タダでできる!メールセキュリティ対策
メールセキュリティは高くつく?
前回は、初回ということで、ユーザー視点でのセキュリティの棚卸しをしてみました。一言でセキュリティ対策をするといっても、検討事項はいろいろあることがご理解いただけたかと思います。今回は、メールのセキュリティ対策について、コストも含めた具体的な対策方法をお話していきたいと思います。
メールのセキュリティには、大きく分けて、外部から内部への対策を行うインバウンド・セキュリティ対策(ウイルスやスパム対策)と、内部から外部への対策を行うアウトバウンド・セキュリティ対策(情報漏えいや内部監査)の2点があり、これらの対策を行うことでリスクを回避するという話を前回しました。
現在、メールは企業のインフラとなってビジネスを支えています。それ故に、セキュリティ対策は必須です。セキュリティ対策は投資効果が見えにくいですが、今まで人手をかけてやってきた対策をシステム化することでコスト削減効果が期待できます。
本来であれば、投資とコスト削減のバランスを考えるべきですが、すべてのリスクを洗い出すのは大変です。そこで、なるべく低コストで効果を上げる方法を2つ提案します。
1つは、メールのサービスをすべて外部に委託するというものです。現在では、ウイルス、スパム対策を含めたメールのサービスが手ごろな価格で運用できます。ただし、規約や保証される内容などを厳密に評価する必要があります。
もう1つは、オープンソース・ソフトウエアを使って自社で導入するというものです。今回は、この後者を中心にメールのセキュリティ対策を考えます。
オープンソース・ソフトウエアでできること
オープンソース・ソフトウエア(図1)を使ってメールセキュリティ対策を行うにあたって、まずはメリットとデメリットを簡単に挙げてみましょう。
・メリット
- LinuxなどのオープンソースのOSやソフトウエアを使うことで、ソフトウエアの調達コストを下げることができる
- メール・サーバーに導入するタイプのアンチウイルス、アンチスパム・ソフトウエアもオープンソースで存在する
- 自社で構築するため、サービスの自由度が高い
・デメリット
- 自分で導入しなければならず、サポートも提供されない(有償でサポートを請け負う企業もあります)
- 情報漏えい対策や内部監査目的のオープンソース・ソフトウエアはまだあまり普及していない
- アンチウイルスやアンチスパムの解析の精度や処理性能が商用ソフトウエアよりも劣る場合がある(メンテナンス・コストもかかる)
こうして見てみると、やはり、導入コストの低さが大きなメリットとなります。特にスパム対策やウイルス対策製品は、購入後のサポート費用なども含めると、それなりにコストがかかります。オープンソースを選ぶことで、こうした費用を削減できます。ただし、運用コストと比較してどちらが優位であるかは、企業規模や業務形態などで異なるでしょう。
オープンソース・ソフトウエアの性質上、製品の品質を気にされる方もいるでしょう。その点については、多くのユーザーが利用しているものは比較的安定して使用できるといえるでしょう。例えば私が所属するHDEが販売している「HDE Anti-Spam」という商用製品では、スパム評価エンジンの1つとして、SpamAssassinと呼ぶオープンソースのスパム対策ソフトウエアを利用しています。
次ページからは、フリーのLinuxディストリビューションであるCentOS 5.3と、ディストリビューションに付属しているメール・サーバーのPostfix 2.3.3を用いた、メール・セキュリティ対策を説明します。なお、CentOSの最新版は5.4、Postfixの最新版は2.6 Patchlevel 5です(2009.10現在)。
