電子メールの情報漏洩対策の重要性 - Nomura Research Institute

11-NRI/p74-77 05.10.16 13:45 ページ 74
N
R
I
N
E
W
S
電子メールの情報漏洩対策の重要性
小山秀樹
今日、電子メールは企業活動を支える必要不可欠な道具
となっており、電子メールに起因する内部および外部から
電子メール管理に関する
ガイドライン
の情報漏洩などの脅威にいかに備えていくかが、きわめて
このような状況のなかで、企業
重要な課題として認識されるようになっている。NRI セキ
のセキュリティ管理者は、どのよ
ュアテクノロジーズでは、ファイル交換サービス「クリプ
ト便」と、電子メール監査支援ツール「SecureCube/Mail
Check（セキュアキューブ・メールチェック）」を提供して
いる。個人情報などを含む重要なファイルの交換には前者
を利用し、通常の電子メールは後者を利用して監査を行う
うに電子メールを管理すべきだろ
うか。
経済産業省が公表している「情
報セキュリティ管理基準」では、
｢電子メールにおけるセキュリテ
ィ上のリスクを軽減するための
ことで、利便性と高いセキュリティを両立させた、安全な
管理策の必要性について考慮する
電子メール利用環境を構築することが可能となる。
こと」がうたわれている。その中
では、
>電子メールに対する攻撃への
電子メールを取り巻くリスク
律｣（いわゆる個人情報保護法）
対処
>電子メッセージの機密性およ
近年、電子メールの利用が拡大
の2005年４月からの全面施行を契
するとともに、それに伴うリスク
機に情報漏洩対策が話題となった
び完全性を保護するための、
も飛躍的に増大している。電子メ
ように、内部からの情報漏洩は企
暗号技術の利用
ールの利用におけるリスクには、
業のリスク管理上の重要な課題と
といった外部からのリスクへの対
添付ファイルを通じたコンピュー
なっている。
処と併せて、
>電子メールの添付ファイルの
タウイルス、ワーム、スパイウェ
自社の機密情報や技術情報の漏
アの感染や、スパムメールによる
洩、顧客情報の漏洩は、企業の競
業務効率の低下のほか、最近では
争力の低下、企業イメージの悪
金融機関のメールを装って暗証番
化、損害賠償責任の発生など、企
号やクレジットカード番号を詐取
業経営にダメージを与える。また
>会社の信用を傷つける恐れの
するフィッシングなどがある。
従業員情報の漏洩は、その従業員
ある行為に対する従業員の責
これらは、電子メールに伴うい
の不利益につながる可能性があ
任
わば外部からの脅威に当たるが、
る。さらに、不適切な内容の電子
>訴訟の場合証拠として使える
電子メールの中身に含まれる情報
メールによって企業イメージが損
可能性があるメッセージの保
の漏洩、すなわち内部からの情報
なわれることもあれば、業務以外
存
の漏洩も脅威として無視できな
の電子メール利用が生産性に悪影
い。｢個人情報の保護に関する法
響を与えることもある。
74
保護
>電子メールを使うべきでない
ときに関する指針
>認証できなかったメッセージ
交換を調査するための追加の
知的資産創造／2005年 11月号
当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。
Copyright © 2005 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission.
11-NRI/p74-77 05.10.16 13:45 ページ 75
管理策
要とされている。業務目的外の具
を取り巻く状況の変化を、「従来、
など、内部リスクを念頭においた
体的な例として、業務に関係しな
わが国においては、終身雇用制の
諸施策を、電子メールの使用に関
い私的な情報の交換・連絡、業務
存在などを背景として、社内の関
する個別指針に含めることが求め
上適切な範囲を逸脱した電子メー
係者間の信頼関係や暗黙の了解を
られている。
ルの利用（メーリングリストやメ
もとに業務が行われる傾向があ
また、個人情報保護に関連して
ールマガジンの不適切な利用な
り、社内における従業員間の相互
経済産業省が定める「個人情報の
ど）、公序良俗に反する情報の送
牽制やモニターなどの仕組みが必
保護に関する法律についての経済
信があげられている。
ずしも明確化されていなかった。
産業分野を対象とするガイドライ
アメリカでも、SEC（証券取
しかし、現在では、雇用の流動化
ン」では、個人データの送信時の
引委員会）規則17a-４や、HIPAA
や企業再編の進展などにより、従
対策として、盗聴される可能性の
（医療保険の携行性と責任に関す
業員、当事者間の暗黙の了解や信
あるネットワークで個人データを
る法律）などの規制で、通信の保
頼関係のみに依存した経営管理の
送信する際に、個人データを暗号
管とアクセス制御が要求されてい
あり方に限界が生じてきている」
化することが望ましいとされてい
る。また、サーベンス・オクスリ
と分析している。
る。たとえば、インターネットで
ー法（いわゆる企業改革法）で
NRI セキュアテクノロジーズで
メールに添付してファイルを送信
は、電子メッセージを含むデータ
は、2005年３月に情報セキュリテ
するような場合には、外部からの
の維持、保管、安全性の保持の必
ィに関するアンケート調査を実施
脅威に備えるために暗号化が求め
要性が強調されている。
した。その中で、セキュリティポ
られるということである。
日本でも、同法の考え方を踏ま
リシーに基づいてすでに作成済み
金融業界に対しては、FISC
えて内部統制の強化が議論されて
または作成予定の規定について尋
（金融情報システムセンター）が
おり、法制化に向けての検討が進
ねたところ、78.4％の企業が「個
められている。
人情報管理に関する規定」をあ
示す「金融機関等コンピュータシ
ステムの安全対策基準」の中で、
電子メール送受信、ホームページ
げ、また75.1％の企業が「機密情
高まる内部管理への意識
報管理に関する規定」をあげてい
閲覧などにおける不正使用防止機
情報漏洩に対する各方面の厳し
る。いずれも「コンピュータウイ
能を設けることが求められてい
い姿勢と、内部管理強化の潮流の
ルス対策に関する規定」の71.8％
る。
背景には、いわば性善説から性悪
を上回っており、内部管理への関
説への転換がある。
心の高さをうかがわせる結果とい
特に、個人データを扱う場合に
は、業務目的以外の電子メールの
経済産業省の報告書『リスク新
送受信に対処するため、セキュリ
時代の内部統制――リスクマネジ
今後は、電子メールの管理に関
ティポリシーと整合性のとれた不
メントと一体となって機能する内
しても、外部的なリスクに加え、
正使用防止対策を講じることが必
部統制の指針』では、日本の企業
内部的なリスク対策の必要が認識
える。
電子メールの情報漏洩対策の重要性
当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。
Copyright © 2005 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission.
75
11-NRI/p74-77 05.10.16 13:45 ページ 76
され、その対策が具体化されてく
ると思われる。
Zファイル交換サービス
化アルゴリズムの１つ）によって
｢クリプト便」
暗号化を行うことで、盗聴を防止
2001年８月から提供している
する。
｢クリプト便」は、電子メールの
②誤配信への対応
盗聴、改ざん、情報漏洩などの脅
電子メールのあて先としてあら
その電子メールの情報漏洩に関
威への対策として、インターネッ
かじめ登録されたものだけをウェ
する内部的なリスク対策として、
ト上で安全にファイル交換を行え
ブ画面から選択することにより、
NRI セキュアテクノロジーズで
るようにするサービスであり、以
誤配信を事前に防止する。また、
は、安全なファイル交換を可能に
下の機能を備えている。
ウェブ画面から送付相手の受信確
電子メールの情報漏洩対策
ツール
するサービス「クリプト便」と、
①暗号化
認を可能とすることにより、誤配
電子メールの監査を支援するツー
インターネット上ではSSL（イ
信を早期に検知する。
ル「SecureCube/Mail Check（セ
ンターネット上でデータを暗号化
キュアキューブ・メールチェッ
送信するためのプロトコル）によ
ク）」を提供している。
って、サーバー上ではDES（暗号
③ユーザー承認による電子メー
ルの監査
あらかじめ指定された承認者の
図 1 「SecureCube/Mail Check（セキュアキューブ・メールチェック）」の仕組み
社内ネットワーク
業務管理関連部門
条件設定
_対象メールとなる
検査条件の設定
メール送付
各ユーザーの上長・セキュリティ担当者
内容確認
aウェブブラウザーで、対
象メールの内容を確認
bチェック実施結果を記録
条件抽出
`通知メールで、対象メールが
来たことを通知
メール中継
メール複製
メール保存
ディスク
インターネット
76
知的資産創造／2005年 11月号
当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。
Copyright © 2005 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission.
11-NRI/p74-77 05.10.16 13:45 ページ 77
チェックを受けた電子メールだけ
部下の電子メールの監査を行う。
ァイルの交換には「クリプト便」
を送信することにより、電子メー
組織の実情に即した効率的な監査
を利用し、通常の電子メールは
ルの内容の監査を可能とする。
を行うことができ、情報の漏洩や
｢SecureCube/Mail Check」を利
業務外目的の利用を抑止できる。
用して電子メール監査を行うこと
電子メールデータが保管される
②電子メール監査状況の可視化
で、利便性と高いセキュリティを
サーバー上で、ウイルスチェック
電子メールの監査状況を可視化
両立させた、安全な電子メール利
することにより、電子メール監査
用環境を構築することが可能と
⑤アドレス指定送信
業務の実施状況を確認することが
なる。
一定のセキュリティを確保した
できる。
④ウイルスチェック
を行う。
うえで利便性を向上させることを
目的に、2005年４月に追加された
今後、セキュリティを維持しつ
③電子メールログの長期保存と
つ、ユーザーや管理者の利便性を
高速検索
向上させるため、｢クリプト便」
機能で、事前登録していない相手
電子メールログ（証跡を記録し
と「SecureCube/Mail Check」を
にも、ウェブ画面からアドレスを
たファイル）の長期保存が可能
連動させて、電子メールのログの
指定して安全に情報を送ることが
で、高速な検索もできる。
一元管理や、特定の電子メールを
可能である。
Z電子メール監査支援ツール
④アクセス管理
自動的に「クリプト便」経由で送
電子メールログを参照できる権
信することなどができるように、
限のあるユーザーを設定（制限）
｢SecureCube/Mail Check｣
することや、電子メールの検索条
これは2005年６月に販売を開始
件設定のログを管理することで、
したパッケージで、主な機能とし
業務目的を逸脱したりプライバシ
て以下のものがある（図１）。
ーの侵害となったりする電子メー
①組織の実情に即した電子メー
ルの監査
ルの参照を牽制することが可能と
なる。
『ITソリューションフロンティア』
2005年10月号より転載
小山秀樹（こやまひでき）
NRI セキュアテクノロジーズ（株）情報
セキュリティ事業部上級セキュリティ
上司と部下の関係を設定するこ
とにより、職務権限として上司が
改善を行う予定である。
エンジニア
個人情報などを含む重要なフ
電子メールの情報漏洩対策の重要性
当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。
Copyright © 2005 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission.
77