[Email Security Conference 2016開催直前インタビュー] 自治体・企業におけるメール無害化のススメ（フォーティネット）

10月4日に大阪で、10月5日から7日まで東京で開催される「 Email Security Coference 2016 」は、「 Security Days Fall 2016 」の併催イベントであり、古くて新しいインターネットの業務インフラである電子メールの安全運用に関する最新知見や、他では聞けない有意義な事例などの情報が交換される玄人IT管理者向けの専門カンファレンスだ。

同カンファレンスで講演を行うフォーティネットジャパン株式会社プロダクトマーケティング部スペシャリスト山田麻紀子氏に、標的型攻撃に対するメールセキュリティの考え方、自治体や企業で必要な対策、そして講演の見どころなどについて直前取材を実施した。

――講演のテーマにもなっている標的型攻撃に対する備えですが、実際に標的とされ被害が続く企業や自治体は、どんな状況なのでしょうか。

山田氏：年金機構の情報漏えい問題に端を発した政府の提言に基づき、現在全国の自治体がネットワークの強靭化に取り組んでいます。住民の個人情報はもとより、これから扱いが増えるマイナンバーなどを、いかに守るかが大きな課題となっています。「自治体ネットワークとインターネットをしっかり分離しましょう」「メールや外部からの攻撃に備え出口対策もしましょう」といった取り組みが各地で進められています。

標的型攻撃の被害という点では民間企業も同様で、雇用者のマイナンバーを扱うという点も同じです。こちらも対策の見直しなどがポイントです。

―具体的にはどんな対策を通じて、それを実現していけばいいのですか。

山田氏：これはIPAのデータですが、2016年第二四半期の標的型攻撃のうち、メールが感染経路になったものが約80％を占めています。その前期と比較しても伸び率が高く、添付ファイルや不正なURL誘導によって、多くの企業・団体が被害を受けていることがわかります。メールが最大の感染経路なのです。その対策ポイントは2つあると思っています。ひとつはメールの無害化、もうひとつはサンドボックス連携です。

以前の攻撃メールは、外国語で作成されたり、不自然な文章だったりと、不審なメールだと気付くことができるものもありましたが、最近は周到に作られた日本語の攻撃メールが来ます。また、標的となった企業の業務内容や取引先など、周辺情報を把握したうえで実際の取引先やプロジェクト名などを名乗ってきますから、ダミーの攻撃メールを使ったサイバー訓練が行われている企業や団体もありますが、そういった対策の効果はいまや限定的となっています。

利用者へのセキュリティ教育や注意喚起は以前と同様重要ではありますが、まず技術的な対策で、不正な添付ファイルや攻撃サイト等のURLを含んだメールを確実に検知する必要があります。メールの無害化とは、マルウェアや悪意のある添付ファイルの削除やHTMLメールのテキスト化です。

――メール無害化のためにフォーティネットジャパンはどんな解決方法を提供していますか。

山田氏：弊社製品 FortiMailとFortiSandboxを組み合わせることで対策を実現できます。悪意のある添付ファイルやURLはFortiMailで検知します。ゼロデイ攻撃のような未知のマルウェア、シグネチャで検知できないものはFortiSandboxで調べることで、メールに潜む脅威を取り除きます。

FortiSandboxは、今年8月に発表されたNSS Labsのブリーチ検知システム（情報侵害検知システム）の評価テストにおいて、高い検知率だったとして「推奨」という評価を得ています。

―最後に今回の講演でのポイントや見どころはなんでしょうか。

山田氏：メールセキュリティ、サンドボックス、など、まだ導入していない企業が少なくありません。中小企業から大企業まで、メールセキュリティの導入、運用でお悩みのお客様に、実践可能な対策について、お話をさせていただきたいと考えています。

もうひとつの見どころは、メールシステムをクラウドサービスとして利用する際のセキュリティ対策です。クラウドサービスプロバイダーがセキュリティ機能を提供している場合もありますが、それだけでは不十分な点もあります。ランサムウェアの検知ができなかったり、ゼロデイ対策に対応していなかったりすることがあります。クラウドサービスを利用する場合の、メールセキュリティ対策についてもお話しさせていただきたいと思います。

――ありがとうございました。