今週のSecurity Check [一般編] (第154回)

 電子メールは重要なビジネス・ツールの一つになっている。業務を遂行する上で,メールの利用が不可欠な方は多いだろう。一方で,メールを使った攻撃や不正行為などが年々増加し,その手口は多様化している。メールはメリットだけではなく,リスクももたらしている。メールを利用する上では,メールがもたらすリスクを軽減するためのセキュリティ対策が不可欠となっている。

 そこで今回および次回の記事では,メールのセキュリティ・リスクやその対策について解説したい。具体的には,「ウイルス対策」「スパム対策」「フィルタリング」「メールの暗号化」---以上4種類のトピックスについて説明する。今回の記事では,まず,ウイルス対策とスパム対策について解説する。

ウイルス対策はもはや“当たり前”

 メールのセキュリティ対策として最もポピュラーなのは,ウイルス(ワーム)対策といえるだろう。数年前からメールを使って感染を広げるウイルスが主流になり,実際に被害例が多数報告されている。このためウイルス対策製品やソリューションは多数市場に出ていて,実際にほとんどの企業/組織において導入が進んでいる。ウイルス対策は,いまや“当たり前”のセキュリティ対策の一つになっている。

 ウイルス対策の実装方法として最も典型的なものは,パターン・マッチングによるウイルスの検出ならびに駆除である。ウイルス対策エンジン(アンチウイルス・エンジン)を使ってファイルの中身をスキャンし,既知のウイルス・パターンと照合する。一致する場合には,スキャン対象ファイルがウイルスに感染している(あるいはウイルスそのもの)と判断してウイルスだけを取り除く。取り除けない場合にはファイル全体を隔離あるいは削除する。

 ただし,新種ウイルスや,既知ウイルスに手を加えた亜種(変種)ウイルスが次々と出現するため,ウイルス・パターンを収めたデータベースは絶えず更新する必要がある。ほとんどのウイルス対策製品では,データベースの更新は自動的に実施される。

「ゲートウエイ型」と「クライアント型」

 メールに関するウイルス対策は,LANなどのゲートウエイ上でウイルスをチェックする「ゲートウエイ型」の対策と,個人のパソコン上でチェックする「クライアント型」の対策の2つに大別できる。

 ゲートウエイ型では,組織の出入り口でウイルスをチェックする。具体的には,ウイルス対策用のサーバーをメール・ゲートウエイ上に設置し,送受信するすべてのメールにおいてウイルス・チェックを実施する。これにより,組織内にウイルスが入り込むのを水際で防止できる。同時に,組織のパソコンがウイルスに感染した場合には,ウイルス添付メールが外部へ送信されることも防げる。

 一方クライアント型では,ユーザーがメール・ソフトを実行するクライアント・パソコン上でウイルスをチェックする。具体的には,パソコンにクライアント用ウイルス対策ソフトをインストールしておく。クライアント用ウイルス対策ソフトの多くは,メール・ソフトがメール・サーバーからメールをダウンロードする際に,ウイルス・チェックを実施する。ユーザーが添付ファイルを開いた時点でチェックするソフトもある。

 当然のことながら,万全を期するためにはゲートウエイ型とクライアント型の両方の対策を実施することが望ましい。セキュリティ・ベンダーの多くは,ゲートウエイ型およびクライアント型の対策ソフトを組み合わせて提供している。

機械的な処理が難しいスパム

 スパム(迷惑メール)も大きな問題になっている。以前は国内ユーザーを狙ったスパムは少なかったが,現在では日本語で書かれたスパムも急激。国内組織の多くが,ネットの帯域やサーバーのCPUパワーやストレージといったリソースを浪費させられている。加えて,スパムの選別などでユーザーの業務効率が低下させられている。また,スパムの“発展形”といえるフィッシング(phishing)詐欺による被害も増えている。そこでベンダー各社は,スパム対策製品(ソリューション)を多数市場に出している。

 スパム対策がウイルス対策と異なるのは,機械的に除去(ブロック)することが難しい点にある。スパムかどうかを最終的に判断するのはメールの受信者であるからだ。ウイルスについては,どのユーザーにとっても有害であることは間違いない。また,ウイルスかどうかは対策ソフトなどで客観的に判断できる。このためウイルスであることが分かれば,機械的に除去できる。

 一方スパムについては,スパムかどうかの判断は,そのメールの受信者に任される。対策ソフトがスパムと判定しても,ユーザーによっては必要なメールかもしれない。正当なメールを対策ソフトが誤判定する可能性もある。このため,対策ソフトがスパムと判定したからといって,機械的に削除したり,隔離したりすることは難しい。

明白なスパムはゲートウエイでブロック

 そこで,誰にとってもスパムであることが明らかなメールについてのみゲートウエイでブロックして,それ以外の“スパムかもしれない”メールについては,ユーザーに判断させる方法が効果的だと考えられる。

 スパム対策ソフトの多くは,現在出回っているスパムの特徴などを収めた“スパム・データベース”を使って,パターン・マッチングあるいはパターン認識によってスパムかどうかを判定する。判定方法自体は,ウイルス対策の場合とよく似ているといえる。最近市場に出ている製品の中には,既知のスパムの一部分だけを変更したような“亜種”のスパムに対応できるエンジンを持つ製品が多数存在する。スパム・データベースはウイルス対策製品のウイルス・データベースと同じように,ベンダーから提供される。

 ほとんどのスパム対策ソフトは,チェックしたメールに対して,「スパムである可能性」を示す値(レーティング)を設定する。この値を基に,スパムの処理を決定する。具体的には,前述のようにこの値が大きいもの,つまり,だれにとってもまずスパムであることが間違いないメールについては,ゲートウエイ部分でブロックする。この“しきい値”は,その組織の管理者が設定することになる。

“グレー”なメールはユーザーが判断

 そして,「スパムかもしれない」メールについては,件名に「SPAM」といった特定の文字列を追加して,ユーザーのメール・ボックスに送信する。ここから先は各ユーザーの判断に任される。前述のように,スパムかどうかを最終的に判断するのはメールの受信者だからだ。

 ユーザーはメール・ソフトの振り分け機能などを使って,「SPAM」が付いたメールを処理する。例えば,自分で作った「迷惑メール」フォルダに振り分けたり,そのまま「ゴミ箱」フォルダに振り分けたりすることが考えられる。

 ユーザー自身が独自のルールを設定することも有効だ。例えば,「特定の送信者から送られたメールは『SPAM』が付いていなくても『迷惑メール』フォルダに振り分ける」「件名に『未承諾広告』と書かれている場合には『ゴミ箱』フォルダに振り分ける」---といった処理が考えられる。

 組織でスパム対策ソフトを導入するだけではなく,上記のようにユーザーが一手間かけることで,有効なスパム対策を施せるだろう。

◇   ◇   ◇   ◇   ◇

 以上,今回の記事では,ウイルス対策とスパム対策について解説した。次回の記事では,フィルタリングとメールの暗号化について解説したい。


井上 秀 (INOUE Hiizu)inoueアットマークmxg.nes.nec.co.jp
NECソフト株式会社 プラットフォームシステム事業部
Linux システム G


 IT Pro Securityが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。