メールを悪用して特定の企業や組織を狙って攻撃する「標的型メール攻撃」。この攻撃に対抗するには、適切なセキュリティポリシーの構築が不可欠だ。しかし、ポリシーの構築は口で言うほど簡単ではない。そこで今回、メールセキュリティに強みを持つクリアスウィフトのテクニカル エンジニアである池川史憲氏にポリシー構築のコツを聞いた。

メールセキュリティの要はポリシー構築

クリアスウィフトのテクニカル エンジニア 池川史憲氏。来年1月18日に開催される「標的型メール攻撃からみる企業の電子メールセキュリティ対策セミナー~標的型攻撃・誤送信・情報漏洩対策から運用までのステップ~」で、「「セキュリティ脅威対策のポリシー構築方法とデモンストレーション」と題して、具体的なポリシー設定方法の解説とデモンストレーションを行う予定だ

スパムメール、ウイルス、マルウェアといった脅威に対しては企業の対応が十分に進んでいる。今や、ウイルス対策を行っていない企業など存在しないはずだ。しかし、標的型攻撃に対しては不十分なケースが多い。

標的型攻撃に対応するには、従来型のウイルス対策ソフトなどでは力不足だ。特定の企業・個人をターゲットとする攻撃では、そのためだけに新たに作られたファイルやURLが使われることが多く、検知済みのウイルスや不正なURLと比較してチェックを行う方式では対処しきれない。標的型攻撃に対しては、メールの本文や送付者、添付ファイルなど、多角的にメールを精査して問題を洗い出さなければならない。

この洗い出しを行う際に必要となるのが「ポリシー」だ。「メールの送信者と送付元のIPがどういう関係ならば問題があると判断するのか」、「本文中にどのような文言が含まれていたら危険なメールだとするのか」といった判断はポリシーに基づいて行われる。一般的な内容はベンダー側が事前に設定しているが、業界や企業特有の設定はユーザー側が行わなければならない。

「きちんとしたポリシーの設定ができれば、標的型メール攻撃への対応だけでなく、誤送信防止などのメールを介した情報漏洩の対策にも有効です。メール関連のセキュリティを強化したいと考えた時、絶対に外せないのがポリシー構築です」と池川氏は語る。

複雑な設定方法では満足な結果にたどり着けない

池川氏はクリアスウィフトでプリセールスを担当するエンジニアだ。ユーザーの悩みや要望に技術的に対応するのが役目であり、コンサルタントとして数多くの企業にシステム提案を行っている。以前は金融系のエンジニアだったこともあり、厳しいセキュリティが要求される業界での需要を熟知しているのが強みだ。

「他社製品を利用していたお客様からよく聞くのは『ポリシー設定が難しすぎる』という声です」と池川氏。単純な標的型メール攻撃への対処だけではなく、誤送信や情報漏洩も含めてメールセキュリティ全体を固めようとした時に、大きな障害になっているようだ。

「ポリシーとは社内ルールを電子化したものです。『実行型ファイルを送受信してはいけない』、『社内でのやり取りは許されている情報も外部に送信してはいけない』といったルールはどの企業にも存在すると思います。ポリシー策定とはそうした内容を電子的に落とし込むものですが、その作業が非常に複雑な製品が多いのです。そのため、本来やりたいことをシステムで行えずにいるケースが見受けられます。実行すべきポリシーに妥協することなく、運用もシンプルに行う方法を企業は模索すべきです」と池川氏は語る。

従来、こうしたメールフィルタリングが行える製品で多かったのは、スクリプトを直接編集しなければならないという方式だ。社内に情報システム部門を持たない中堅・中小企業にとっては手の出せない領域となっているケースまであるようだ。また、担当者がいたとしても1項目ごとにスクリプトの編集が必要であるため、負担が大きくなってしまう。

「目的は『何をブロックしたいのか』、『何を保護したいのか』を明確にし、それを実現できる設定を行うことです。設定の手間ばかりかかっているのでは本末転倒。デフォルトでウイルスやマルウェアはもちろん、標的型メール攻撃にも対応できる最低限の設定が行われており、独自の自社ルールやキーワードを容易に追加できるメールセキュリティ製品を選択すべきでしょう」と池川氏は指摘する。

簡単な手順で効果が得られるポリシー設定を具体的に解説

あまり知識のないユーザーでも比較的簡単に設定できるものと言えば、セキュリティ関連ではファイアウォール設定などが思い浮かぶ。ブラウザ上でプルダウンメニューやチェックボックスを利用して設定する方式だ。

「クリアスウィフトが提供する電子メールゲートウェイ製品であるCLEARSWIFT SECURE Email Gatewayには、すでに利用できるポリシーが設定されているため、そのままでも、カスタマイズしても容易にメールセキュリティの設定が行えます。宛先ごとの設定も、全体に対しての設定もブラウザ画面からすぐに行えます」と池川氏。

マイナビニュースが来年1月18日に開催する「標的型メール攻撃からみる企業の電子メールセキュリティ対策セミナー~標的型攻撃・誤送信・情報漏洩対策から運用までのステップ~」において、池川氏は「セキュリティ脅威対策のポリシー構築方法とデモンストレーション」と題して、具体的なポリシー設定方法の解説とデモンストレーションを行う予定だ。

自社のメールセキュリティに不安を抱える企業だけでなく、すでにセキュリティ対策を行っているがうまくポリシー設定を行えている自信がない企業、より手軽なツールに乗り換えを検討している企業も同セミナーは必見だ。