1月18日にマイナビニュースが主催したセミナー「標的型メール攻撃からみる企業の電子メールセキュリティ対策セミナー」において、クリアスウィフトのリージョナルマーケティングマネージャーである中村真氏は「標的型メール攻撃対策と誤送信・情報漏洩ソリューション」と題した講演を行った。
クリアスウィフトはセキュリティゲートウェイ製品を展開しているが、中村氏はそのベンダーの立場から、現在流行している標的型攻撃にどのように対処すべきかについて語った。
標的型攻撃には入口・出口対策と教育が必要
同氏が標的型攻撃への対処方法として挙げたのは、疑わしいメールを検疫で弾いて組織内に取り込むことを防ぐ「入口対策」、組織内のPCが感染しても機密情報や個人情報を持ち出せないようにする「出口対策」、そしてセキュリティ意識を持たせる「ユーザー教育」だ。
入口対策については、「システムで行える効果的な対策は、メールサーバのIPアドレスをチェックすること。具体的には、ゲートウェイで送信者のメールサーバのIPアドレスを手持ちのアドレスデータベースと照合し、ユーザーの良し悪しを確認する。この段階で通常メールの7割程度が『疑わしい』と判定される。さらに、メールの内容を確認するなど、段階的に調べるなかで、悪意あるメールは大半が抽出できる」と中村氏は語った。
クリアスウィフトの製品を使うと、偽装された拡張子やドキュメントに埋め込まれた実行ファイルも検出できるという。具体的に、サンプルメールを使って同社の製品が何を検証するのかについても解説が行われた。
「標的型攻撃を受けた企業に聞くと、大抵はウイルス対策を導入している。しかし、『アドレスを見ていない』『拡張子偽装を見ていない』という状態にあり、マルウェアがすり抜けてしまっているようだ。つまり標的型攻撃として、ウイルス対策製品だけでは不十分であり、多面的に検証が可能な製品が必要」と、中村氏はセキュリティ対策の現場から得た教訓を語った。
出口対策を強化して教育にもつなげる
出口対策としては、マルウェアに感染した後にHTTP通信で情報が持ち出されるのをブロックすることが有効だという。マルウェアは感染するとバックドアを開けて通信するので、この接続先のURLをリスト化して持っていれば、ゲートウェイで通信を遮断可能だ。また、送られるファイルタイプやキーワードをもとに通信をブロックすることもできる。
「クリアスウィフトの製品は、URLのデータベースも備えながら、キーワードでのブロックもできる。『機密』『社外秘』といったキーワードが含まれているものを遮断するといった具合だ。ゲートウェイを導入すれば、知らないうちに情報が抜き出されることをブロックできる」と中村氏。
ユーザー教育においてはセキュリティポリシーを周知することが大切だという。「セキュリティ設定の内容を社内で見せるのも効果的。ポリシーの公開に抵抗があるかもしれないが、こういうルールを使っていると知らせることで抑止効果があるはず」と中村氏は指摘した。
誤送信・情報漏洩対策もメールセキュリティとして重要
続けて、同氏はメールが抱えるセキュリティリスクとして「誤送信」を挙げた。誤送信についてはアウトバウンドの対策が必要になる。
「企業におけるメール利用のアンケートで、業務中に個人情報や重要情報を送信したことがあるという回答率が16%にも上った。『添付ファイルの暗号化を忘れた』『業務内容をプライベートメールアドレスに送ったことがある』という回答も見られた。そして、メール誤送信の経験者は4割、誤送信の受信者は半分ほどいた」と、中村氏は企業におけるメール利用に関する調査の結果を紹介。ほぼすべての企業において、企業のメールアドレスから機密情報が送信されたり、多くの誤送信メールが発生したりしているという状態だ。
続けて、メールにまつわるミスと対策が具体的に紹介された。実のところ、誤送信は「送信先」「添付ファイル」「宛先(BCC/To/CC」の間違いといった、単純なミスが原因であることが多いという。同氏は対策として、「ToやCCに大量のアドレスが入っている場合は送信を止める」「添付ファイルは自動暗号化する」といった対策に加え、重要なメールを送信する場合は送信を保留して本人や上長の確認・承認を経て送信するように設定することも有効だとアドバイスした。
情報漏洩対策としては、メールもWebアクセスもすべての通信が監視されていることを従業員に植え付けるという抑止策が紹介された。また、フリーメールなどへの不適切なメールアドレスへの送付を一律禁止するという方法もあるという。これは自宅で業務を持ち帰る時に業務資料を送付するといった「悪意なき使い方」のケースも多いが、事故を防ぐには一律禁止するのが得策だという。
ユニークな方法として、送信ファイルの暗号化やパスワード設定を禁止する方法も挙げられた。「暗号化やパスワード設定をしなければメールを送信してはいけないというルールを設けている企業もある。しかし、送信者個人が暗号化やパスワードロックを実施すると、管理者やゲートウェイで内容を確認できなくなる。そのため、送信者自身での処理を禁止して平文で送らせ、システムが内容を確認して禁止キーワードが含まれていなければシステムで自動暗号化するというようにすれば、管理者が通信の内容を把握しつつ安全性を高めることができる」と中村氏は新たな考え方を提案した。
メールセキュリティの重要さは言うまでもなく、これまでにもさまざまなベンダーが製品を提供してきたが、クリアスウィフトは独自技術によるメールのセキュリティ対策を提案している。現状の対策に不足や不安を感じている企業は同社の製品を検討してみるのも手だろう。