セキュリティ対策の最新動向を追う!

第3回多様化するメール環境のセキュリティ

脅威の進化とセキュリティ対策

新たな脅威の登場や社会情勢の変化に、セキュリティ対策はつねに追従していくことが求められています。たとえば静的コンテンツが中心だった従来のWebサーバのセキュリティ対策は、ファイアウォールによるIPアドレスやポート番号などの情報を元にしたアクセス制御と、不要なサービスを起動しないなどといったサーバ自身の要塞化が主でした。

しかし動的なコンテンツ生成が当たり前になると、それを実現するWebアプリケーションの脆弱性を狙った攻撃が広まります。そこでIPアドレスやポート番号をベースとした単純なアクセス制御だけではなく、HTTPでやり取りされる内容を解釈して攻撃を検知し、通信を遮断するWebファイアウォールが必要になったわけです。

同様に、セキュリティ対策が変化している領域として挙げられるのがメール環境です。本稿では、メール環境に対するこれまでのセキュリティ対策の変化、そして現在求められている対策について考えてみたいと思います。

まず、メールセキュリティの重要性が認識されるきっかけとなったのは、1999年から2000年にかけて登場した「メリッサ」「ラブレター」という2つのウイルスでした。

いずれもマクロウイルスの一種で、感染したPCから自分自身を添付したメールを大量に送信する「マスメーリング」の手法により、ねずみ算式的に数多くのPCへ感染しました。また、ラブレターは感染力を高めるために大量のメールを送信する仕組みを備えていたことから、多くのメールサーバがパンクする事態に陥りました。

こうしたメールを利用して感染を広げるウイルスに対抗するために導入されたのが、メールサーバ上、あるいはメール専用のプロキシサーバとして動作するウイルス対策ソリューションです。送受信されるメールをサーバ上で監視することにより、クライアントがウイルスを受信したり、あるいは逆にウイルスに感染したクライアントからウイルス付きメールが送信されることを防ぐわけです。

当然、クライアントPC上で動作するウイルス対策ソフトにおいても、メール経由で送られてくるウイルスを検知するための機能が追加されました。ただクライアント上でのセキュリティ対策は、パターンファイルが更新されていない、あるいはそもそも起動していないなど、適切に利用されていない可能性があり、またそれを管理者が把握しづらいことから、サーバ上での対策が広まったわけです。

スパム対策から内部統制への対応まで求められる時代へ

その後、メール環境における次なる問題としてクローズアップされたのが広告を目的としたスパムメール(迷惑メール)です。スパムメール自体はインターネット黎明期から存在していましたが、インターネットの利用者が増えるに連れてスパムメールの数も増しています。現在では、インターネット上で流通しているメールの90%がスパムメールであるとも言われています。

大量のスパムを受け取るようになってしまうと、単純にサーバのディスクスペースを無駄に消費するだけでなく、必要なメールがスパムメールの山に埋もれてしまい、必要なメールを選り分けるために時間を浪費してしまうといった問題も起こります。

さらに最近では、個人情報を盗み、金銭を搾取することを目的とした「フィッシング詐欺」メールも大きな問題としてクローズアップされています。これはメールを使って偽のポータルサイトや銀行のWebサイトにユーザーを誘導し、そこで入力されたIDやパスワードなどの個人情報を盗むという手口です。

こうしたスパムメールへの対策として最初に広まったのは、メール内容を学習し、受信したメールと学習結果を照らし合わせてスパムかどうかを判断するものです。主な手法としては、ベイズ理論やロジスティック回帰といったものがあります。

オープンソースで開発が行われているメールソフト「Thunderbird」では、ベイズ理論を利用した迷惑メールフィルタ機能が搭載されている
オープンソースで開発が行われているメールソフト「Thunderbird」では、ベイズ理論を利用した迷惑メールフィルタ機能が搭載されている

また、サーバ側でのスパムメール対策のための手法として「S25R」「Graylisting」も使われています。S25Rはスパムメールの多くが動的IPアドレスを使っているボットから送られていることを利用し、送信元サーバが固定IPアドレスを持っているかどうかで判断します。また、スパムメール業者が大量のメールを短時間で効率的に送信するため、再送要求には応じないことを利用し、メールを受け取った際に再送要求を送り、それに応じたサーバからのメールをスパムメールではないと判断するのがGraylistingです。

こうしてウイルス対策、そしてスパムメール対策とセキュリティを強化してきた企業のメール環境ですが、最近では内部統制上の理由から送受信されるメールの監査も求められるようになりました。

企業内においてITの適切な利用による業務遂行を証明するためには、さまざまな領域での監査が必要になります。業務上のコミュニケーションの多くで使われているメールも、当然監査すべき対象というわけです。

具体的には、送受信されるメールの長期間の保存、そして必要に応じて過去のメールを参照することが可能なシステムの構築が必要となります。そこで登場したのが、メールのアーカイブ化と全文検索を組み合わせたメール監査ソリューションです。

個別対応から統合メールセキュリティ対策の時代へ

このように企業のメール環境はウイルス対策からスパム対策、そして昨今のメール監査に対応するため、さまざまなソリューションの導入が必要となり、その複雑さを増しています。特にこれらのソリューションを個別に導入した場合、その運用管理だけでも大きな負担になるのは明らかでしょう。

そのため、最近ではこれらの機能を一つにまとめた製品も登場しています。たとえばギデオンの「ギデオン メールアーカイブPlus」は、カスペルスキー製のエンジンを利用したウイルス対策にスパム対策、さらにアーカイブ化と全文検索機能を備えた多機能なソリューションとなっています。また、同様の機能をアプライアンスとして提供する「ギデオン BLOC system メールアーカイブ / アーカイブPlus LunchBox」も提供されています。

ギデオンの統合型メールセキュリティソリューションである「ギデオン BLOC system メールアーカイブ / アーカイブPlus LunchBox」
ギデオンの統合型メールセキュリティソリューションである「ギデオン BLOC system メールアーカイブ / アーカイブPlus LunchBox」

特徴として挙げられるのは、柔軟性の高いメールアーカイブ機能です。メールデータの保存には、ローカル、あるいはネットワーク上のストレージを自由に設定できるほか、指定容量内でのローテーションや、指定した日付のタイミングで別のストレージに切り換えるといったこと設定が可能です。

また過去のメールを参照するために、強力な全文検索エンジンを搭載していることも特徴でしょう。インデックスはヘッダや本文、添付ファイルを対象に自動的に行われるほか、テキストファイルであれば添付ファイルもインデックス化の対象になります。また、サブジェクトと添付ファイル名など、複数の項目を組み合わせたクロス検索も可能です。

このように、メールにおけるセキュリティ対策は、それぞれの脅威に対する個別対応から、統合的なセキュリティ対策を実現するソリューションへとシフトしています。個別に対策を実施するよりも運用負荷を軽減することが可能な上、初期導入コストやサポートにかかるコストを削減できることを考えると、当然の流れであると言えるでしょう。ぜひメール環境に対するセキュリティ対策を見直し、無駄なコストを投じていないか見直してみてはいかがでしょうか。

「ギデオン メールアーカイブPlus」および「ギデオン BLOC system メールアーカイブ / アーカイブPlus LunchBox」について、ギデオン代表取締役社長である西尾 高幸氏が詳細に解説するセキュリティ対策最適化セミナーを10月2日(金)に開催します。そのほかS&Jコンサルティングの三輪信雄氏をはじめ、豪華講師陣が多数出演予定です。応募者多数の場合は抽選となりますので、ぜひお早めにご登録ください。

http://gihyo.jp/event/2009/security

おすすめ記事

記事・ニュース一覧