電子メールによる情報漏えいを防ぐ

大学生・大学院生を対象とした就職情報サイト「マイナビ」や、転職者向けの情報サイト「マイナビ転職」を中心とした総合人材サービスを展開する毎日コミュニケーションズ(以下、マイコミ)。マイコミにとって個人情報はビジネスの根幹を支える重要な資産であり、漏えい事故は絶対にあってはならないものだ。しかし、ビジネスシーンにおけるコミュニケーションツールとして電子メールが定着したことに伴い、操作ミスなどによる情報漏えいを防止する仕組みの導入が迫られるようになったのである。

かつてマイコミでは、2005年に施行された個人情報保護法への対応、2006年のプライバシーマーク(Pマーク)の全社取得も間近に控えるなど、いかにして個人情報を保護し、セキュリティ上安心できる体制を整えるかが非常に大きな課題となっていた。そこで、全社的なセキュリティ統制を実現するためのルールを徹底するのと並行して、これらをシステム的に実装することになったのである。

中でも、"情報がどこから漏れるのか" を検討した結果、最も対策の優先度が高かったのが、顧客との様々な連絡や、業務上必要なファイルのやり取りなどに欠かせない電子メールだった。

冗長化構成/ログの一元管理と市場シェアの高さがポイントに

マイコミが電子メールの統制に取り組む際、「"これだけは絶対にやらなければいけない"とされた事柄が2つあった」(マイコミ 業務システム統括部 部長 薄井照丈氏)という。それは、電子メールをアーカイブし、何らかの調査を行う必要が生じた場合に検索、復元できるようにすることと、送信に一定のルールを設け、面識のない第三者に個人情報が漏洩してしまうリスクを防ぐことだ。

これらの課題の克服に向け薄井氏は、マイコミが行おうとしている電子メールのセキュリティ施策を実現できるソリューションを選定した。その際のシステム要件として最も重視したのが、冗長化構成を実現できること、ログの一元管理が可能であること、堅牢性が高いことの3点だった。

このうち冗長化については、電子メールの送受信の配送経路中にソリューションが存在する構成を想定していることから、万一障害が生じても電子メールの運用が止まることのないようにしたいという方針があった。ログの一元管理に関しては、冗長構成によってログが2台のサーバに蓄積され、後々の検索効率が阻害されることのないよう、3台目のサーバにログが集約できるようにしたいと考えた。堅牢性については、電子メールのシステムがダウンすることで業務が止まってしまうことのないようにするため必須のものだったのである。

これらの要件を踏まえて各社の製品を比較検討した結果、すべてを満たす「GUARDIANWALL」が選定された。

薄井氏は、その他の選定ポイントについて次のように述べている。

「GUARDIANWALLの市場シェアの高さも選定の大きなポイントとなった。製品の導入前に、実運用を踏まえた完全な検証を行うことは困難なので、やはり導入実績の多さが参考になる」

また薄井氏は、運用管理面での操作性の重要性についても指摘しており、「GUARDIANWALLの運用管理はWebブラウザのみで容易に行えるだけでなく、そのGUIがとてもわかりやすい」としている。このUIの検証には同氏を含め多くのマイコミスタッフが参画。そこで高い評価を得たことも導入の決め手になったとのことだ。

「GUARDIANWALL」の管理画面のイメージ

業務の実情に合わせてルールを変更

GUARDIANWALLの導入に際し、"To" と "Cc" の配送ルールについては、送信制限を引き上げるなどの例外処理も認められるように工夫した。この例外処理への対応は、必要に応じてユーザーが申請する形で対応するようにしているという。

さらに、昨年からは "Bcc" も含めて、1回あたりの電子メール送信数を制限するルールに変更した。これは、例えば20人を "Bcc" に設定して電子メールを送った後に、同じメールを流用して別の1人を "To" に入れて送信した場合、そのメールアドレスが "Bcc" の20人に公開されてしまうといったような事態を防ぐための措置だ。

薄井氏は、「このような "例外" も考慮した細かいルール設定が行いやすいということもGUARDIANWALLの利点」としている。

企業の説明責任を果たせる環境に

薄井氏は、GUARDIANWALLを導入した成果について以下のように語っている。

「電子メールのログを保存することで、人材ビジネスに携わる企業として社会から求められている説明責任を果たせる環境を構築できたと自負している。さらに、副次的な効果として社員のセキュリティ意識を向上できたのは大きな収穫だった。電子メールの運用に明確なルールが存在し、それを遵守することで情報漏えいを防止するだけでなく、"実は自分たちも守られているのだ" という意識が高くなった」

また、GUARDIANWALLでは管理者権限を役割別に設定できるため、管理者側の運用の正当性も保証することが可能だ。具体的には、「電子メールの閲覧ができる人」「ルールの設定ができる人」といったように、担当者ごとに権限を振り分け、管理者によるメール閲覧操作を記録しておくことで「恣意的な運用を行っていない」ということを客観的に証明できるようになっている。

電子メールシステムの重要なバックボーンとして

マイコミでは、2011年2月に実施されたハードウェアのリプレースを機に、GUARDIANWALLも最新版の"Ver7.4"へと移行する予定だ。

薄井氏はこの最新版について、「新機能である送信メールの一時保留による誤送信防止機能と、誤送信時の被害を軽減する添付ファイルの自動暗号化機能にも注目している」としており、移行後は「ぜひとも使用を検討したい」と語る。

今後の展開については、「基本的な路線はこれまでと変わらないが、マイコミの電子メールシステムの重要なバックボーンとしてGUARDIANWALLが存在することで、電子メールによってセキュリティが侵害されることのないよう努めていきたい」と強調した。

電子メール統制を実現したマイコミのシステム概要