GIDEON、メールソリューションで実現する最新メールセキュリティ

電子メールは今やビジネスに不可欠のツールだが、一方でスパムやウイルスなどの脅威にさらされておりシステム管理者は日々その対処に忙殺されている。

巧妙化・悪質化を続ける脅威に即応しつつ管理者の負荷を軽減可能な解決策として、Linuxにおけるアンチウイルス関連技術に定評があるGIDEONが提供する一連のメールソリューションを紹介しよう。

導入が容易で運用の手間が少ないウイルス/スパム対策

簡単な設定で運用可能なGIDEON製品

サーバ用のウイルス/スパム対策ソフトウェアで煩雑さが難点だった導入時の設定や運用管理を容易にした製品群として、GIDEONでは「アンチウイルス」および「アンチスパム」を提供している。これらにはそれぞれメールサーバ版と「BLOC system」と呼ばれるアプライアンス版の2種類があり、いずれも管理者のメールアドレスやスパムメールの転送先などユーザ固有の情報を設定するだけで導入可能だ。メールサーバ版はsendmail/qmail/postfixと3種類のMTA(メールサーバソフトウェア)に対応しLinux系のメールサーバのほとんどをカバーできる上に、別途サーバを用意する必要もネットワーク構成を変更する必要も無い。アプライアンス版もメールサーバ版とほぼ同様の設定をするだけの容易さだ。

運用管理はいずれもWebインターフェイスで導入後の設定変更やログ/レポートの閲覧が可能。ウイルス検出とスパム本文解析のコアエンジンにロシアKaspersky社の技術を採用し、新種ウイルスの定義ファイルは発見から1時間以内に作成されサーバ側で1時間ごとに、スパムの本文解析データベースは3時間ごとにそれぞれ差分更新している。これらは365日24時間態勢での対応でありインターネット経由での自動更新のため、管理者はアップデートに神経を使わなくてもよいのだ。

図1 GIDEONアンチウイルス/アンチスパムの概念図
図1 GIDEONアンチウイルス/アンチスパムの概念図
アンチスパムはアンチウイルスのオプションと位置づけられており、動作時はアンチウイルスに続く後段処理として実行される。
アンチウイルスがKasperskyエンジンによる処理なのに対し、アンチスパムは本文解析のみKasperskyで実行し、それ以外の信頼性確認は独自手法によるデータベース参照で実現される。
送信元のアドレスをDNSで逆引きするなど、さまざまな手法で信頼性を確認し、その結果を組み合わせて総合判定すると同時に、スパムと判定されたRBLやURLは高速化のためメモリにキャッシュされ、その後も参照される。
逆に、スパムではないと判定されたメールの配信元IPアドレスやドメインも「ノーマルキャッシュ」として同様に保存され、判定処理速度を向上させるために参照される。
こうして、同じようなスパムが連続して大量に到着するような場合には処理速度が低下することもなく効率的に判定できる。

スパムに対する高い検知率

GIDEONのアンチスパム技術では基本的に、ヘッダから取得できる情報に基づき発信元の信頼性を判定する。実環境での検証では、フィルタを通過したスパムはわずか0.01%であり、正常なメールをスパムと誤判定したのは0.001%に過ぎない。メーリングリストなどは発信元確認とメール本文の双方で検知するため、誤判定は皆無だ。GIDEONでは一般的なリアルタイムブロックリスト(RBL)に加えて、独自のスパムデータベースをスパム判定に用いることにより日本語スパムへの対応力を高め、これと自社開発のスパム検出アルゴリズムとの相乗効果により、国内ユーザ向けにスパム検出能力が高い製品を提供できるのである。

BLOC systemではさらに、POP受信によりメールを取得し判定するプリフェッチ機能を搭載する。このことでスパムメールをPOP受信する前に削除することが出来る。また、ISPなどが提供するメールサーバを使用するケースにも対応し、メールクライアントの設定変更も必要無い。

「攻めの姿勢」でビジネスに活用するメールアーカイブ

高効率のインデックス化と高速な全文検索を装備

「GIDEON Mail Archive」は、コンプライアンス対応のためだけの「死んだ情報の集積」や大規模で硬直化したメールデータベースとは異なる手法でメールを重要な情報源として活用することを意図して設計されたメールアーカイブシステムだ。このシステムでは差出人/宛先/件名などのヘッダ情報や本文の内容をインデックス化し、データベースに蓄積する。インデックスの作成にはローリング方式を採用、蓄積データが増大してもインデックス統合のための時間を短縮できる。BLOC systemでは後述の「PortControl」の併用でデータ及びインデックスを保存するストレージを分散可能であり、検索も分散ストレージに対応しているため、データ量の増大にも容易に対応可能だ。

なお、メール検索は一般的なデスクトップ検索のようなユーザインターフェイスから利用でき、10万通のメールに対し1秒以内で検索が完了する。

図2 GIDEONメールアーカイブ検索用ユーザインターフェイス
図2 GIDEONメールアーカイブ検索用ユーザインターフェイス

導入と運用管理が容易

GIDEON Mail Archiveも簡単に導入でき運用管理が容易という特長を備えている。アンチウイルス/アンチスパムとの併用でウイルスやスパムを除外した真に重要なメールのみをアーカイブでき、データ量の縮減とともに運用管理の負荷を大きく軽減可能だ。

BLOC systemとメールサーバ版のいずれもネットワーク上のメール送受信のトラフィックを自動的にアーカイブするため、クライアントなどの設定変更は不要であり、アクセス権などを参照してアーカイブの検索範囲を限定できる。BLOC systemでは、外部メールサーバを利用する場合でもアーカイブ可能というメリットもある。

図3 GIDEON Mail Archiveの利用概念図
図3 GIDEON Mail Archiveの利用概念図
GIDEON Mail Archiveは通信経路上に設置され、トラフィックの内容を監視している。
メール(SMTP/POP3)であれば自動的にアーカイブ処理を行うので、既存のネットワーク環境の変更は不要だ。プロキシではなく、透過プロキシとして動作するイメージだ。
さらに、プロトコル・レベルでの監視であるため、ユーザーのメール・クライアントや、メールサーバの種類、サーバの設置場所といった条件には全く影響を受けない点もポイントだ。
ユーザーが複数のメールサーバ/メールアドレスを使い分けている場合でも、その全てをアーカイブ対象に出来る。
アプライアンス版では、PortCpntrolを併用することでプロトコルレベルでのトラフィックの振り分けをPortControlに任せられるため、さらに高度な構成が可能になる。

ワークフローの中でのアーカイブ導入活用例

では、実際のワークフローを例として、本システムの特徴的なメールデータ活用方法を以下に挙げてみよう。

(1)クライアントPC(個々のアカウント)でのメール管理

(利用シーン1)情報管理のため、過去のメールはクライアントPCから随時削除しているが、業務上、過去のメールを確認するためになかなか削除できない。

→過去のメールはBLOCで指定したストレージに一括保存されるので、安心してクライアント側でのメール整理が可能。

(利用シーン2)クライアントPCのHDDがクラッシュして重要なメールデータが全て消えてしまった。

→過去のメールを検索・閲覧ができ、またアクセス制限もかけられるので、クライアントPC上のメーラ利用時のように他者から閲覧できなくする設定も可能であり、秘密情報記載のメールを自己責任で抱えてしまうというリスクも回避できる。

(2)より有効なメール情報管理を行いたい

(利用シーン1)管理職が部内で送受信されるメールを全て閲覧したい。

→ギデオン メールアーカイブのGUI管理画面よりアカウントごとのアクセス制限設定やグループ設定を行えば、管理職が部内のメールを閲覧することが可能となる。

(利用シーン2)アーカイブされたデータを年単位や月単位で管理したい。

→年月単位で保存するパーティションまたはストレージを切り替えることができ、それぞれを着脱(マウント/アンマウント)することにより、データ利用期間を容易に管理可能となる。

(3)業務上、積極的にメールデータを活用したい

(利用シーン1)サポート業務で対顧客企業との過去の経緯を営業から技術まで横断的に確認したい。

→検索画面より顧客ドメインをキーワードにして検索し、日付順でソートすれば、時系列で顧客企業とのメールでのやり取りを表示できる。また、部署ごとにグループ設定を行っておけば、グループ選択検索により、部署ごとの顧客対応経緯を区別して表示できる。

(利用シーン2)部署内のメール情報を共有のものとして活用したい。

→休日や夜間など担当者不在の際に受けた連絡の対応など、従来なら担当者へ問い合わせが必要な場合でも、グループ内アカウントのメール閲覧を可能にしておけば、担当者に代わって確認することが可能となる。また、退職者が退職時にクライアントPC内のメールデータを全て削除してしまっても、アーカイブされたデータより検索することが可能となる。

信頼性向上/負荷分散のためのパケットルーティング

冗長化構成での運用

BLOC systemに万一の障害が生じた場合には、ネットワークが実質的に使用できなくなってしまうおそれが無いとはいえない。

その解としてGIDEONは「PortControl」を用意、メール関連のパケットのみをBLOC systemに振り分ける機器だ。BLOC systemの設置場所が自由に選択可能となり柔軟な運用を実現するほか、BLOC systemの負荷が高じた場合もメール以外の遅延等を回避できる。また、万一BLOC systemがメンテナンスや障害発生で停止した場合、PortControlはBLOC systemの停止を検知し、自動的にメール関連パケットもPortControlをスルーするように切り替わるため、ネットワーク上でのメールの送受信が途絶えることを回避できる。

さらに、PortControlには2台のBLOC systemを接続して冗長化構成をとることができるため、例えメインのBLOC systemが1台停止したとしても予備機が自動的に稼動することにより、ユーザはシステム停止前後でシームレスにメールを送受できる。

(左)図4 BLOC system障害発生時のPortControl動作(BLOC 1台)
(右)図5 BLOC system障害発生時のPortControl動作(BLOC 2台)

図4 BLOC system障害発生時のPortControl動作(BLOC 1台) 図5 BLOC system障害発生時のPortControl動作(BLOC 2台)

独自ポリシーによる分散運用が可能

複数台のBLOC systemを使い分けることで負荷分散を実現することが可能だ。

クライアントをグループ分けし、それぞれ異なるBLOC systemを割り当てて処理を分散させることでBLOC systemの負担を軽減し、信頼性を高めることが可能となる。

たとえば、JSOX法などのコンプライアンス上の要件からメールのアーカイブが必須となる部署のメールのみをアーカイブするなど、ユーザ固有のポリシーに応じた運用が実現できる。

図6 BLOC systemの分散運用例
図6 BLOC systemの分散運用例

GIDEONメールソリューションの導入例

最後に、GIDEONメールソリューションの導入例を紹介しよう。組織の規模やネットワークの利用形態に最適な構成を採用することで、最大限の効果を得られるのだ。

数十人までの小規模組織の場合

ユーザ数が数十人以内の小規模組織では、アプライアンス版のBLOC systemの単体導入で十分な保護を得られる。この規模ではISP等のメールサーバを利用することが多いことからも、アプライアンス版が適している。

図7 BLOC system単体の設置例
図7 BLOC system単体の設置例

過負荷などによる遅滞対策を考慮する場合

BLOC system単体では過負荷などによるトラフィック遅延が懸念される中規模組織では、PortControlの併用でメール以外のトラフィックへの影響を回避できる。

PortControlはHA(高可用性)構成や負荷分散などを実現できるため、個々のBLOC systemの負荷を抑制したり、将来的な組織拡大への対応を考える場合に有効だ。

図8 PortControlとBLOC systemの併用例
図8 PortControlとBLOC systemの併用例

部門ごとに分散運用を行なう場合

大企業など部門やフロアごとに分散し外部との接続拠点が複数存在する場合には、それぞれの接続拠点ごとにBLOC systemを設置することで分散処理を行うことが出来る。拠点ごとの構成は中規模組織の場合と同様だ。

またMail Archiveでは、BLOC systemの外付けHDDに加えてiSCSIやSANによる外部ストレージ構成も可能であり、メール容量の増大にも対応できる。

図9 負荷分散および外部ストレージを利用する構成例
図9 負荷分散および外部ストレージを利用する構成例

外部メールサーバ環境でメールサーバ版を利用する場合

自前のメールサーバでの利用が原則となるメールサーバ版も、メールを中継するリレーサーバを内部に設置すれば外部メールサーバを利用する環境でも利用できる。十分なパフォーマンスが得られるようリレーサーバの能力を検討しなければならないが、構成はシンプルになる。

HTTP/FTPも監視したい場合

BLOC systemは、SMTP/POP3に加えてHTTPやFTPも監視可能な製品だ。メール以外の送受信を保護したい場合に加え、Microsoft ExchangeなどWindows用メールサーバを使用しているケースにも有効な対策となる。さらに、セキュリティ関連の機能を集約可能であり、見通しのいい運用管理を実現できるメリットもある。

株式会社ギデオン
URL:http://www.gideon.co.jp/
TEL:045-590-1216/FAX:045-590-1217

おすすめ記事

記事・ニュース一覧