監査で慌てないための賢いメールアーカイブ術：「取りあえず保存」状態から抜け出せ

監査証跡として活用できる電子メールは、正しく保存して検索できるようにしておくべきだ。では、具体的にどれを、どう保存すればよいのだろうか。メールアーカイブの指針を示すとともに、最適な製品選びを考える。

[木村 真]

セキュリティで考える最適なメールアーカイブとは？

　電子メールで何らかの業務支持や契約事項のやりとりを行っていないという自信があれば、電子メールを保存する必要はないだろう。2008年6月24日に金融庁が「内部統制報告制度に関するQ＆A」への回答として、追加版を発表した。その中で「電子メール等のデータを一律に記録・保存することを求めているものではない」と回答しているところから、「電子メール保存の義務がなくなったのか」と一時話題になった。

　もちろん、メール保存自体の義務などは初めから存在しない。義務付けられているのは保存することではなく、監査などで証跡を求められたときにそれを提出できることである。

　内部統制のためのメール保存として最適な方法は、証跡となり得る電子メールのみを受送信時に抽出して保存することだ。メール振り分けのポリシーをあらかじめ決定し、ゲートウェイとメールサーバの間にフィルタリングなどを設定すれば、該当するものだけをストレージなどへ格納できる。ただし、この方法をシステム化するには明確なポリシー策定を行わなければならず、導入までの時間およびコストが掛かり過ぎる。加えて、万全を期すのであれば、運用段階でも漏れが生じた場合の対応策や管理者による監視などを検討する必要がある。つまり、受送信時の電子メールをすべて保存するメールアーカイブが、最も確実かつ簡単な方法ということだ。

　ただし、やみくもにすべて保存するのでは、投資コストや運用面で効率的とはいえない。メールアーカイブを実施する前に、まずはその手順やポリシーを明確にする必要がある。以下のように、検討事項をすべてリストアップするとよい。

• 保存対象は外部へ送信するものと内部から送信するものの両方とするか否か
• メールサーバで受信した電子メールをどのタイミングでアーカイブするか
• アーカイブ期間は妥当か（2〜3年でよいかなど）
• 監査やインシデントの際にデータの検索／抽出は可能か
• アーカイブソフトのバージョン管理はできているか

　先ほど「電子メールをすべて保存するのが最も確実」としたが、内部から送信するものと、外部から受信するものの両方を対象にするかどうかを考える必要がある。この判断いかんで、確保すべきアーカイブ先のストレージ容量が決まるからだ。このほか、アーカイブするタイミングや保存期間、検索機能などはシステムの方向性を決定付ける内容なので、十分に検討したい。

　運用面では、特にアーカイブソフトのバージョン管理がほかのソフトのバージョン管理と同様に重要となる。保存期間中に何回かソフトのバージョンアップが発生すると、前バージョンの保存形式と互換性が完全に保たれていない場合、読み出せなくなってしまう恐れがある。アーカイブしたメールを証跡として使うことが目的の1つでもあるので、この点には注意したい。

関連ホワイトペーパー

メールアーカイブ | 検索 | ストレージ | 内部統制 | アプライアンス | Exchange | Notes