TOP
>
プロジェクト管理
> Webビーコン問題
メールセキュリティからメールコンプライアンスへ〜日本版SOX法の準備をしよう
第2回:メールセキュリティ問題の全体像
著者:
ホライズン・デジタル・エンタープライズ 宮本 和明
2006/2/14
前のページ
1
2
3
Webビーコン問題
HTMLメールの一部に、サーバと通信をするFlashなどを埋め込み、顧客の嗜好などのデータを拾うようにしたもの(Webビーコン)もメールの世界にあらわれてきている。
個人情報保護法に従えば、事前に受信者にデータの送信内容と目的を明らかにするなどすれば、データを取得すること自体は問題ではない。ただ、ユーザに断りなく取得するケースも見られることから、メールソフトや各企業のゲートウェイなどで規制することもあり、Webビーコンは正当な手法を用いても、有効な手段ではなくなってきている。
暗号化
メールを読まれないようにする方法として、メールの暗号化ということが古くから謳われてきた。しかし、いくつかの問題で暗号化メールの標準化は進められていない。
1つは、暗号化する鍵の問題である。公開鍵暗号方式が一般的になると考えられてきたが、公開鍵暗号という概念自体が技術者以外には理解されにくく普及が進んでいない。
2つ目は、ウイルス対策との競合である。公開鍵で暗号化されたウイルス付きメールが届いた場合、企業が設けているアンチウイルスのメールゲートウェイで防御するには、復号化の仕組みも持たねばらならず、面倒なことになる。
現在、漏洩されては困る内容をメールで送信する場合は、WordやExcel、ZIPなどの機能によってパスワードをかけられた添付ファイルをメールで送信し、それを開く際に必要なパスワードは電話やFAXで通知するのが一般的である。ただしこの場合も、アンチウイルスのメールゲートウェイでの防御が効かないため、セキュリティレベルが低下することは否めない。
メールセキュリティ問題の俯瞰
メールセキュリティ問題を俯瞰するには、2つの軸で考えるとわかりやすい。
1つは「個人・企業」という軸で、個人が主に影響を受けるものと企業が主に影響を受けるものである。
そしてもう1つの軸は「被害・犯罪」という軸で、被害者になるケースと犯罪(法規違反)を起こしてしまうケースである。
メールの問題は、「メールセキュリティ≒アンチウイルス」だった時代が長かったが、個人情報保護法の登場に前後して様々なメールセキュリティ問題が浮上した。
そしてこれらの対策のために様々なシステムが、メールサーバやその周辺に共存していたり、これから共存したりする状況となっている。
図2:メールセキュリティ問題の俯瞰
(画像をクリックすると別ウィンドウに拡大図を表示します)
メールセキュリティとメールコンプライアンスの共存
SOX法が施行されると内部統制の見地から、企業はメールをアーカイブせざるを得ない状況になる。そして、アーカイブのための何らかのシステムを導入することになるだろう。
しかし、おそらくそれは思ったほど単純ではない。
アンチウイルスソフトをメールサーバに導入するだけでも、ウイルスを検知した場合の動作を定義し、パターンファイルの更新の経路を決定し、それが通るように設定を行うというように多くの作業と運用設計が必要となった。
メールコンプライアンスのための仕組みも、単にメールをアーカイブすればよいわけではない。また、メールセキュリティのシステムとメールコンプライアンスのシステムが共存することで、システムはさらに複雑化しシステム管理者の頭を悩ませるだろう。
まとめ
SOX法導入のテーマの中で、メールセキュリティの様々を見てきたことには理由がある。
メールセキュリティのために導入したシステムは、それはそれで維持をしつづけなければならない。そしてどのシステムとどのシステムの間に、コンプライアンスのためのメールシステムを入れるかを判断する必要があるからだ。
次回は、メールコンプライアンスのためのシステムの導入の実際と、メールセキュリティのための各システムとの共存、およびその運用をテーマとし解説する。
前のページ
1
2
3
著者プロフィール
株式会社ホライズン・デジタル・エンタープライズ 宮本 和明
代表取締役副社長。1997年からLinuxに関するビジネスに取り組み、サーバ管理ソフトウェアHDE Controller、電子メールエンジンHDE Customers Careなどのパッケージソフトウェアの開発に携わる。金融・流通・自治体など様々な業種の電子メール関連システムにも携わり、今後のメールシステムの行く末を見守り続けている。
INDEX
第2回:メールセキュリティ問題の全体像
ライブドアショックから再認識する企業のリスク
メールセキュリティ問題の多様化
Webビーコン問題