セキュリティの現場から from バラクーダラボ(253) PSTデータを無視することは、絶対に避けるべきリスク

「PSTファイルの管理責任は誰にあるか」は、よく議論になります。一般的に、PSTファイルの管理ニーズに最初に気付くのはIT部門です。これには、ヘルプデスクへの問い合わせ件数の低減やネットワークストレージの節約といった運用上の理由があります。ところが、PSTファイルが企業に及ぼしかねないリスクをうまく説明できないために、PSTプロジェクトの予算取得に四苦八苦するという状況に陥っています。

また、PSTファイルはユーザが作成し、ユーザデバイス上に格納されているため、「PSTファイルの管理は単にユーザの問題だ」として、その管理をユーザに委ねる企業も存在します。しかしこのような対応をしていると、非常に深刻なリスクが発生する恐れがあるのです。

PST増殖の原因はマイクロソフトの自動アーカイブ

マイクロソフトの自動アーカイブ機能のプロンプトに「はい」と答えると、ユーザが気付かないうちにPSTファイルが作成されます。この機能はExchange 2010まで、ほとんどの環境で有効になっていました。そしてPSTファイルが破損した場合や、不注意でクローズまたは削除してしまった場合、ユーザはIT部門にサポートを依頼します。ヘルプデスクにかかってくる電話の10～15%は、PSTファイルに関する問題です。

PSTファイルは「エナジーバンパイア」

PSTファイルはITのヘルプデスクにとって頭痛の種であるだけでなく、バックアップ／復元リソースにも影響を与えます。OutlookがPSTにアクセスするたびに、PSTファイルはバックアップ対象ファイルとしてマーキングされます（しかも、何も変更が発生していない場合にもバックアップを要求します）。PSTの平均的なサイズは1.3GB（メール10万件以上に相当）にも達します。これに、PSTファイルを使用または保存するユーザ数を掛けてみると、バックアップ／復元時間の多くがPSTファイルに費やされていることがわかるでしょう。

特定のユーザに関連付けられていない孤立したPSTファイルにより、事態はさらに深刻化します。PSTファイルは、Outlookプロファイルから簡単に切り離すことができますし、退職した従業員のPSTファイルがそのまま残ってしまう場合もあります。PSTファイルの内容は所有者以外にはわからないので、削除すべきかどうかを的確に判断できる人は誰もいません。

企業サーバ上に大量のPSTファイルが蓄積され、ほとんどが孤立したファイルである場合、このようなPSTファイルはストレージ容量やリソースを密かに消費するエナジーバンパイアになってしまいます。

セキュリティとコンプライアンスの低下

PSTファイルは移植性に優れています。Outlookから切断し、別のOutlookクライアントに簡単にコピーまたは移動できます。したがって、ユーザ間や組織間でメールを移動する必要がある場合には非常に便利です。パスワードで保護できますが、インターネット検索すればパスワードを解読できるプログラムが多数ヒットすることから考えても、エンドユーザのデータや知的財産データはリスクにさらされています。

PSTが保存されているデスクトップやノートPCが企業バックアップ戦略の対象に入っていない場合、バックアップされないので、保護もされません。PST自体はコンテナファイルでしかなく、コンプライアンス要件の対象にはなりませんが、PSTファイル内に格納されているメールと添付ファイルはコンプライアンス要件の対象になるので、通常の保持／削除ポリシーを適用する必要があります。IT部門がPSTファイルの管理を担当していないとすれば、ベストプラクティスが危険にさらされます。

「知らなかった」では済まない

ある種のメールデータを無視することのリスクは、Ventura Corporationの事例を見れば明らかでしょう。長期間続いたEEOC（雇用平等委員会）による訴訟は、4月に罰金34万ドルを支払うことで決着しました。Ventura Corporationは、メール移行とサーバの廃棄を行い、後で必要になると思われるメールを削除していました。

保存するべきデータ形式については、企業側に選択の余地はあまりありません。裁判所の規定では、PSTファイルはメールデータの1つだとされています。つまり、PSTは検出可能なファイルであり、必要なデータが格納されている可能性が高いので、「存在するものは検出可能だ」とみなされます。したがって、Ventura Corporationは「必要な情報を廃棄した」とされ、メール移行時の過失責任は免除されませんでした。

一般的に、原告側の弁護士はメールデータの提示を求め、PSTファイル内にアーカイブまたは「保持」されているメールも対象にすることを求めます。弁護士がデータ開示やドキュメントレビューを求める場合、データ転送手段として、PSTファイルがよく使用されます。

あらゆる保管データが訴訟ホールドの対象になる

多くの場合、経験豊かな企業や弁護士であっても、訴訟ホールドが適用された場合に関連legal holdデータをどのような方法で保持すればよいかという課題に直面します。「ホールド」とは文字通り、解除指示があるまで「保全」することを指します。訴訟ホールドは、最終的に訴訟で使用できるように収集／生成する情報よりも範囲が広く、潜在的に価値があるとみなされるデータは破棄せずすべて保存することを目的とします。

PST内のメールデータにはメールボックス内のメールと同じガイドラインが適用されるので、メールボックス内のメールが「訴訟ホールドの対象」であれば、PSTも対象になります。したがって、訴訟中にPSTデータを無視してしまうと、処罰の対象になる可能性が非常に大きくなります。過失行為とみなされ、訴訟の結果にかかわらず追加の罰金が科せられる恐れがあります。

ほとんどの場合、情報開示請求は原告の申し立ての後に発生するので、メールを移行する場合にはPSTファイルを無視しないことが重要です。PSTファイル内のデータは単に削除してしまうのではなく、社内のメール保持ポリシーに則して特定および管理する必要があります。

まとめ – PSTデータの責任を負うのは企業

以上のように考えると、PSTデータに関する責任を負うのは企業全体であることがわかります。そのためには、PSTファイルに伴うリスクを認識し、PSTファイル内のデータが持つビジネス価値を的確に判断する必要があります。さらに、IT部門との連携によってメールとPSTデータを一元管理する必要もあります。このような取り組みによって、会社とそのユーザを保護することが可能になります。

どのような企業も、PSTデータを無視することは許されません。PSTファイルは他の企業データと同様の方法で管理する必要があります。これを怠ると、リソースの無駄、不要なリスクやコストにつながってしまいます。

※本内容はBarracuda Product Blog 2014年11月21日Ignoring PST data is a risk companies shouldn’t takeを翻訳したものです。