TOPプロジェクト管理> シミュレーション
メールセキュリティからメールコンプライアンスへ
メールセキュリティからメールコンプライアンスへ〜日本版SOX法の準備をしよう

第3回:メールコンプライアンスの必要性
著者:ホライズン・デジタル・エンタープライズ   宮本 和明
2006/2/27
1   2  3  4  次のページ
シミュレーション

   ある日、緊急招集がされた。メンバーは、管理部長、社内システム担当者、営業部長、内部監査室長である。

   この連載をお読みの方は誰に近いだろうか。どれかに当てはまる方も、どれにも当てはまらない方もいるだろうが、それぞれの役割を想像しながらシミュレーションをしてみよう。

   緊急招集の内容は、以下のようなものだった。

   とある取引先から、○○商事の営業部長宛にメールが届いた。内容は以下のようなものだった。

○○商事 営業部長 吉川様

△△株式会社の山田です。

弊社を担当していただいている秋山様から以下のようなメールが届きました。
誤配信だと思われますが、内容的に問題があると思われます。
以下に引用いたしますので、適切な対応をお願い致します。

> 斉藤君
> こんにちは、秋山です。
>
> 先週、△△株式会社を訪問した時にそこの社員が
> 話しているのをこっそり聞いたんだけど、
> 来週新製品を発表するらしいです。
> △△の株を買っておくことをオススメするよ!

   状況としては、社内の営業部員である秋山君が、業務上知り得た情報を元に、友人にその会社の株の購入を進めるメールを送ろうとして、こともあろうに間違って、その会社に送ってしまったらしい、という指摘を受けた状況である。インサイダー取引の可能性もある重要な問題である。

模式図
図1:模式図


社内システム担当者の立場

   まず、この緊急会議では、社内システム担当者に対して、次のような調査依 頼が来るだろう。

  • このメールは本当に社員から発信されたものか?
  • だとしたらいつ送られたのか?
  • 送信されたメールの全文はどんなものか?
  • 他に同様のメールが送信されていないか?

表1:調査依頼の内容

   このとき、社内システム担当者は、メールのアーカイブシステムの中から必要な情報を迅速に取得できなければならない。

   もしかすると社内規定で、「社員のメールを見ること」がシステム担当者には許可されていないかもしれない。その場合、閲覧権限のある人間の立会いの下、取得操作のみ行い、結果のファイルを権限者に渡すというフローになるであろう。いずれにしても、どのログをどこからどのように抽出できるかなどの作業手順を想定しておく必要がある。

   もしすでにある程度情報漏洩防止の対策を施している(例えば「新製品」という文字列を含むメールは保留するなどのフィルタリング設定を行っている)場合は、それをすり抜けたのかどうか、メールの経路が他に存在していなかったかといったことの調査も必要になる。

   また、そもそもメールのアーカイブのシステムを入れていない場合は、至急その導入の検討に入ることになるだろう。ただし、すでにアンチウイルスゲートウェイや電子署名ゲートウェイがある場合やメールサーバがDMZ(DeMilitarized Zone)のエリアとLANのエリアに二段階となっているパターン、メールハブのようなものが存在しているパターンもあるだろう。

   それらの複雑なネットワークの中で、どこにメールのアーカイブをかませるかは少し頭をひねらなければならない。

1   2  3  4  次のページ


株式会社ホライズン・デジタル・エンタープライズ 宮本 和明
著者プロフィール
株式会社ホライズン・デジタル・エンタープライズ  宮本 和明
代表取締役副社長。1997年からLinuxに関するビジネスに取り組み、サーバ管理ソフトウェアHDE Controller、電子メールエンジンHDE Customers Careなどのパッケージソフトウェアの開発に携わる。金融・流通・自治体など様々な業種の電子メール関連システムにも携わり、今後のメールシステムの行く末を見守り続けている。


INDEX
第3回:メールコンプライアンスの必要性
シミュレーション
  メールのアーカイブをどこにおくのか
  管理部長の立場
  その他メールコンプライアンスとともに生じる技術的トレンド