があります。システム機能の対策として、最上のセキュ
リティ対策は、「メール丸ごと暗号化」ですが、現実的にはコストがかかりすぎ
てしまい、実際に「メール丸ごと暗号化」という形で運用している企業はごく一
部の企業に限られています。(メールだけセキュリティ対策をしても中途半端
ということで、電話の盗聴対策までも取り組むような企業ではないでしょうか)
この辺りは検討を中途半端に行うと以下のような笑うに笑えない事例になりか
ねませんので、しっかりとした協議が必要です。

【事例1】
メールに添付ファイルがある場合は上司にCCで自動送信するようにシステ
ム制御するようにした。すると、添付ファイル率が下がった。調べてみると、
上司から「CCが増え、メールBOXがすぐにパンクしてしまうので、宅ファ
イル便などのような“外部の”ファイル転送サービスを使うように」との指示
が口頭であり、実はまったくのセキュリティ対策になっていなかった。

【事例2】
送信メールフィルタリングを運用し、「秘」等の文字が含まれるメールは一
度送信保留し、内容確認後送信許可を出す運用を行った。しかし5年間の運用
で送信保留されたメールはあったが、そのうち送信保留されるべきメールは一
件もなかった。逆になぜそのようなフィルタリングとしているのか社内から問
題になり、検討の結果、送信メールフィルタリングをやめることになった。

前述の例のようにならないよう、
1.メールで送受信される情報とその機密度の検討
2.行うべき対策の方向性の検討
3.実施予定の対策の、現場運用負荷検討とコストの検討
4.対策の採用検討
が必要になります。

実際に細かく検討していくと、実施すべき対策は、メールセキュリティその
ものだけに限定されずに情報セキュリティ全体の視点からの対策も必要になり、
ときとして、そちらのほうの緊急度が高かったりすることもあります。また、
メールセキュリティに関する対策は、情報セキュリティ全体の仕組みの一部と
して、企業内でしっかりPDCAサイクルをまわすことが重要です。継続的に
PDCAのサイクルをまわし、最新の状況に対応し続けなくてはなりません。
常に可変するリスクを意識しつつ、一方では普遍な事実を考慮しつつ、常に無
駄なコストにならないよう意識し、情報漏洩対策をとる必要があります。身の
丈にあった、本当に必要なレベルのセキュリティは企業ごとに異なるはずです。
各企業にマッチしたセキュリティ対策の策定に、特定製品を担がない中立なシ
ステムコンサルタントをいれて検討すると、安易に高価なシステム導入に走ら
ない有効な方法が見えてきたりするものです。我々のような会社を有効に利用
していただく局面のひとつではないでしょうか。

関連サービス

2009年04月16日 (木)

青山システムコンサルティング株式会社

嶋田秀光