SMBのメールセキュリティ対策メールセキュリティで失敗しないための基礎知識
メールセキュリティは、企業規模を問わず不可避の問題だ。しかも、「こうすれば万全」といった解がない。ここでは自社にとってより最適な解を見つけるための、対策の基礎知識を紹介する。
アンチスパムやアンチウイルスといったメールセキュリティ対策は企業規模を問わず、すべてのユーザーにとって必須事項となっている。メールは全社員が頻繁に利用するツールであるだけでなく、さまざまな業務システムと連携していることが多い。自社におけるメールの役割をきちんと把握せずにメールセキュリティを強化してしまうと、「メールが届かない・送れない」といった事態を引き起こすこともある。
そこで本稿では、メールセキュリティ対策に必要となる基礎知識をおさらいし、自社に適した対策のヒントを紹介していく。ただし、メールセキュリティ対策は大変幅広く、「暗号化による盗聴防止」「電子署名による本人確認」など実にさまざまだ。それらすべてをここで網羅することは難しいので、本稿では「スパムメールなどの悪意あるメール送信行為からの防御」という観点に絞って解説していくことにする。
実装形態を理解する
メールセキュリティを実現する上でまず押さえるべきポイントは、既存メール環境のどこに、どうやってメールセキュリティを実装するのかという実装形態である。これは導入後の運用管理負荷や拡張性にも大きくかかわってくる。具体的には、以下のように「ソフトウェア形態」「アプライアンス形態」「サービス形態」の3つがある。
ソフトウェア形態
ソフトウェア形態はメールセキュリティ機能をソフトウェアで実現する方式を指し、さらに独立型、アドオン型の2つのタイプに分けられる。メールサーバを主に自社内で運用している場合を想定している。独立型、アドオン型いずれの場合も、メールサーバと同じ物理サーバ上で稼働させる形態が一般的だ。
独立型
既存メール環境とは別のアプリケーションとして提供される形態。
- 製品例:
Mailstream Manager(センドメール)
InterScan VirusWall Standard Edition(トレンドマイクロ)
アドオン型
既存メール環境のアドオンモジュールとして提供される形態。
- 製品例:
SpamAssassin(フリーソフトウェア)
・長所
柔軟できめ細かな機能の追加やチューニングが可能である。個別のメールサーバに最適化されていることが多く、メール送受信処理に与えるオーバーヘッドが比較的少ない。
・短所
導入や運用に必要な技術的スキルが比較的高く、対象メールサーバに関する十分な知識が求められる。大量のメールを処理する場合は、メールサーバ側の負荷増大に注意する必要がある。
アプライアンス形態
ハードウェアとソフトウェアが一体となった専用機器で実現する方式。さらに統合型、特化型の2タイプに分けることができる。
統合型
メールサーバとしての機能とセキュリティ対策の機能がまとめて1つの機器の中に包含されている形態。
- 製品例:
Powered BLUEシリーズ(ムービット)
特化型
既存メール環境とネットワークで接続され、ファイアウォールと同じように不正メールを遮断/隔離する。主に自社内でメールサーバを運用している場合を想定している。メールの処理方法に応じてさらに2つの形態に分かれる。
●ブリッジ型
ファイアウォールとメールサーバの間に挟むように配置し、送受信されるメールの関門として動作させる形態。メールの経路制御は一切行わない。
- 製品例:
Symantec Brightmail Traffic Shaper(シマンテック)
マトリックススキャンAPEX(アイマトリックス)
IronPort Cシリーズ(シスコシステムズ)
●ゲートウェイ型
配置方法はブリッジ型と同様だが、メールの経路制御を行える。迷惑メールの転送や保留、送受信したメールを保存するアーカイブといった付加機能を実装しやすい。
- 製品例:
Mirapoint RazorGate(ミラポイントジャパン)
Symantec Brightmail Gateway(シマンテック)
Spam & Virus Firewall(バラクーダネットワークス)
・長所
導入と運用が比較的容易。特にブリッジ型の場合は、アプライアンスを配置するだけで利用を開始できる。
・短所
ハードウェアとソフトウェアが1つの筐体内にコンパクトに凝縮されているため、性能や機能を拡張しようとすると機器を丸ごと上位版に変更しなければならない場合がある。「統合型」においてはセキュリティ機能が付加価値として位置付けられ、「特化型」と比較して機能が劣る場合があるので注意する必要がある。
サービス形態
ASP/SaaS(Software as a Service)として提供されるメールセキュリティサービスを指し、さらに以下の2つに細分される。
統合型
メール環境をサービス形態で提供し、オプションメニューとしてスパム対策などを用意しているもの。
- 製品例:
OneOffice Mail Solution(ビック東海)
特化型
メールシステム自体は既存環境を利用し、送受信するメールをサービス業者側がいったん受け取って処理することでセキュリティ対策を行うもの。
- 製品例:
メールセキュリティon-Demand(日立情報システムズ)
OptPlus ASP(ネオジャパン)
長所:
ハードウェア投資を必要とせず、メール流量が増大した場合も自社での対処が不要である。統合型については自社内でメールサーバの導入/運用が困難な場合でも利用が可能である。
短所:
特化型ではメールを受け取るサーバを指し示すDNSの「MXレコード」を変更する必要がある。プロバイダーのメールサービスを利用している場合はMXレコードの変更ができないこともあるため、事前の確認が必要だ。統合型ではセキュリティ機能が付加価値として位置付けられ、特化型と比較して機能的に劣る場合がある点に留意すべきである。
以上の実装形態と現状のメール環境の諸条件との関係をまとめると、以下の表のようになる。
| ソフトウェア形態 | アプライアンス形態 | サービス形態 | ||||||
|---|---|---|---|---|---|---|---|---|
| 独立型 | アドオン型 | 統合型 | 特化型 | 統合型 | 特化型 | |||
| ブリッジ型 | ゲートウェイ型 | |||||||
| メールサーバの現状 | 自社運用 | ○ | ◎ | ○ | ◎ | ◎ | ||
| ASP/SaaS利用 | ○ | ○ | ||||||
| メール管理者 | いる | ○ | ◎ | |||||
| いない | ◎ | ○ | ◎ | ○ | ||||
| 他システムとの連携 | あり | ○ | ◎ | ◎ | ||||
| なし | ○ | ◎ | ○ | ◎ | ◎ | ○ | ◎ | |
| 今後の機能拡張予定(アーカイブなど) | あり | ○ | ◎ | ○ | ||||
| なし | ○ | ◎ | ○ | ◎ | ○ | ◎ | ||
| 出典:ノークリサーチ(2009年) | ||||||||
3つのメールセキュリティ対策方式を理解する
さて、実装形態を理解したところで、実際にメールを受信する際の防御方法を詳しく見ていこう。ベンダー各社の製品がさまざまな防御方法をアピールしているが、製品を適切に選択するためには「具体的にどのように防御をするのか?」という点を理解しておくことが重要だ。
受信時のメールセキュリティ対策は、外部からの有害メールをアンチスパム、アンチウイルスなどで遮断/隔離することが主な目的となる。ここで何をチェックして判断するかによって「送信元メールサーバを対象としたチェック」「メールヘッダのチェック」「メールコンテンツのチェック」の3つに分けられる。
送信元メールサーバを対象としたチェック
自社のメール環境にメールを送ろうとして接続してきたメールサーバが不正なものかどうかをチェックする方法である。具体的には以下のようなものがある。
○グレーリスティング
メールには再配送の仕組みが備わっている。メールサーバは何らかの問題が発生してメールを受け取れなくなると、送信元メールサーバに再配送を求めるエラーコードを返す。すると、送信元メールサーバはしばらくたってから再度メール配送を試みる。この仕組みにより、受信側メールサーバに問題が発生してもメールが失われずに届くわけである。一方、大量送信を試みるスパムメール送信プログラムは処理効率を最優先するため、受信側メールサーバから再配送エラーコードを返されてもそれを無視してしまう。この特性を利用し、初めて接続してきた送信元サーバに再配送エラーコードを返すことで不正なメールサーバかどうかを判別するのが「グレーリスティング」である。ただし、送信元メールサーバの再配送間隔が長いと、メール配送に遅延が発生してしまうため注意が必要だ。
○S25R(Selective SMTP Rejection)
「S25R」は接続してきた送信元サーバのドメイン名をチェックする方法である。スパムメールはボットに感染したPCから送信されることが多い。また、PCのドメイン名はプロバイダーから動的に割り振られたものが多く、正規のメールサーバのドメインと異なる書式になる傾向がある。S25Rではこれを利用して、正規のメールサーバを介さずPCから直接送信されたと思われるメールを遮断/隔離するのである。ただし、S25Rはあくまで「送信元がメールサーバでない可能性がある」ことを示しているだけで、悪意のある送信元であると即断できるわけではない点に注意しなければならない。
○SPF(Sender Policy Framework)/DKIM(DomainKeys Identified Mail)
スパムメールには著名な企業やWebサイトから送信されたかのように装うものも多い。それを識別するために、メールの中で宣言されている送信元ドメイン名と実際に配送しているサーバのドメイン名が一致しているかをチェックするのが「SPF」や「DKIM」である。これらは「ドメイン認証方式」とも呼ばれる。SPFは送信元サーバのIPアドレスを基にDNSを参照し、宣言されているドメイン名と一致しているかを調べる方法である。DKIMは送信元サーバがメールに電子署名を付加し、受信側メールサーバ側でその電子署名が確かに送信元サーバのドメインによるものであることを確認する方法である。しかし、ドメインを詐称していないスパムメールも存在する。従って、ドメイン詐称を防ぐことですべてのスパムメールが遮断できるわけではないことを念頭に置いておこう。
○ホワイトリスト/ブラックリスト
特定の送信元からのメール受信を許可/拒否する方法である。管理者が個別にリストの更新をするのは大変なので、最近では一般に公開されているブラックリストをネットワーク経由で参照し、それに加えて個別のホワイトリストを指定するのが一般的だ。
○レピュテーション
悪意のあるメール送信元をブラックリストとして管理するには送信元のIPアドレスやドメイン名を特定する必要がある。ところが、ボットに感染したPCを利用してスパムメールを送信する手口では送信元情報が一定しない。そこで、不正な送信元に関する情報を常に収集し、それにメール流量やユーザーからの報告なども加味した評価を行って判断するのが「レピュテーション」である。評価基準として何を採用するかはベンダーによって大きく異なるため、製品選定時には精度や実績などを十分に確認しておくことが大切だ(詳しくは特集「IPレピュテーションはスパムの抜本対策となり得るか」を参照)。
○レートコントロール
不正なメールサーバは一度に大量のメールを配信しようとする。そこで、特定サーバから短時間に大量のメールが送られたときには不正な行為と見なして制限もしくは遮断するというものが「レートコントロール(メール流量制御)」である。
送信元メールサーバを対象としたチェック方法にはそれぞれ長所・短所があり、どれか1つを採用すればよいというものではない。普段からメール送受信が多い取引先とはドメイン認証を行い、不特定多数の送信元に対してはまずレピュテーションで評価して、怪しいと思われる場合はグレーリスティングの対象とする、といった複合的な対処を行うことが現実的である。
メールヘッダのチェック
2つ目のチェック対象個所はメールヘッダである。メールヘッダにはメールの送信元や経路を示すさまざまな情報が記述されている。メールヘッダの多くは送信元が自由に記述できるため、巧妙に作成されたメールを識別する方法としては完ぺきとはいえない。しかし、一般に出回っているスパム送信ツールを使ったものや、海外から送信された不正メールの多くはこの方法で検出することができる。
具体的なメールヘッダチェック内容の例としては以下のようなものがある。
- メール配送経路を表す「Received」ヘッダでのサーバ名やIPアドレスが不正なものになっていないか
- 「Content-Transfer-Encoding」ヘッダや「Content-Type」ヘッダに記述される文字エンコーディング方式が見慣れないものになっていないか
- 「Date」ヘッダが表す送信日時のタイムゾーンが見慣れないものになっていないか
- 「Message-ID」ヘッダや「X-Mailer」ヘッダの書式が一般のメールアプリケーションと大きく異なっていないか
メールコンテンツのチェック
3番目はメールの中身のチェックである。具体的には以下のような方法がある。
○ルールフィルタ
「未承諾広告」など不正メールに含まれることの多い単語があるかどうかでチェックを掛ける方法である。最近では複数の単語をさまざまな条件で組み合わせ、複雑なルールを定義できるものも多い。
○ヒューリスティック分析
特定のキーワードの有無だけでは誤検知のリスクも高まる。そこで、不正なメールの全体的な特徴を総合的に判断するものが「ヒューリスティック分析」だ。例えば、「HTML形式のコンテンツのみでテキスト形式コンテンツが用意されておらず、異常に画像ファイルの数が多い」という構造的特徴を持ったものはスパムである可能性が高いといった判断を行う。
○シグネチャマッチング
パターンファイルによるウイルス駆除と似たような発想の方式である。不正なメールの特徴を反映したシグネチャを作成し、受信メールがシグネチャと一致するかどうかによって判断をする。
○ベイジアンフィルタ
受信したメールを正常なものと不正なものの2つのグループに分け、正常/不正のそれぞれのグループにおけるさまざまな単語の出現頻度を把握しておく。そして、新たに受信したメールにどんな単語が含まれているかによって、正常/不正いずれのグループに属する確率が高いかを判断するという方式である。確率の概念を導入した手法として評価が高いが、サンプルとなるメールデータを使った事前学習が必要である。
○画像OCR/画像ヒストグラム
近年問題となっているのが画像スパムだ。ルールフィルタやベイジアンフィルタはメール内のテキストを検知対象としている。だが、画像スパムはテキストを画像化しているため、これらの方法では検知することができない。そこで、文字認識技術を利用して、画像に描かれたテキストを読み出してチェックしようというのが「画像OCR」方式である。一方、「画像ヒストグラム」方式はスパムメール画像の特徴を手掛かりにする方法だ。テキストを画像化したものは一般の画像と比べて描かれた図形と背景色の明暗差が際立っていることが多い、そうした特異な点を抽出して判断を行う。
○URLリンクチェック
フィッシングを目的とした不正メールには本文中にURLリンクを記述し、不正なWebサイトへの誘導を狙ったものが多い。こうしたメールを特定するために、記述されたURLリンク先をチェックし、それが不正なWebサイトであったときはスパムメールと判断する。このようにWebとメールにまたがった複合的なチェック手法も登場してきている。
送信元メールサーバと同じく、メールコンテンツのチェックにおいても、複数の方式をうまく組み合わせて活用することが重要なポイントである。通常は1つの方式だけでは断定せず、複数方式の判断結果を加重加算して総合スコアを付け、そのスコアによって不正メールであるかどうかを判断するのが一般的だ。どの方式にどれだけのウエートを置くかについては製品ごとにガイドラインが提供されているので、それを参考にするといいだろう。
以上、悪意あるメール送信行為からの防御という観点で、メールセキュリティ対策の基礎を解説してきた。自社の既存メール環境の現状や運用管理に割ける人員などを確認し、セキュリティ対策における各手法の特徴を理解した上で、製品やサービスの選定を行うことが重要である。
<筆者紹介>
岩上由高
ノークリサーチ シニアアナリスト
ソフトウェアベンダー数社でソフトウェア製品の企画、設計、開発、コンサルティング、トレーニングなどに携わった後、ノークリサーチに入社。シニアアナリストとしてITのさまざまな領域の調査・分析に従事し、その成果を記事執筆やコンサルティング活動を通じて積極的に発信している。
この記事を読んだ人にお薦めのホワイトペーパー
この記事を読んだ人にお薦めの関連記事
ITmediaはアイティメディア株式会社の登録商標です。