早わかり講座
企業情報を守るセキュリティ対策（16）

送信メールを監査し情報漏えいを防ぐ

2006.06.22

電子メールを通じた情報漏えいへの対策が急務となっており，メール監査を実施する必要性が高まっています。フィルタリングやアーカイブしたメールの確認など，メールの中身に踏み込んだ検査を要します。そのため個人のプライバシーに配慮することも重要です。

図1●企業の送受信メールにはさまざまなセキュリティの脅威が潜む　受信メールだけでなく，企業が送信するメールにも情報漏えいをはじめとするセキュリティ上のリスクが潜んでいる。
[画像のクリックで拡大表示]

図2●電子メールの監査方法は2通り　リアルタイムでフィルタリングすると情報の流出を直ちに阻止できるが，業務に必要なメールまで止めてしまう恐れがある。一方の事後監査では情報流出は阻止できないが，情報漏えいをけん制する効果はある。
[画像のクリックで拡大表示]

　電子メールの利用機会が増すにつれて，それに伴うリスクも飛躍的に高くなってきていることは見逃せません。しかも企業の電子メール利用におけるリスクは，受信メールと送信メールの両方に潜んでいます（図1[拡大表示]）。

　例えば受信メールには，ウイルスやワーム，スパイウエア*が混入していたり，迷惑メールが多数を占めるなどの事態が多発していることはご存知の通りです。

　しかし実は，企業が送信するメールも多くのリスクを抱えています。例えば不適切な内容のメールによる企業イメージの低下や，業務外利用による生産性への悪影響などが考えられるでしょう。しかし最大の問題は，送信メールを介して顧客の個人情報などが流出してしまいかねないことです。

個人情報の流出経路になりかねない

　メールによる情報漏えいは，2005年4月に全面施行された個人情報保護法*（個人情報の保護に関する法律）に対処するためにも重要な課題の一つです。電子メールからは，企業が管理している機密情報や知的財産，顧客情報，従業員情報などさまざまな情報が漏えいする恐れがあります。その結果，法的な責任の発生，企業の競争力に対する悪影響，企業イメージの悪化，従業員に対する不利益──などの被害が出かねません。

フィルタリングで情報漏えいを防ぐ

　こうした情報漏えいが発生しないようにするには，電子メールの監査を実施する必要があります。監査の方法としては，二つのアプローチが考えられるでしょう（図2[拡大表示]）。

　一つは，電子メールのフィルタリング・ソフト*などを利用して，メールの内容を検査することです。具体的には，「あるキーワードがメールの本文や添付ファイル名，ヘッダーに含まれる場合はフィルタリングする」といったルールをフィルタリング・ソフトに設定します。ルールに合致したメールは配信を保留し，管理者が内容を確認して問題ないと判断したメールだけを送るようにするのです。例えば発表前の製品の内容が機密情報だとすれば，その製品名をキーワードにする方法があるでしょう。

　フィルタリングをうまく使いこなすポイントは，いかに適切なフィルタリング条件を設定するかです。フィルタリング条件を決める際には，業務に対する影響を考慮する必要があります。例えばフィルタリングの対象にするキーワードをむやみに多く設定すると，情報漏えいと無関係なメールの配信まで止めてしまい，業務に重大な支障を与えかねません。

　例えば顧客情報が個人情報であるからといって，顧客名を登録することは困難でしょう。顧客に対する案内や連絡メールもフィルタリングされてしまう可能性があるからです。フィルタリングを実施するには，どういう情報が流出しては困るかを事前に整理する必要があります。

事後監査を告知して抑止効果を狙う

　電子メール監査のもう一つの方法は，送信メールをそのままあて先に配信すると同時に，すべてのメールをアーカイブに保存することです。この処理は，メールのアーカイブ・ソフト*などを使って実現します。アーカイブしたメールに対して，情報漏えいにつながるようなキーワードなどを指定し，それに合致したメールがなかったかどうかを任意のタイミングで事後監査します。

　この方法の欠点は，情報漏えいにつながるメールの配信を止められないことです。しかし事後監査を実施中であると社員に周知することで，情報漏えいをけん制する効果があります。

　またいずれの方法も，「監査業務を無理なく実施できること」，「形式的な監査とならないよう監査業務の実施方法をきちんと設定すること」の2点を考慮することが肝要です。

プライバシーに対する配慮も不可欠

　電子メールの監査を行う場合には，社員のプライバシーに対する配慮も欠かせません。メールの内容を検査することが，社員のプライバシーを過度に侵さないようにすることが重要です。メール・システムは企業の資産であるため，社員のメールを監査するのは当然といった見方もあります。しかしそれが基でトラブルとなり，社員が企業を相手取り訴訟を起こすようなケースも出ています。こうした無用なトラブルを避けるためにも，電子メール監査を実施していることを従業員に周知すべきでしょう。

　保存したメールへのアクセス制限も欠かせません。情報漏えい対策として監査するメールが目的外に使われないよう，注意が必要です。

増谷洋　NRIセキュアテクノロジーズ事業開発部長
小山秀樹　NRIセキュアテクノロジーズ事業開発部上級セキュリティエンジニア