「内から外」のメールセキュリティ対策に不安が
全国の都道府県の中で、人口約625万人と6番目の規模を持つ千葉県。その行政を担う千葉県庁では、県民の生活を支えるために職員が日々業務を行っています。千葉県では、日頃から県民の個人情報等の貴重な情報を多く扱うため、これまで情報セキュリティ対策には、ひときわ力を入れてきたといいます。
マルウェア対策はもちろんのこと、メールを介した標的型攻撃に対しても強固な対策を講じてきました。しかし、外から入ってくるメールへの対策には万全を期していたものの、内部から外へ出て行くメールについては若干の不安もあったといいます。千葉県 総務部 情報システム課 しょむ・文書システム班 班長高橋明氏は、次のように述べます。
「メールを介して県民の個人情報が外部に漏洩しないよう、約10年前からメールの誤送信やファイルの添付ミスなどの対策を講じてきました。しかし対策を続けるうちに、だんだん既存の仕組みを使ったメールセキュリティ対策に限界を感じるようになってきました」。
例えば、千葉県では外部に送信するメールの宛先アドレスはBccに記述して、県民および職員のメールアドレスが外部に漏れないよう対策を周知してきました。しかし、実際にきちんとBccに記述するかどうかは、現場の職員に委ねられており、確実にこれを担保する仕組みはありませんでした。対策が徹底されているかどうか、どうしても不安が拭えなかったといいます。
また、ITツールを利用したセキュリティ対策では、ツールの使い勝手も重要でした。千葉県 総務部 情報システム課 しょむ・文書システム班 副主査 伊藤圭氏は、次のように説明します。
「ある設定を使いこなすために、プログラミングのような作業を必要とするツールでは、一部の職員しか使いこなすことができません。それでは、せっかく導入したツールも現場に根付かないのではという危惧がありました」。
そこで千葉県では、機能と使い勝手のバランスが取れた新たなメールセキュリティ製品の導入を検討することになりました。
外部に送るメールをすべて「m-FILTER」でチェック
早速、メールセキュリティ製品について調査を行った結果、有力候補として浮上したのがデジタルアーツの「m-FILTER」でした。
「『m-FILTER』は直観的に利用できるGUI画面を通じて、すべての操作が行えます。機能も豊富なため、少なくとも私たちがそれまで抱えていた課題を解決する上では有用な製品だと感じました」(高橋氏)。
そんな折、当時運用していた庁内ポータルサイトの全面刷新プロジェクトが立ち上がりました。そこで、これを機にメールセキュリティ対策も同時に見直すことになりました。ポータルサイト再構築を発注したベンダーにメールセキュリティの検討も依頼したところ、提案を受けたのが「m-FILTER」を使った対策でした。「もともと『m-FILTER』にはいい印象を持っていましたから、これを機に正式に導入することに決めました」(高橋氏)。
「m-FILTER」に設定する基本的なセキュリティのルールは、既に庁内で運用していた内容を基本的にそのまま反映させました。それに加えて新たに、外部に送信するメールの宛先を強制的にBccに変換するルールと、同じく外部に送るメールを15分間庁内に保留しておく「送信ディレイ」の設定も行いました。これを行う上では、例外ルールの設定を柔軟に行える「m-FILTER」の機能に随分助けられたと伊藤氏は話します。
「外部に送るメールを『m-FILTER』が内部で15分間保留させている間に、メールに誤りがないか送信者が自らチェックを行うという運用ルールを設けました。ただし、庁内に送るメールは外部向けのものと比べ漏洩のリスクが低いため、業務効率を考慮して『送信ディレイ』を行わない設定としました。さらに外部向けでも、災害対応や選挙速報など、即時送信が必須のメールに限っては、『送信ディレイ』の対象外としました。『m-FILTER』はこうした設定が柔軟にできるため、大変助かりました。それまで、その都度プログラミングのような作業をしていたのと比べると、格段に楽になっています」。
なお「m-FILTER」では、保留中の送信メールを確認したり、それを手動で即時送信したりするために、専用の画面を開く必要があります。通常は、この画面を開くためにID/パスワードを入力する必要がありますが、これを職員が面倒に感じて利用が進まなくなる恐れもありました。そこで千葉県では、既に導入していたSSO(シングルサインオン)基盤と「m-FILTER」を連携させ、一度ポータルサイトへの認証をクリアしたユーザーは、リンクをクリックするだけで「m-FILTER」の専用画面を直接開ける仕組みを構築しました。
現場に定着していく「m-FILTER」
こうした工夫が功を奏して、2017年8月から運用を開始した「m-FILTER」によるメールセキュリティの仕組みは、ほどなくして業務現場に定着したといいます。運用を開始して半年後の時点で、全職員の40%以上が「m-FILTER」の専用画面にアクセスし、外部向けに送信したメールの即時送信の操作を行っています。この結果について、高橋氏は「職員のメールセキュリティに対する意識の高まりの表れ」と話しています。
「4割以上の職員が、『m-FILTER』で内部に保留しているメールを確認するようになっています。加えて、0. 5%の職員が送信キャンセルの操作を行っています。この中には、単に文面が気に入らなくて書き直したケースもあるかもしれませんが、実際に誤送信のリスクが減らせていることの証だと考えています」。
事実、これまでは外部向けメールの宛先を誤ったり、宛先アドレスをToやCcに入れたまま送ってしまったりといったミスが年に数回起きていたのが、「m-FILTER」を導入してからは起きていないといいます。
またシステムを運用する立場から見ても、「『m-FILTER』は使い勝手の良さが際立つ」と伊藤氏は高く評価します。
「直観的に操作できるGUI画面を通じて設定できるので、初めて触る職員にとっても馴染みやすいと感じます。プログラムを記述したり、コマンドを入力したりする必要は一切なく、GUI 操作だけで済むので、この種のツールに不慣れな職員にとっては心理的なハードルが低いと思います。自治体の職員は、必ずしもITの専門家ばかりではありませんから、この点はとても助かっています。今後もぜひ今までの使いやすさを維持したまま、機能強化を続けてほしいですね」。