ブログ

最近の情報セキュリティの中で使われる「無害化」という言葉

2018年3月19日

先日、某病院様へ伺った際に聞かれました。
また、某全国規模の大金融系情報システムセンター様へ伺った際にも同じような話題になりました。

 

｢無害化って何か定義があるのでしょうか？｣と。

 

※以下の内容は、弊社独自の解釈も含まれています。

 

そもそも、情報セキュリティの世界で｢無害化｣っていう言葉を最初に使ったのは…
ネットエージェント株式会社だと思う。

 

弊社でも取り扱って販売し、お客様にご活用をいただいた製品の営業活動の際に使っていたのが最初では無いかと思います。

 

その商品は、
「防人(さきもり)」です。

 

防人は、2012年5月にリリースされた製品でした。
標的型攻撃メール対策の仕組み。

 

余談だが、この頃、フジテレビ系で放送されていた「ほこ×たて」で「最強ハッカー VS 最強セキュリティプログラム」というタイトルでありながら内容は、脆弱性のあるWindows系端末にアクセスして…というなんだか良く判らない形になって、後日談の方でネット上が盛り上がる…という出来事などもありました。

 

さて、話を戻すと、その「防人」は、電子メールの受信経路上にＭＴＡとして導入し、受信するメールに添付された添付ファイルを受信者に届く前に「悪意のあるプログラムを含むことのできるファイル形式」から「内容を確認できる機能しか持たないファイル形式」、つまり、「画像」に変換することにより、標的型攻撃メールを「無害化」する…という製品でした。

 

これは当時とっても画期的で、弊社からご提供したお客様も「無害化」の導入を推進するための手段として選択していただきました。

 

この防人製品を紹介する表現の中で【無害化】を使っていました。

 

※この製品は、今日現在ではネットエージェント社から発売は終了しています。

 

その後、少しの時間が流れて、2016年から2017年の夏までの間は、全国全ての自治体で大規模なネットワークセキュリティ強化が実施されました。

 

この時にもセキュリティの用語として「無害化」が出てきます。

 

しかし、その「無害化」は、色々な仕掛けに対して使われました。
いずれも、セキュリティ強化が目的ではあるのですが。

 

• ｢通信の無害化｣を実現するためネットワークの分離を実施
• ｢標的型メール攻撃の無害化」を実現するため、メールの無害化を実施
• ｢セキュアなセグメントの無害化」を実現するため、ファイルの無害化を実施

が、代表的な「無害化」だと思います。

 

全ての国民に割り当てられた、マイナンバーの情報が漏えいし国民の生活や生命に被害が及ぶような悪用事案が発生しないように、住民情報を運用するLGWAN[総合行政ネットワーク（Local Government Wide Area Network）]を、堅牢に守るためのキーワードでした。

 

その「無害化」を実現するために、多くの仕組みを提供するメーカやベンダーは、限られた時間の中で多様な対策の仕事を実施しました。

 

弊社も、その中でいくつかの自治体様向けの仕事していました。

 

• メールの無害化
  「Active!Zone」＋「DEEP Mail」
  https://goo.gl/WLfCYD
  https://goo.gl/q8NX5p
• ファイルの無害化
  ｢VOTIRO-SDS」
  https://goo.gl/ZDjj1S
  https://goo.gl/ENpPb4

 

このツールを中心にパートナー様とご一緒してきました。

 

残念なのは、色んな仕組みを提供するメーカやベンダーの人たちの中には「総務省が指示する無害化は…」と言いながら、それを好都合に解釈して、”おおよその事ができます”的な、玉虫色の表現を使って「多少違っても予算が厳しいから安価にしましょう」という価格を抑えるのだから、仕組みが劣っても仕方ないでしょ。という論法で提案をしたり、或いは、無害化の求める形すら変えてしまう提案まであったと言います。

 

｢無害化｣は、想定されるセキュリティリスクを「無害」にするものです。
つまり、可能性を「ゼロ」にすることを言います。

 

逆に言うと「ゼロ」にならないのであれば、それは「無害化」とは言えません。

 

“私たちの考える無害化としてご提案しています”というベンダーの言い方は好ましいとは言えません。

 

混乱を招くだけだからです。

 

そして、年は2018年になりました。
2017年度末として、そして、2018年度として、動き始めた訳ですが全国の自治体で実施した「無害化」の考え方は、他の業界へ検討と実施の流れが始まりました。

 

• 教育庁、教育委員会様
• 金融関連様
• 医療医薬関連様

が、中でも早い検討と実施に入られたようです。

 

例えば、2018年1月12日には、九州の大分県教育庁様での入札が行われました。
大分県下の教育庁・教育委員会様では、この春にも仕組みが稼働します。

 

弊社も少しだけご一緒しました。

 

他の都道府県の教育庁・教育委員会様でも、同様の検討が開始されていると思います。
いくつかの県については、弊社もご一緒しております。

 

そして、金融関連では、全国組織の電算センター様向けのお話としていくつか伺っております。

 

こちらについては、「Webアクセスの無害化（分離)」というキーワードも出てきました。

 

さらに、病院系様向けの「無害化」の話題もあり、お声がけをいただいた先へお伺いして、これまでの弊社の事例・実績をご紹介しながら、具体的な無害化の対策とはどういうものか？というご案内をしております。

 

情報セキュリティにおける「無害化」は、ネットワークでの無害化から、電子メール、添付ファイル、電子ファイルの無害化、そして、Webアクセスの無害化とその展開を広げています。

 

弊社では、「Webアクセスの無害化」に対する新製品をご紹介する計画でいますが、これにより、いずれの「無害化」に対しても、より具体的で確実な「無害化」をご提案できるようになります。

 

情報セキュリティの「無害化」は、2018年度のキーワードになる状況です。

 

※Webサイトに掲載していない製品については営業までお問合せください。

 

(Vol.114)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2020、スワットブレインズ　掲載記事の無断転載を禁じます。

ネットワーク分離、Web・メールの無害化の導入。自治体系からの広がりについて

2018年3月12日

ネットワーク分離、Web・メールの無害化の導入。自治体系からの広がりについて。

 

総務省の指針に沿って、全国全ての自治体では、セキュリティ強化を目的にネットワーク分離、Web・メールの無害化、ファイルの無害化…を、2017年度までに導入され運用されている。

 

現場の運用まで含めて、様々な意見やコメントもあるそうだが、正しく利用されている場合は、各段にセキュアな環境になったことは間違いない。

 

この仕組みは、従来のネットワーク運用、日常業務操作と比較すると、手順も増えますし、面倒に思うかもしれません。しかし、結局は、自分の仕事を実施する上で「自分を守ってくれる」仕組みであることも大事な観点である。

 

団体や企業は、投資してセキュリティ強化を実施する。
もちろん、目的の中には、組織を守るため…っていうこともある。
しかし、現実にはその組織で働く人を守っている側面もある。

 

あれ？とか、え？とか、そういう思いもしない操作を行って不本意な結果になることを、出来るだけシステムの仕組みなどにより発見してくれたりすることもある。或いは、仕組みが危険を判断するための情報を自動的に示してくれるものもある。

 

ネットワーク分離、Webアクセスの無害化、メールの無害化、そして、電子ファイルの無害化の仕組みも、そのような仕組みの一つと言える。

 

全国各地の自治体で採用された、この仕組みが、自治体以外の分野に広がり状況になってきた。

 

弊社ご連絡をいただき、仕組みの説明や製品の紹介、デモなどをご案内した先としては、

• ＪＡ関係様
• 都道府県教育庁、教育委員会様
• 銀行系企業様
• 病院、医療系様

と、一気に広がりを見せている。

 

自治体様にご案内した内容をもとに、

• 無害化ってどういうことを言うのか。
• 無害化する、ネットワーク分離をする、とは具体的に何をするのか。
• メールの無害化、ファイルの無害化、分離とは。

などのご相談をいただいております。

 

特に「無害化」については、総務省基準とも言える処理の部分についてわりと曖昧な解釈をしているメーカやベンダーが多いため、「概ね総務省基準」とか「総務省の言っている大半を実現できる」などグレーな提案が数多くあります。

 

ちなみに、総務省の示している無害化…に合致するのは、ただ１つ。

 

弊社では、アプライアンスモデル・パッケージの両方で提供が可能な VOTIRO-SDS 製品 です。

 

また、メールの無害化についても同様です。
言葉巧みに「無害化相当」という製品はいくつもあります。

 

その結果、言葉に惑わされた形で、製品を採用し、その後に…
「え？これは出来ないの？あれば出来ないの？」というトラブルが発生するケースもあります。

 

間違うことが無いように、具体的に「元々どういう機能が必要なのか？」を確認して理解していただくことが大事です。

 

時間が無い。期間が無い。早く方針を決めないと！
・・だからこそ、正しい理解が必要です。

 

弊社では、自治体向けの導入実績を元に、提案の様子から実際の製品選定まで具体的にご紹介可能です。

 

※Webサイトに掲載していない製品については営業までお問合せください。

 

(Vol.113)

 

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2020、スワットブレインズ　掲載記事の無断転載を禁じます。

クラウド提供型メールアーカイブサービス「MailResidence」

2018年3月2日

電子メールアーカイブは、普段そんなに必要とされません。
でも、欲しい時に無いと困る。そんな仕組みだと思います。

 

これまでは、、、

 

• パソコンが壊れてメールが全部消えた！復活させたい。
• グループウエアのメール容量が多くないので、別に残しておきたい。
• 退職した元社員のメールを掘り起こしたくなった。

 

そんな時に、メールをアーカイブしておいて良かった！
って出番だったかと思います。

 

しかし、最近はそういう使い方に加えて、新たな要素が増えているようです。

 

例えば、、、

 

• 法律で、取引先とのメールのやりとりを数年間保存していく指示がある
• メールで見積書とか仕様書など送り合うようになったので、その記録を保存しておく必要がある
• 突然、取引先となる上位会社から「メールを提供するように」と指示された。
• 社外から「メールで重要な情報が持ち出されているようですよ」と教えられその事実を調査することになった。
• 裁判の証拠として、弁護士や警察からメールデータの提供依頼がある。

などです。

 

電子メールは、パソコンの中の遊びでは無くなり、仕事の一部として郵便や宅配便などで送られてくる文書などと同じ意味を持つ仕組みになってきました。

 

それだけに、メールアーカイブは、単なる「メールバックアップ」では無く管理するべきデータとして保管運用する必要があります。

 

また、最近では、働き方改革とか、グループ企業の事業再編などで、ITの活用がさらに発展しています。そんな中で、電子メールは、情報伝達やコミュニケーションのツールとしても比較的簡単な手法の一つとして認知されています。

 

それだけに、電子メールの証跡は必ず残す必要があります。

 

一方、情報セキュリティという観点から言うと、標的型攻撃メールによるランサムウェアの被害や、情報搾取事故なども日々発生している中で事件や事故の起点となった、電子メールの保存は、原因調査の観点からも非常に大切です。

 

このように、近年急激に電子メールを「管理運用するべきデータ」として保存する仕組み作りは、”あったらいいな・あって良かった”というモノから『電子メールは、数年間に渡って保存し、管理運用する必要あり』というモノに変わってきました。

 

しかし、従来から提供されていた「メールアーカイブ製品」は、比較的高額な製品が多いジャンルとして認知されていました。

 

それでも「やらなきゃな・・」の背景もあり、導入のために投資されてきたのが現実です。

 

弊社が提供している、MailDepot製品は その「高額な製品」という認識を変えていただける製品として弊社より提供してきました。

 

それでも、企業や団体の中では、体制の変化や、社内コストの見直しなど事業継続計画の中で、社内に製品システム機器を置きたくない、置く環境が無くなってしまった…そんなお話を伺うことも増えました。

 

MailDepotを導入したいが、どうしたものか・・。

 

とあるお客様の担当者様から伺った言葉です。

 

そこで、今回、弊社はパートナー企業の プラスアイ・コンサルティング社と協業し、MailDepot製品をクラウドサービス型として新たにご提供する仕組みを立ち上げることが出来ました。

 

☆クラウド提供型メールアーカイブサービス「MailResidence」

 

MailDepot製品が、従来のメールアーカイブ製品の概念を変えた、

• メールアカウント無制限
• メール保存容量無制限
• メールアーカイブ対象ドメイン無制限

…という、特徴の部分も継承し、さらに

 

• 安心の国内データセンターのクラウド環境を利用
• サービス初期費用が無料(０円)
• 月額料金、10万円(税別)固定 <*1>
• 「サービス利用料金」のみのため資産計上や減価償却も不要

…という、画期的な仕組みで提供されるサービスです。

 

<*1>
年間1TBの保全と検索、年間2回までの検索コンソールご利用
年間利用料：120万円として前払い
保管容量(必要に応じて)と検索対象(2TB,5TB,10TBプラン有)は柔軟に拡張可能。別途有償提供

 

出来るだけ簡単に！
でも使いたいときは、高速で処理できる！
事業経理としても、負担が少なく！
必要になった時にだけアクセス利用するため、普段は任意に検索が出来ない仕組みのため、情報システム部門スタッフのストレスとプレッシャーを軽減できる！

 

など、新たな感想をいただけるサービスになります。

 

電子メールは、管理運用できる仕組みの中で、アーカイブ保存するのが必須になります。

 

その仕組みとして、MailDepot／MailResidence は、きっとお役に立つ仕組みとしてご採用いただけます。

 

※Webサイトに掲載していない製品については営業までお問合せください。

(Vol.112)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2020、スワットブレインズ　掲載記事の無断転載を禁じます。