株式会社たけびし様

アプライアンスからIIJセキュアMXサービスを再導入することで、メールセキュリティの強化と運用管理の負荷軽減を実現

技術商社として産業用エレクトロニクス機器を取り扱うたけびし。社内外でやりとりされるメールのセキュリティ強化と運用管理の負荷軽減が課題になる中、アプライアンスからクラウド型統合メールセキュリティ「IIJセキュアMXサービス（以下、セキュアMX）」を再導入した。受信時の迷惑メール対策などに加え、送信時の操作ミスによる情報漏えい防止を目的にメール監査や添付ファイル暗号化など、充実した機能を評価。メールセキュリティに関わる運用管理の負荷が軽減されるなど、様々な効果をあげている。

課題

受信時に加え、送信時のメールセキュリティを強化
アプライアンスは購入後、新たな機能追加が困難
メールセキュリティに関わる運用管理の負荷

効果

メール監査などの処理がスムーズに行えるようになり、運用面の改善と共に情報漏えい対策として有効
セキュリティポリシーに合わせ、多彩なセキュリティ機能を活用
アプライアンスからクラウドに切り替え、メールセキュリティをアウトソーシングすることで、運用管理の負荷軽減と安心感が増大

導入前の課題

アプライアンスではメールセキュリティ対策の機能追加が容易ではない

株式会社たけびしは、FA機器などの産業機器システムをはじめ、半導体・デバイス、空調・昇降機などのビル設備、情報通信システムを中心に、幅広い機器を扱う技術商社として、国内外で事業展開を行ってきた。

こうしたビジネス活動のインフラとしてICTの活用が進む一方、情報セキュリティの確保は欠かせなくなった。同社は各種電気・通信機器の販売や関連工事の設計・施工、システム設計事業などを行い、業務の中には機密情報を要するものも少なくない。情報資産を守り、業務の質を向上させると共に、「お客様と社会の信頼に応えるため、情報セキュリティの強化に取り組んでいます」と、同社の佐々木敦氏は述べる。

情報セキュリティの強化は、社内外のコミュニケーション手段として利用されるメールにも及ぶ。顧客・取引先との重要な情報のやりとりにもメールが活用される一方、メールを悪用した脅威が後を絶たない。同社では、2007年にクラウド型統合メールセキュリティ、セキュアMXを導入。迷惑メール対策やウイルス対策などを実施してきた。だが、リーマンショックを機に全社的に経費を見直し、「メールセキュリティもその対象となり、受信メールなどセキュリティ機能には大変満足していましたが、やむを得ずセキュアMXからアプライアンスに切り替えた経緯があります」と佐々木氏は振り返る。

アプライアンスでも、ウイルスや迷惑メールなど外部からの脅威だけでなく、メールの誤送信などによる情報漏えいといった内部からのリスク対策を行ってきた。だが、課題もあった。アプライアンスでは新機能追加が容易ではなく、メールセキュリティ対策の強化に向けて、再度見直しが求められていたのだ。

選定の決め手

セキュリティニーズに合わせ、進化した機能を評価

情報セキュリティ製品に限らず、多種多様なアプライアンスが提供されているが、導入の目的と導入後の運用管理を見極めることが重要になる。特に情報セキュリティ対策の場合、攻撃者の手口は複雑化、巧妙化している。アプライアンスを運用管理する企業の担当者は常に最新の脅威に備えなければならず、作業の負荷が増す傾向にある。また、機能面の制約から、新機能が必要な場合、別のアプライアンスを購入しなければならないこともある。

たけびしでは、アプライアンスを用いて迷惑メール対策などを行ってきたが、近年はISMS認定取得や取引先からの要望もあり、受信だけでなく送信時のメールセキュリティの強化が課題になっていた。

これまでも、送信時にメールの内容をチェックするメール監査を実施していたが、「アプライアンスの機能的な制約から、メール監査の処理に手間と時間を要しており、運用管理の改善策が求められていました」と佐々木氏は打ち明ける。同社が導入していたアプライアンスはメールが保留された場合、あらかじめ設定したIT企画課の担当者に通知される仕組み。だが、その担当者が休んでいたり、外出していたりすると、メールの内容をすぐに確認して保留を解除できず、処理に時間がかかることもあったという。

そして、アプライアンスの保守切れを機にメールセキュリティを再検討した結果、再度セキュアMXの導入を決定。「使い勝手を熟知していることや、メール監査や送信一時保留に加えて、添付ファイル暗号化などの将来の利用を視野に入れた誤送信防止機能が充実していたことを評価し、採用を決めました。クラウドサービスなので、新たな脅威にもスピーディーに対応できます」（佐々木氏）。メールセキュリティのニーズに合わせ、機能が以前に比べて進化・拡充していることも採用の決め手になった。

導入後の効果

アウトソーシングで運用管理の負荷を軽減

たけびしでは、2014年3月からセキュアMXの利用を再び開始。メールの利用に欠かせないセキュリティはもちろん、情報漏えい対策やコンプライアンスの強化などに必要な機能を備える。また、日々の運用管理や新たな脅威にもIIJが対応するなど、企業は複雑で手間のかかるメールセキュリティ対策をアウトソーシングできる。

そして、セキュアMXは、ゲートウェイで企業のセキュリティポリシーに応じたメールの配送を制御する。例えば、メール監査は送信メールに対してコンテンツ検査・配送制御を実施。指定されたキーワードや条件を含むメールの送信を制御し、管理者の許可なく外部へメールが送信されるのを防ぐ。「保留メールの通知に関する課題も解消され、メール監査の処理を効率的に行いながら、情報漏えい対策を強化できます」と佐々木氏は導入効果を述べる。

「単純に5年間のコストだけを比べればアプライアンスの方が若干安いです。しかし、今後5年間のセキュリティの脅威への対応はクラウドサービスの方が有利です。更に、運用負担や機能面の拡張などを総合的に考慮すると、セキュアMXの方が効果が大きいと判断しました」（佐々木）

このほか、佐々木氏はスムーズなメールの送受信を導入効果に挙げる。アプライアンスのときには、従業員の誤操作などでメールが滞留し、ほかのメールの送受信に影響が出ることもあったという。「現在はメールの滞留もなく、安心して送受信できています。以前のように滞留の原因を調べる手間もなくなり、運用管理の負荷軽減にも役立っています」（佐々木氏）。

迷惑メールの処理についても、一般にアプライアンスはブラックリストに登録されたアドレスのメールの着信を拒否、誤判定で削除されることもある。それに対し、セキュアMXは複数の商用エンジン群を装備。様々な観点から多角的にスパム度を評価し判定を行うことで、極めて誤判定が起こりにくい仕組みとなっている。スパム判定されたメールは利用者が隔離レポートで確認でき、誤判定による「メールが届かない」といった事態を回避できる。

たけびしでは、なりすましを防ぐ送信ドメイン認証などの機能に関心を寄せる。セキュアMXは必要な機能を簡単に追加でき、企業で課題となるメールの入り口（受信）から出口（送信）までセキュリティ対策の強化をトータルにサポートしていく。

株式会社たけびし様へ導入したシステム概要図