第2回　増大する維持管理の手間とコストメール・システムのセキュリティ

メール停止で失墜する企業の信頼

“便利で手軽なコミュニケーション・ツール”となった電子メールだが、最近は新聞やテレビのニュースで、そのリスクが報道されるケースも増えてきた。代表的なのがサイバー・テロなどのセキュリティにかかわる問題である。最近話題となった、わが国の文部省や米ホワイトハウスのWebシステムが外部からの不正な攻撃を受けたという事件は、政治的な背景を持つサイバー・テロと見られるが、こうした攻撃はなにも政府機関だけに限られるものではない。製品やサービスに不満を持っただれかが企業のサイトを攻撃したとしても何ら不思議はないのだ。実際に、メール爆弾による攻撃によってサーバが停止し、メール機能のすべてが使用不能になるという事件がすでに発生している。特に重要なコミュニケーション・ツールとして業務でメールを使用している場合、メール・システムの停止は単に社内外の業務に支障を与えるだけでなく、顧客の信頼を失うという最悪の事態を招く危険性さえあるのだ。

最近、某社が運営するメーリング・リストを通じて、数万の顧客にウイルス感染したメールが送付されるという事件があった。このケースでは、たとえメーリング・リストのメンバーが悪意を持たず、危険だと気づかないでウイルス付きのメールを送ってしまったのだとしても、経由したメール・システムに顧客が不信感を抱くのは言うまでもない。

こうしたメールセキュリティ関連の事件・事故は増加の一途をたどっており、単にメールの利便性のみに着目して安易に業務に使用するのは危険である。もはやセキュリティ対策は無視できない状況にあることを認識する必要があるだろう。

メールを利用する際に発生する問題の洗い出しとその対応策、万一問題が発生した場合の被害予測など、検討すべき問題は山ほどある。まずはそうした問題意識を持つことが重要なのだ。

増大する維持管理の負担とコスト

昨今のインターネット環境におけるセキュリティ問題は、1つの対策を施してもすぐにまた新手の攻撃手段が登場するという、まさにイタチごっこの様相を呈している。そのような状況下、メール・システムを安全に維持管理し続けるのには、予想を超える手間とコストがかかる。

例えば、メール・ソフトやウイルス対策ソフトのベンダー、Web監視事業者などが、さまざまなセキュリティ関連情報を日々Web上に公開し、更新している。しかし、それらを1つ1つチェックするのは確かに有効だが、かなりの手間がかかる。セキュリティ関連のメーリング・リストを利用することもできるが、雑多な情報が配信されるので必要な情報を見つけだすのに苦労する。たとえ情報を集めることができても、自社の環境に合わせて設定できなければ意味がない。最近では、ユーザ企業の環境に応じたセキュリティ情報だけを提供するサービスも始まっているが（米iディフェンスなどが提供）、その分、費用負担は増加することになる。

もちろん情報収集だけで十分とは言えない。例えば、電子調達を行う場合には、一定レベルのセキュリティを確保するのが必須条件である。また、重要な情報をメールでやり取りしている場合には、それに応じたセキュリティ対策を講じなければならない。暗号化を施したり、定期的なセキュリティ・チェックを行ったり、他企業への攻撃の踏み台にならないための対策を講じたりする必要あるだろう。決して、「自社さえ問題なければそれでいい」ということは許されないのである。

多くの場合、こうしたさまざまなシステムの維持管理を担っているのは、情報システム部門である。そのため、維持管理の手間やコストの増大は情報システム部門に割り振られるのが普通である。

つまり、セキュリティ・コストとして明確にされなければならないはずの業務が、日常業務に組み込まれてしまうのである。これでは、セキュリティ業務の責任の所在が不明確になってしまう。

一方、情報システム部門は、日々の開発業務やエンドユーザ支援業務などに追われていることが多く、成果が明確に表れないセキュリティ関連の業務はどうしても後回しにされがちだ。

そのために、本来必要なセキュリティ対策が十分になされなくなってしまうという問題が発生するのである。

まずはコストを正確に把握しよう

日本企業の間では、セキュリティを確保し、システムを安全に維持管理するために、別途コストをかけるという考え方は、残念ながらまだ深く浸透しているとは言えない。セキュリティのための費用が個別に準備されるのはきわめてまれである。

日本企業では、セキュリティ運用にかかるコストが不明確な場合が多い。しかし、メール・システムは、顧客や取引先企業などと直接かかわる重要な役割を担うため、より安全な維持管理のためにコストをかけなくてはならない。新手のサイバー攻撃手段が次々と登場する現在、システムのクオリティを維持するにはコストがかかるという認識を持つ必要がある。イニシャルコストだけに着目して安易に利用を開始したり、拡大したりするのは危険でさえである。

メール・システムのセキュリティ確保に向けた取り組みでは、まずシステムや組織との関連で何が必要になるのかを検討し、そのためのコストや手間がどの程度必要になるかを把握することが重要である。実際に運用段階に入ると、ウイルス対策や不正アクセス対策にかかるコストは雪だるま式に増加し、目に見えない維持管理コストが際限なく増大していくおそれがある。まず、事前に初期導入コストと維持管理のためのコストを切り分けるなど、可能なかぎり正確な見積もりを行うことが大切である。

また、すでにメール・システムを導入・活用している企業の場合には、維持管理のためにどれほどのコストがかかっているのかを正確に把握する必要がある。どのような対策にどの程度の手間やコストが投じられているのかを調査したうえで、より適切な方法を検討することが大切である。コストや手間を考慮するのであれば、維持管理の専任担当者を置く、あるいは外部のセキュリティ・サービスを利用するという方法もある。現在、さまざまなセキュリティ・サービスが提供され、それを利用するほうが安上がりであるというケースもある。

いずれにせよ、成り行きに任せて放っておくのが最も危険である。また泥縄式の対策もコストを増大させるだけである。あくまでも維持管理の最適な方法を前向きに検討するべきである。一歩踏み出して有効かつ合理的な方法を探ることが必要だ。

もう1つ注意したいのは、部門・部署を対象とした局所的な対策ではなく、全社的な視点でセキュリティ対策あるいは維持管理に取り組む必要があることだ。部門・部署間でばらばらに対策を講じていたのでは、結果として大きな手間とコストを生み出してしまうことにもなりかねない。その意味でも、CIOの果たすべき役割はきわめて重要と言えるだろう。

今回はメール・システムを中心に問題を取り上げたが、これはWebシステム全体に共通する問題でもある。今後、Webを利用したビジネスはさらに拡大していくと予想されており、それに伴って、メールセキュリティにかかわる事件・事故も増加していくに違いない。それに対応するためには、問題点をしっかりと把握し、その対策を講じなければならない。