ユーザーの過失やウイルスによって,重要なファイルを社外にメール送信してしまうケースが発生している。フィルタリング・ソフトの導入が対策の一つだが,不適切なメールをすべてフィルタリングすることは難しい。メールを保存することで,ユーザー意識の向上を図る企業が多い。

図1●パソコン内のファイルを勝手に送信する「Klez」ウイルス
感染ユーザーのパソコン内からファイルをランダムに選択して,ウイルスとともに社外へ送信する。受信者がウイルス対策ソフトを使用していても,削除されるのはウイルス・ファイルだけ。パソコン内から盗み出されたファイルは届いてしまう
 2002年5月のある日,編集部に見知らぬ相手から,明らかに業務に関係するWordファイルが,メールに添付されて送られてきた。2002年4月以降,大きな被害をもたらしているKlezウイルスの仕業だ(図1[拡大表示])*1。昨年流行したSircamウイルスも,同様にパソコン内のファイルを外部へ送信する。

 「社外秘」と書かれた資料を添付したメールが編集部に届いたこともある。社内へのメールの送信先に,社員と同じ名字の記者のアドレスを誤って含めてしまったためだという。Webメールや掲示板から社内情報が外部に流出することもあるし,社内のパソコンから掲示板などに不適切な内容を書き込んだことが第三者に知られれば,「企業の信用問題にかかわる」(ある生命保険会社の担当者)。

完全なフィルタリングは難しい

 メールやWebの業務利用が進むに従い,それらによる情報漏えいの危険性は増大する。もちろん,過失によるものだけでなく,故意に漏えいするケースもある。任意のローカル・ファイルを外部に送るウイルスの流行が,さらに危険性を増やしている。「社内の情報が外部に出ないよう,最近特に気を使っている」(神戸製鋼所 経営企画部 IT活動推進グループ担当課長 林高弘氏)――というように,情報漏えいに対する関心は確実に高まり,ユーザー企業は対策を講じ始めた。

図2●情報漏えいを防止できるフィルタリング・ソフト
フィルタリング・ソフトには複数の機能があり,社内からの情報漏えいを防いだり,その証拠を残したりできる。ただし,フィルタリングの最適なルールを作成することは難しく,特にメール・フィルタリングの場合には運用の手間がかかる

 情報漏えいを防ぐ技術的手段としては,フィルタリング・ソフトがある(図2[拡大表示])。メール・フィルタリング・ソフトは特定のキーワードやあて先などで,不適切なメールを食い止めるソフトである。Webフィルタリング・ソフトは,キーワードやベンダーが提供するURLリストに基づき,不適切なWebアクセスを禁止する。

 ただし,不適切なメールやアクセスだけを正確にフィルタリングすることは難しい。特にメールの場合には,フィルタリングのルールを,ユーザー企業が作成する必要がある。さらに,状況に応じたルール変更や,誤ってフィルタリングした場合の対応も必要となるため,管理者の負担は大きい。

 また,当然ながら技術的な対策だけでは情報漏えいを100%防ぐことはできない。遠回りのように見えても,社員のセキュリティ意識を高めることが最も重要である。実際,不適切なメールなどを事前に食い止めることよりも,社員の意識を高めることを主目的に,フィルタリング・ソフトを導入している企業は多い。

メールを保存するだけでも抑止力に

表1●主なメール・フィルタリング・ソフト

 メール・フィルタリング・ソフトは,社内から社外へのメールだけではなく,社外からのメールもフィルタリングできる(表1[拡大表示])。そのため,スパム・メール*やウイルス対策にも利用できる*2。また,送受信するメールをすべて保存したり,どのようなメールがやり取りされているのかを調べたりする機能を備えている*3

 件名や本文に含まれるキーワードだけではなく,添付ファイルの種類やサイズ,あて先などでフィルタリングのルールを細かく設定できる。複数のルールを,優先順位を設定して適用することも可能だ。

 しかし実際には,今回取材した企業のほとんどが,キーワードなどでのフィルタリングを行わず,メールの保存を目的に運用していた。

 この運用方法では,不適切なメールを社外に出さないようには当然できない。しかし,「メールを管理していることを社員に浸透させるだけでも,不正行為への大きな抑止力になる」(住友金属工業 経営企画部 情報企画担当 参与 三原裕二氏)*4。導入によって,業務に関係のないメールが明らかに減少したという企業は多かった。

 また,「問題が発生した場合の証拠になる」(神戸製鋼所の林氏)*5ほか,保存したメールを分析することで,「メールがどのように利用されているのかを調べることができる」(日本総合研究所 システム企画部マネジャー 任田博志氏)*6。過失による情報漏えいをしないよう,注意するユーザーが増えることが期待できる。

 フィルタリング・ソフトを導入しておきながら,あえてフィルタリングしない理由は,運用の負荷をできるだけ小さくするためだ。

 昭和飛行機工業では,導入前にはフィルタリングすることを考えていたが,実際に試したところ,「適切なルールを作成することが非常に難しいと感じた」(事業統括部 企画部 生産・システム企画グループ 石森和敏氏)ために,メールを保存するだけの運用にした*7

 ルールの作成だけではない。「業務に必要なメールを誤ってフィルタリングした場合には,人手で内容をチェックしなければならなくなる」(日本総合研究所の任田氏)。

 メールを保存するだけなら,わざわざフィルタリング・ソフトを導入する必要はないようにも思える。しかし,導入した企業のほとんどは,「メール・サーバーなどをカスタマイズするよりも,フィルタリング・ソフトのほうが導入や運用が容易だ」(神戸製鋼所の林氏)と言う。

 また,フィルタリング・ソフトでは,過去のメールを検索したり,含まれる単語や送信者別の統計情報を調べたりすることができる。そのため,「定期的に統計情報を調べて,不適切なメールを頻繁に送信していると思われる社員とその上司には警告のメールを出す」(日本総合研究所の任田氏)といった運用が可能になる。

(勝村 幸博=katsumur@nikkeibp.co.jp,IT Pro)

次回(下)へ続く