この製品は、その名のとおりメールサーバで送受信するメールをフィルタリングするソフトウェアである。
メールサーバのプロキシサーバとして配置し、送受信するメールをチェックする。問題のあるメールは自動的に削除・指定ホストへの転送・管理者への通知などが行える。管理者はメールの検閲もできる。こうして問題のないメールだけを目的の配送先に送るのである。
 |
|---|
| 図2 HDE Mail Filterのネットワーク構成例 |
具体的には前述した2つの状況に合わせて、HDE Mail Filter 1.0は2つのフィルタリングを行う。ひとつは組織内から送信するメールのフィルタリングである。このメールのフィルタリングには独自のフィルタリング条件を設定できるようにしてある。たとえば、CCメールにその部署の上司のメールアドレスが記入されているものについては問題なしと見てそのまま送信し、そうでないものについては保留して管理者が内容確認をしてから送信するといった手順を踏むように設定するのである。
外部からのメールについては、前述したようなフィルタリング方法のほかにスパムメールやウィルスメール対策用の特別なフィルタをかける。これは、特定のデータベースに則ってフィルタリングを行い、問題ありと判断されたものについては検閲することなく自動的に削除される。スパムメールに関して言えば、HDEでは不正中継ホストについての情報を提供している非営利団体ORDB.orgのデータベースを元に、不正中継ホストから転送されてきたメールはすべて拒否するように設定できる。もちろん、必要に応じてこのようなメールを保存することも可能である。守るべき情報は時々刻々変化するため、柔軟なフィルタリング設定ができなければ意味がない。設定項目はグループ化できるので、企業内の部門ごとに適切なフィルタリングができるようにも設計されている。
HDE Mail Filterは、システムとして組み込む場合には基本的に単独のサーバとして1台のサーバマシンにインストールし、メールサーバの置かれているDMZ内などに設置する方法を想定している。また、DMZに置いた場合は、オープンプロキシとして踏み台にされないようにメール送信する際の中継ではPOP before SMTPで認証するようになっている。
 |
|---|
| HDE Mail Filterの管理画面 |
メールフィルタリングの必要性
しかしHDE Mail Filterのようなソフトは必要なのだろうか。アメリカなどでは社内メールの私的利用が問題になり始めた1999年ころから使われており、企業内メールの私的利用に対する明確な処罰規定を設けるなどの具体的な対策が出ている。日本でも大手メーカーがメール検閲ソフトを作っているが、それほど一般化していない。日本で情報漏洩というとき、まだまだ漏洩は外部からの不正侵入によるものという概念が強いのだろう。警察庁のホームページ(http://www.npa.go.jp/hightech/)で公開されているハイテク犯罪対策ページには、2003年の「アクセス制御機能に関する技術研究開発の状況等に関する調査報告」が公開されているが、それを見てもメールフィルタリングなど内部情報漏洩対策製品の報告は非常に少ない。しかし、原理的には情報の漏洩は、内部からのほうがはるかに容易なのである。
日本における内部情報流出に関する危機意識の希薄さは、ひとつには企業の雇用形態にあるのかもしれない。つまり終身雇用制による長期雇用が組織内の人間関係を固定しているために、内部の結束が強いということは大いに考えられるからである。
もうひとつ考えられる要因は、日本では公私の区別が難しい状況があるということである。会田雄次氏がその著書「日本人の意識構造」の中で、日本人社会は公私混合社会だと、社用族などの例を挙げて説明している。たしかに、私たちの仕事はときに私的でもあり、公私の区別が付けにくい場合がある。このような中で、どこまでを公的メール、どこからを私的メールとするかの判断が難しいという問題もある。そもそも明確でないものに、無理やり白黒をつけようとすれば、痛くもない腹を探られるようなもので愉快な気分にはなれないだろう。
しかし、長引く不況とグローバリゼーションの進展で終身雇用が成り立たなくなっている現在、これまでの固い結束もまた崩れつつあると考えるべきではないだろうか。その時にも従来のように内部情報は守られるのか、という問題なのだ。
HDE Mail Filterのようなセキュリティソフトウェアはそのような変化を捉えている。セキュアなシステムを作るには、何よりも中で働く人々の信頼関係を確保しなければならないのである。HDE Mail Filterは新たな信頼関係を築くために公私の区別をつけよ、という明確な提言なのだ。公私の規定がなければ、全員のコンセンサスを得ながら作ればよいのである。
事故は起きてからでは遅い。ある日、お客様から突然「あなたの会社から情報が漏えいしている」と言われたらどうするのか? 部下を疑う? 隣の部署を疑う?
HDE Mail Filterを導入していれば、胸を張って「いいえ、社内からは漏えいしていません」と言える。そしてこれからの時代の企業は、そのように堂々と言える体制を整えるべきではないだろうか。
 |
|---|
| サーバマネージメントソリューション本部 開発部部長 岩元貴彦氏 |
