イノベーションで振り返る30年 TOPIC 3　メールセキュリティ IIJセキュアMXサービス（SMX）

2000年代初頭は、多くの企業がオンプレミスのメールサーバを自社運用していましたが、ISPやベンダが提供するメールホスティングサービスに移行する企業も出始めていました。
当時、スパムメールがウイルスメールに次ぐ脅威として認識され始めていましたが、従来のメールセキュリティサービスはアンチウイルスにしか対応していませんでした。そこで、アンチウイルスに加えてアンチスパム、メール監査、メールアーカイブなど、複数のニーズを満たす「統合メールセキュリティ」というコンセプトのサービスをつくろうという構想が生まれました。
その頃、アンチスパム関連の技術を持っている企業はごくわずかで、少なくとも日本にはありませんでした。そこで、米国のMX Logic社が開発した技術に着目した社員が、MAAWG^*を通してつながりのあった彼らに声をかけました。
そうして、SMX初期のサービス基盤は、MX Logic社のプラットフォーム技術をコアとしながら、それまでIIJが提供してきた他のメール関連サービスの技術を結集して、独自開発して組み上げました。

MX Logic社とは不具合改修や新規技術の組み込みなどの話を不定期でしていたのですが、欧米企業らしく同社のエンジニアは「バグを直すより、新機能の実装を優先したい。そのほうが新規顧客を獲得するメリットにつながる」と言うのです。バグは見つけ次第、修正するのが当たり前である我々の感覚は、彼らにはまったく通じませんでした。リモート会議で「こんなバグがあったので修正してくれ」と伝えても、「こちらではそのバグは再現できなかった」と取りあってもらえません。仕方ないので、年に数回、MX Logic社の拠点があったデンバーに開発・運用エンジニアを連れて赴き、バグ修正の交渉をすることにしました。改修してもらうためには、まず再現することが必須なので、出張前日まで確実なバグの再現方法を調査し、飛行機に飛び乗りました。
現地では同じテーブルにエンジニア同士が肩を並べ、1台のノートPCの画面を覗き込み、バグを再現し、隣のPCでソースコードを見て不具合箇所を特定し、その理由を確認しながら改修の約束を取りつけていきました。こうした作業はSMXの品質を向上させるうえで欠かせない仕事でした。

事業終了の連絡は、まさに青天の霹靂でした。すぐに使えそうな代替製品はなかったので、SMXのコアである隔離システムを含む各種フィルタやプラットフォームを完全にスクラッチでつくり直すことにしました。
すでに多くのお客さまを抱えていたSMXのユーザインタフェースを含むプラットフォームの全面改修はかなり大きなプロジェクトで、開発・運用メンバーの総力を結集して取り組みました。脅威検知の肝となるアンチウイルス・アンチスパム判定エンジンは、複数のセキュリティベンダの製品を比較検討したうえで、合計6社のエンジンを選択・搭載して「いいとこどり」にしました。
キャリアフリー、ベンダフリーであるIIJの立ち位置を活かすことで、より良いものを自由に採用し、性能に問題があれば搭載をやめたり、他社の製品に組み替えたりするなど、独自の実装が実現しました。特定のセキュリティベンダの判定エンジンだけでは、常に高い品質を保つことはむずかしいので、状況に応じて最善を選択できるSMXは、結果的に大きなアドバンテージを得ることになりました。

SMXは自社開発の部分が多いため、日々変化する脅威メールやセキュリティニーズを追い続け、柔軟に対応することが可能です。また、受信方向だけでなく、送信メール監査や情報漏えい対策、PPAP代替といった日本固有の送信方向の機能ニーズにも応えています。また現在、グローバル規模でメールセキュリティサービスを展開しているのは外資系ばかりで、そういった現状もSMXが支持されている一因だと思います。

メールというコミュニケーションツールが脈々と利用されるなか、ウイルスメールに始まり、スパムメール、標的型攻撃メール、フィッシングメール、BEC（Business Email Compromise＝ビジネスメール詐欺）など、さまざまな脅威メールが現れました。また、外部からの脅威だけでなく、誤送信問題、証跡保存、コンプライアンス対策といった内部脅威対策など、メールに求められるセキュリティ対策は変化し続けてきました。そうした環境下において自社開発と自社運用が時代のトレンドに合わせてサービスを進化させることができた大きな要因になったと考えています。
SMXにはIIJのさまざまな技術が盛り込まれています。例えば、送信ドメイン認証のプログラムを自社開発してサービスに搭載するだけでなく、オープンソースコミュニティに公開・貢献したり、メールボックス操作プロトコル部分を独自実装したりしてきました。組み替え可能な6社のアンチウイルス・アンチスパムエンジンを実装した、独自アルゴリズムによる多層検知は、既製品を組み合わせるだけでは実現不可能です。
こうしたメールサービスをプロトコルレベルで理解し、開発・運用しながら機能改善していけるエンジニアは業界内でもだいぶ減ってしまいましたが、IIJにはそういうエンジニアがいることも大きな強みだと思います。