PR
写真 全社的な迷惑メール被害には迷惑メール対策アプライアンスが有効(写真は米サイファートラストの「IronMailシリーズ」)
写真 全社的な迷惑メール被害には迷惑メール対策アプライアンスが有効(写真は米サイファートラストの「IronMailシリーズ」)
[画像のクリックで拡大表示]
図 迷惑メール対策アプライアンスは,多様な方法で企業に送り付けてくる迷惑メールに対処するためにさまざまなフィルタを備える
図 迷惑メール対策アプライアンスは,多様な方法で企業に送り付けてくる迷惑メールに対処するためにさまざまなフィルタを備える
[画像のクリックで拡大表示]

 迷惑メールの被害を被っているのが一部の社員だけならば,メール・フィルタリングなどの既存システムでも対処できる。社員のパソコンに迷惑メール検出ソフトを導入する手もあるだろう。しかし全社的に被害が出ているなら,迷惑メール対策アプライアンスの導入がベスト(写真)。迷惑メールの数が増えるほど「受信メールからフレーズや単語などを洗い出して迷惑度を判定する」といった処理の量が増え,既存システムでこなすには負荷が高すぎるためだ。また,既存システムによる対処法では運用が大変な場合も,さまざまな対策技術を搭載する迷惑メール対策アプライアンスの方が効果が高い。

 迷惑メール対策アプライアンスには,数多くの迷惑メール対策技術が搭載されている。逆に言えば,単一の技術で多数の迷惑メールをシャットアウトすることは難しい。例えば主要な迷惑メール対策技術の一つに「ベイジアン・フィルタ」がある。これは迷惑メールの文章の特徴を「学習」し,その学習履歴を基に迷惑度を判定する仕組み。ただし最近は,文章中の単語に意図的にスペースを挿入するといった「かく乱戦法」が流行しており,ベイジアン・フィルタの効果は以前より低下している。

 複数の機能を併用すれば,それぞれの弱点を補い合える。ワームが自己拡散のためにバラまくメールなら,メール用のアンチウイルスで検知・駆除。メール・アドレスのアカウント部分(@より前)を手当たり次第に推測して大量の迷惑メールを送りつける「ハーベスト・アタック」には,メールのトラフィックを制限して対処するといった具合だ。こうしたさまざまな迷惑メール対策技術を搭載し,多様な手法で企業に押し寄せる迷惑メールに対応できることが,対策アプライアンスの強みである。

事前準備こそが最大のポイント

 アプライアンスを導入する企業が実施すべき作業は,三つのステップに分かれる。(1)企業に適した迷惑メール対策アプライアンスを選択する,(2)適切なフィルタリング設定をする,(3)正常なメールを迷惑メールと判定する「誤検知」を減らす−−である。まず何より,製品選択のために事前準備が必要だ。ひとくちに迷惑メール対策アプライアンスと言っても,ベンダーにより搭載する機能はまちまち。事前準備をしっかり行ったかどうかが,導入の成否を左右すると言っても過言ではない。

 事前準備として例えば,社員に届く迷惑メールの数やメール・サーバーが受け取るメールのトラフィック量,既存のメール・システムの構成などを把握する必要がある。そこから「迷惑メールにより何人の社員の業務効率が低下しているか」や,「メール・システムに過負荷がかかって危険な状態にあるかどうか」などが判明する。MTA(mail transfer agent)を搭載している製品であれば,手持ちのメール・サーバーを置き換えて使う手もある。迷惑メールのフィルタリング・ルールの設定を社員に任せるか管理者が一括して設定するかも,製品選択に影響する。一人ひとりが専用のブラックリストを作れる製品と,作れない製品があるからだ。

多様化してきたフィルタの特徴を理解する

 各アプライアンス製品が搭載するフィルタにも違いがある。事前準備の段階で迷惑メールの到達パターンを検証し,どのフィルタを使う必要があるかを判断することも重要だ。現在多くの迷惑メール対策アプライアンスが搭載しているフィルタには,「レピュテーション」,「レート制御」,「ベイジアン・フィルタ」,「シグネチャ・マッチング」,「ヒューリスティック分析」などがある(図)。

 数あるフィルタの中でも注目度が高いのが,レピュテーションとレート制御の二つ。レピュテーションは,メール送信元のサーバーの「迷惑メール送信率」を評価してスコア付けし,そのスコアを迷惑メール判定に使う仕組みである。例えば迷惑メール送信の踏み台にされているメール・サーバーはスコアが下がり,それ以外はスコアが高くなる。一方のレート制御は,メールの流量から迷惑メールかどうかを判断する機構。一つのSMTP(simple mail transfer protocol)セッションで送りつけてくるメールの数や,同一のIPアドレスから一定時間でどのくらいの数のSMTPセッションが張られてくるかを監視し,一定量を超えた場合はセッションの確立を制限する。

 これら二つの仕組みを併用しても,それをすり抜けてくる迷惑メールがある。それを検出するのが,メールの本文やヘッダーを検査するベイジアン・フィルタなどの仕組みだ。ただしベイジアン・フィルタは先述した通り,かく乱戦法が登場してきたため,最近はシグネチャ・マッチングやヒューリスティック分析といった手法が支持を集めている。シグネチャ・マッチングは,ウイルス対策製品のパターン・マッチングとよく似た原理。迷惑メールを基に作成したシグネチャを受信したメールと比較する。もう一つのヒューリスティック分析は,ベンダー独自のルールと照合して「迷惑メールらしさ」のスコアを出す方法だ。

最も気を使うのは「誤検知」を減らすこと

 迷惑メール対策ベンダーと,それを企業に構築・導入するインテグレータがともに非常に気を使うのは,迷惑メールではないメールを迷惑と判定する「誤検知」を限りなくゼロに近づけることである。アプライアンス導入企業は,検知率より誤検知率を気にするほどだ。それも無理はない。ビジネス上重要なメールが迷惑メールとして判定されてしまうと,かえって業務に支障が出てしまう。

 ただし誤検知を恐れるあまり,迷惑度の判定基準を緩くするのも考えもの。米サイファートラストの迷惑メール対策アプライアンスの代理店である東京エレクトロンは,「導入当初から誤検知をゼロにするのはかなりの経験を要する」(ソリューション開発グループの城取祐司氏)と話す。検知率と誤検知率はトレードオフの関係にあるため,調整が難しい。

 誤検知は意外と身近なケースで起こる。「業務上必要なメーリング・リストが届かない」のが一例だ。メーリング・リストには,メール本文にWebサイトの宣伝URLが埋め込まれるケースが多い。こうしたURLが,迷惑メールを指すキーワードとして認識されやすいため誤検知が発生する。

 また「メール送信元企業がRBL(realtime blackhole list)に登録されてしまった」というケースも,誤検知の発生原因になりやすい。RBLとは迷惑メール送信元を登録するブラックリストのことで,インターネット上にいくつか存在する。ここに搭載された送信元を迷惑メールの送信元と判断し,受信を拒否する仕組みを,多くの迷惑メール対策製品が実装している。しかしRBLは運用方法がまちまちで,中には詳しい調査もせず,エンドユーザーからクレームがあっただけで送信元を登録してしまうRBLもある。こうしたところに取引先のサーバーが登録されると,ある日突然必要なメールが届かなくなってしまうという事態に発展する。

 このように迷惑メール送信技術の高度化に伴って,それに有効な対策技術もめまぐるしく変わっている。少し前までは有効かつ主力だったベイジアン・フィルタやRBLも,今はその課題が声高に指摘されるほどに変わりはてた。そのため「今,有効な迷惑メール対策技術は何か」といった情報を常にアップデートしていくことも不可欠。迷惑メール対策アプライアンスは「購入・設置すれば終わり」ではない。

(小野 亮,山崎 洋一=日経コミュニケーション

【集中連載 企業を守る 最強の迷惑メール対策】の特集ページはこちらをご覧下さい。

【集中連載 企業を守る 最強の迷惑メール対策】記事一覧
●(1) 企業での対策1−−部分被害は既存システムで対処せよ(11月14日)
●(2) 企業での対策2−−全社的被害はアプライアンスの導入で対抗(11月15日)
●(3) 企業事例−−8万通/日の迷惑メールを撲滅したJALグループ(11月16日)
●(4) プロバイダの取り組み−−「迷惑メール送信行為の阻止」で苦悩(11月17日)
●(5) 個人の対策−−定番メール・ソフトでここまでできる(11月18日)