情報セキュリティの分野において,ここ数年注目を浴びている「コンテンツ・セキュリティ」。コンテンツ・セキュリティに関連した「コンテンツ・フィルタリング」や「情報漏えい対策」といったキーワードを目にすることも多い。コンテンツ・セキュリティの考え方自体は目新しいものではない。なぜ最近になって取り上げられることが多いのか。なぜコンテンツ・セキュリティが必要なのか。今回の記事では,コンテンツ・セキュリティの概要を解説する。
プロトコルの種類だけでは判断できない
コンテンツ・セキュリティとは,その名前の通り,情報のコンテンツ(内容)に関するセキュリティを指す。ファイアウオールなどに代表される一般的なセキュリティ対策では,「インターネットから社内への TELNET や FTP 接続は禁止」「DMZ に設置した特定のメール中継サーバーからのみ SMTP 接続を許可」といったように,プロトコルの種類や情報の送信元(送信先)のIPアドレスを基に,やり取りする情報(トラフィック)を制限して安全性を確保する。どういったプロトコルを許可/不許可にするか,どのIPアドレスからのアクセスは許可/不許可にするのかといったルールは,セキュリティ・ポリシーに従って設定することになる。
この方法は効果的ではあるが,万全ではない。許可しているトラフィックに,セキュリティ上の問題を起こすコンテンツが含まれていてもチェックできないからだ。例えば,Webの閲覧を許可している組織では,内部から外部へのHTTP接続は許可している。このHTTPトラフィックに問題があるコンテンツが含まれていてもチェックできない。
電子メールを許可している組織では,SMTPトラフィックに問題があるコンテンツが含まれる可能性があっても,SMTPを禁止することはできない。“正当な”メールのやり取りもできなくなってしまうからだ。
問題があるコンテンツがどこから送られてくるのか,どこへ送られるのかを事前に分かっていれば,IPアドレスを基に制限できるが,実際には難しい。
つまり,IPアドレスとプロトコルの種類だけから,トラフィックの許可/不許可を決めることが困難になっているのだ。この問題は以前から存在したものの,それほど注目されなかった。注目されるようになったのは,多くの組織で許可しているメールとWebのトラフィックに“危険な”コンテンツが含まれることが多くなったためだ。このため,トラフィックの内容(コンテンツ)までをチェックする必要性に迫られている。トラフィックのコンテンツまでチェックして,セキュリティ・レベルを保つことが,コンテンツ・セキュリティである。
Webやメールに潜むリスクの数々
コンテンツをチェックしなければ分からないリスク――多くの場合,Webとメールに含まれるリスク――としてはどのようなものが存在するのか。以下,代表的なものをリストアップする。
◆コンピュータ・ウイルス
コンピュータ・ウイルス(以下,ウイルス)の届け出先機関である情報処理振興事業協会(IPA)によれば,ウィルスの感染経路は,90% 以上が電子メールと Webからのダウンロードだという。
近年では数カ月に1件程度の割合で,世界的に“大流行”するウイルスが出現している。このため,ウイルスへの理解度が高まり,対策は比較的進んでいるといえるだろう。とはいえ,IPAの報告などを見ると被害は多く,まだ十分とはいえない。
ウイルスに関して注意しなければならないのは,自分たちが被害に遭うのを防ぐだけでは不十分だということだ。加害者になることも防がなければならない。“ウイルス送信者”になると,組織の信用を失墜させてしまう。組織内にウイルスを持ち込むリスクだけではなく,組織から送信してしまうリスクについても考慮しなければならない。
対策としては,組織の各クライアントや,メール・サーバーやプロキシ・サーバーにウイルス対策ソフトを導入することが一般的だ。そのための製品は市場に多数出ている。
◆スパム
メールに関するリスクとしては,他にスパムやチェーン・メールなども挙げられる。トラフィックに余計な負荷をかけるだけでなく,受け取った従業員の業務効率を下げることにもつながる。10Mバイトを超えるようなファイルを添付した,いわゆる「メール爆弾」が送られてくることもある。
これらもウイルス同様,組織への流入を防ぐ必要がある。具体的には,メール・サーバーなどで,自作あるいはインターネットで公開されている,スパム送信者のリストを使ってフィルタリングする方法などがある。スパムやチェーン・メールでよく使われる件名やキーワードでフィルタリングする方法もある。メール爆弾対策としては,添付ファイルのサイズでフィルタリングすることも有効だ。
加えて,流入を防ぐだけでは不十分である。これもウイルスと同じだ。組織内からSPAMやチェーン・メールが送信されたら,組織の信用問題にかかわる。内部からのメールについてもフィルタリングを施す必要がある。
◆情報漏えい
スパムなどは信用問題にかかわるだけだが(これだけでも十分深刻ではある),さらに大きな被害をもたらすリスクが存在する。メールやWebへの書き込みなどによる情報漏えいである。組織の機密情報や企業の顧客情報,政府や自治体の個人情報が外部へ漏えいするようなことがあれば,法的責任が問われる。“イメージ・ダウン”だけでは済まない。
情報漏えいには,金銭目的で情報を持ち出す「意図的な漏えい」も少なくないが,メールの誤送信などの過失によるものも多い。“意図的”なほうが悪質に思えるが,漏えいすれば意図的であろうと,過失であろうと関係はない。
対策としては,特定のマシンあるいは特定のユーザー以外は外部へ情報を発信できないように制限することなどが考えられる。外部へ送信するメールをキーワード・ベースでフィルタリングする方法もある。専用製品がいくつか市場に出ている。Webページへの不適切な書き込みについては,そもそも掲示板サイトへアクセスできないように,URLベースでフィルタリングする。これについても専用製品が販売されている。
とはいえ,キーワード・ベースでフィルタリングすることはそれほど容易ではない。“正当”なメールまでフィルタリングする可能性や,不正なメールを適切にフィルタリングできない可能性も少なくない。
意図的な漏えいだけではなく,過失を防ぐためにも,ユーザー教育がかかせない。「情報を漏えいすると,どんな問題が発生するのか」「どれだけの損害が発生するのか」「漏えいしないためにはどうすればよいのか」――などを周知徹底させることが重要だ。
情報漏えいだけではなく,誹ぼう中傷やいやがらせのメール送信およびWebの書き込みにも注意すべきだ。本人は個人の意見として送信あるいは書き込みをしているつもりでも,その発信源が組織だったら,その組織を代表する意見と考えられる可能性がある。個人的な意見を組織のマシンやメール・アドレスで発信することがないように,きちんと啓蒙すべきである。
いずれのリスクも,ウイルス対策ソフトやフィルタリング・ソフトなどの利用である程度減らすことはできるものの,システムで100%回避することはできない。結局は“人”の問題になる。従業員の意識(モラル)向上を図るための教育および啓蒙が最も有効な対策となる。
◇ ◇ ◇ ◇ ◇ ◇
組織にとって,コンテンツ・セキュリティは避けて通れない時代に来ている。2003年5月に成立した個人情報保護法を遵守するためにも,コンテンツ・セキュリティ対策を施して,情報漏えいの防止に努めなければならない(関連記事)。組織の規模を問わず,すべての組織がコンテンツ・セキュリティの重要性を認識する必要がある。
井上 秀 (INOUE Hiizu) 
NECソフト株式会社 サーバソリューション事業部
LinuxソリューションG
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
