深刻とは?
|
最近、通信事業者が提供するマネージドサービスの1つとして、企業向けの「迷惑メール対策」サービスが登場してきた。企業インフラのセキュリティ強化の流れの中で、電子メールの「ウイルス対策」はすでに多くの企業がほぼ常識的に取り組んでいる。一方、迷惑メール対策は、迷惑メールがこれまであくまで「迷惑」程度と認識されており、対策が遅れているのが実情だろう。 しかし、最近では迷惑メールそのものの数が急増しシステムに影響を与え、フィッシング詐欺への誘導メールなど「迷惑」を超えた被害が報告されており、企業が何らかの「迷惑メール対策」を必要とする状況になりつつある。企業のシステム管理者にとって非常に手間が掛かると思われる迷惑メール対策を、通信事業者の「迷惑メール対策」サービスを活用して効果的にアウトソースできるのだろうか。 そもそも、迷惑メール対策とはどのようなものなのだろうか。これまで何の対策も施していない場合には、利用者は受信トレイに迷惑メールを受け取るたびに自分で削除していた。迷惑メールの数が増えてくると、たとえメールの内容を見なくてもこの作業に時間がかかり、さらに必要なメールが多数の迷惑メールの中に埋もれて読むまでに時間がかるなど、業務に悪影響を及ぼしていた。 最近のメールクライアントの多くは基本的な迷惑メール対策機能が付いており、不要なメールのルールを設定することで、不要なメールを迷惑メールトレイやごみ箱に振り分けることが可能だ。しかし、このルールを設定することがかなりの手間と時間がかかり、企業から見れば社員1人1人がこのような作業をすること自体が迷惑メールによる被害の1つとなる。迷惑メール対策とはこのような振り分け作業を自動的に行い社員に負担を掛けないようにすることが基本だ。また、迷惑メールが増えてくると企業のメールサーバの処理に負担が掛かり、最悪の場合はメールサーバがダウンしてしまう危険がある。このような状態になるのを防ぐのも迷惑メール対策の1つだ。 では、通信事業者の提供する「迷惑メール対策」サービスとはどのようなものだろうか。まずはアウトソースの範囲により大きく2つのサービス形態に分けられる(表1参照)。1つはメールサーバ運用そのものをアウトソースして、その中で迷惑メール対策を提供するサービスだ。すでにメールサーバ運用をアウトソースしている企業は多いと思うが、その事業者がサービスをしていれば追加料金を払うだけで迷惑メール対策も行ってくれるようになる。 しかし、これまでアウトソースしていない企業がこの形態を利用するためにメールサーバを移行するのは簡単ではない。それはメールサーバをアウトソースできない理由がある場合が多いからだ。 例えば多くの企業がメールを単なるメールアプリケーションだけで使っていない。スケジュール帳や連絡帳といった社内で共有する情報と連動したアプリケーションの一部として使っている。マイクロソフト社のOutlook 2003などが典型的なアプリケーションだが、メールサーバだけでなくこれらのアプリケーションの運用そのものをアウトソースできるサービスはほとんどない。迷惑メール対策のためにメールサーバそのものを気軽にアウトソースに切り替えることは難しい企業が多いだろう。 「迷惑メール対策」サービスのもう1つの形態は、企業が自社でメールサーバを運用したまま迷惑メール対策だけをアウトソースできるサービスだ。この形態では企業のメールサーバのリレー先、つまりメールの送信先を通信事業者のメールサーバにし、DNSのMXレコード、つまりメールの受信先を通信事業者のメールサーバにするだけで済む。現在、自社でメールサーバを運用している場合でも、ほとんどシステムを変更せずに迷惑メール対策サービスを利用できる。迷惑メール対策をアウトソースするというイメージに近いのはこちらの形態だろう。 現在「迷惑メール対策」サービスを提供している通信事業者は、どちらのサービス形態も提供し、どちらの形態でも「迷惑メール対策」サービスの中身自体は同じようなので、自社に最適な形態を選択できるだろう。ただし、その通信事業者のインターネット接続サービスを利用することが大前提となることに注意しなければならない。 では、本題に戻ると、通信事業者の「迷惑メール対策」サービスの中身は主に以下のとおりである。基本的には受信したメールが迷惑メールかどうかの判定を、迷惑メールのパターンが記録されたデータベースに照会し、迷惑メールである可能性の高いメールを自動的に振り分けることである。振り分け方にもいろいろな方法がある。 1つが迷惑メールである可能性が高いと判定されたメールには、メールの題名に「MEIWAKU」などの迷惑メールであるだろうという警告を付与して配信する方法である。迷惑メールである可能性をパーセントで表示する機能も付けられている。メールクライアントの方であらかじめ題名に「MEIWAKU」が含まれるメールを迷惑メールトレイやごみ箱に振り分ける設定をしておけば、より利用者に負担が掛からず迷惑メールを処理できる。 さらに、迷惑メールである可能性が非常に高いと判定されたメールは、企業のメールサーバへ配信せず通信事業者のメールサーバで削除(ブロック)する、あるいは隔離して一時的に保存する方法が一般的だ。利用者のメールクライアントには迷惑メールは配信されず、必要に応じて通信事業者のサーバ側に隔離されたものは確認することができる。特に、迷惑メールのパターンとして多い、あて先が存在しない大量の迷惑メールを通信事業者のサーバで事前にブロックしてくれるので、企業のメールサーバの処理に影響が出ないというメリットがある。 現在のところ、通信事業者が提供している「迷惑メール対策」サービスの内容は、基本的には上記のとおりでどこもほぼ同じ内容になる。では、サービスを選ぶ際の決め手はどこが違いとなるのか。違いの1つが自動的に行われる迷惑メール判定の精度である。 通信事業者のメールサーバでは受信したメールが迷惑メールかどうか、さまざまな迷惑メールのパターンが記録されたデータベースを照会して判定を行う。このデータベースのパターンの数、パターンの使い方、加えて新たな迷惑メールをパターンに記録するデータベースの更新時間が判定の精度にかかわってくる。このデータベースは通信事業者が保持しているわけではなく、専門の事業者のデータベースに問い合わせる方法を取っている。通信事業者はどこのデータベースを使用しているか公表し、その精度の良さを宣伝しているが、実際にはその精度はなかなか比較できないものだろう。 どのサービスもある程度までの精度を誇るが、表現の仕方が悪いが“クセ”があるようで、受け取る迷惑メールの特徴により精度が異なるようだ。迷惑メールはウイルスと異なりシロかクロかの判断が難しいのが根本的な原因だ。実際には使ってみなければ分からないが、サービスを選ぶ際にこの精度に関しては納得がいくまで説明を受けると良いだろう。また、精度は基本的にはユーザーが報告をすれば上がっていくことが期待できるのも忘れてはならない。 「迷惑メール対策」サービスの料金も大きな違いがないようだ。現在のところサービスの対象となるユーザーアカウントの数で料金が決まる体系を取っているようで、ユーザーアカウント当たりの単価は約200円程度に設定されている。この料金設定が高いか安いかを比較するのは難しいが、本当に迷惑メール対策を必要としている企業が導入に尻込みするような価格帯ではないだろう。ただし、メールアカウント数、つまり社員数が多い企業ほど、迷惑メールの被害が大きいと思われるので、迷惑メール対策のアウトソースの流れを作るためにも今後は大口アカウント契約の大幅な割引などの登場に期待したい。 今後、各社の「迷惑メール対策」サービスの内容の大きな違いになりそうな新しい技術が話題を呼んでいる。それがメールの送信元が実在しているかを確認する技術だ。現在、迷惑メールの多くが身元を隠すために送信元アドレスなどを詐称して送信されている。送信元が実在しているかを確認できるようになれば、受信メールを大きく「送信元が確認できた」と「送信元が確認できず」の2種類に分けることができ、迷惑メールの判定に根本的なルールが導入できることになる。 この送信元を確認する技術は現在のところ2つの方式がある。1つはマイクロソフトが主なプレイヤーである「Sender ID」(参照記事:Sender IDはスパム対策の切り札となるか!?)と呼ぶ技術で、メール受信時に送信元の情報がDNSサーバのIPアドレスに登録されているかを確認することで、送信元が実在するかを証明する技術だ。もう1つがYahoo!が主なプレイヤーである「DomainKey」と呼ぶ技術で、送信時にDNSサーバで公開されている鍵を使った電子署名をメールに埋め込み、受信時にその公開されている鍵を使って確認することで送信元が実在しているかを証明する技術だ。Sender IDの方が仕組みとてして簡単であり実際の導入も先行しているようだ。「迷惑メール対策」サービスへの導入はまだまだ先のようだが、通信事業者によってはすでに自社のユーザーを外部に証明するためにこの技術を導入し始めている。 このメールの送信元を確認する技術の登場により、「迷惑メール対策」サービスをきっかけに新たなアウトソースの方法へ発展する可能性がある。Sender IDなどを使ってメールの送信元の確認をするシステムは企業が自前で導入できる技術である。しかし、こうした技術を導入するとメールサーバやDNSサーバなどの負荷がますます増大するので、迷惑メール対策と一緒に通信事業者にアウトソースする意義が大きくなるだろう。近い将来には企業間のメールは証明されたメールサーバ同士のやりとりしかできなくなるかもしれない。「迷惑メール対策」をきっかけに、いまのうちから企業のメールに関するどの部分を効率的にアウトソースできるかを検討していくことは無駄にはならないだろう。 携帯メールポータビリティは開国を迫る黒船となるか (2007/10/31) 丹後から日本のケータイにもの申す。TANGOメールは携帯電話ネットワークのオープン化への第一歩となるか? 「はてな」を作り出す人的ネットワークの仕組みとは (2007/8/24) 次々とWeb2.0的サービスをリリースするはてな。拡大する組織の中で行われているコミュニケーションのかたちとは? @IT ネットワーク用語辞典 (2007/8/22)ネットワーク管理者のための用語集です。「LAN」や「IPアドレス」といった基本中の基本から、「HTTP」などのプロトコル、「ping」などのコマンドまで、幅広く解説します 正式サービス開始をにらみモバイルWiMAXに熱視線 (2007/8/2) 次世代モバイル通信を支える有力な技術がモバイルWiMAXだ。固定ブロードバンド通信並みのスピードを安価に提供できるとして注目を浴びている ホワイトペーパー利用者に「Amazonギフト券」を抽選で100名様にプレゼント!――TechTargetジャパン リニューアル・キャンペーン |
[ 97] @IT:深刻化する迷惑メール。対策サービスは有効か?
[引用サイト] http://www.atmarkit.co.jp/fnetwork/tokusyuu/29mansv05/01.html
|
IPAトップ>セキュリティセンター>脆弱性関連情報の取扱い>脆弱性の深刻度評価の新バージョンCVSS 情報処理推進機構(東京都文京区、理事長:藤原 武平太、略称:IPA)は、ソフトウェア製品の脆弱性(ソフトウェア等におけるセキュリティ上の弱点)の深刻度評価に採用している共通脆弱性評価システムCVSS(Common IPAは、ソフトウェア製品の脆弱性の深刻度評価を、FIRST(*1)が推進している、共通脆弱性評価システムCVSSを採用しています。 CVSSは、情報システムの脆弱性に対するオープンで汎用的な評価手法で、特定のベンダーに依存しない共通の評価方法として、脆弱性の深刻さを、製品利用者やSI事業者、製品開発者などが、同一の基準の下で定量的に比較できるものです。 IPAでは、脆弱性関連情報の届出受付において、届出られた脆弱性をCVSSを適用して深刻度評価を行っており、脆弱性対策情報の公表ページ(*2)でその評価結果を公表しています。また、2007年4月から公開している脆弱性対策情報データベースJVN 2005年6月に公開されたCVSS v1を各組織が実際の脆弱性へ適用し2年間運用してみると、脆弱性そのものの特性を評価するCVSS基本値(0.0から10.0の範囲に算出される)が特定の値に集中してしまう、また、低めの値を中心に分散してしまう等の課題が報告されていました。 そこで、CVSS v2では、CVSS基本評価基準の全ての組み合わせから算出されるCVSS基本値の出現頻度が、CVSS基本値の中央を中心に分散するように、各評価項目の値や算出式が改善されました。 実際の脆弱性の深刻度分布も、深刻度の評価結果がレベルIIを中心に分散した形となり、CVSS利用者が脆弱性への対応の緊急度を、より迅速に意思決定しやすくなりました。 ・例えば、全てのシステムが停止するようなサービス運用妨害(DoS)、OSコマンド・インジェクション、SQLインジェクション、バッファオーバフローによる任意の命令実行など ・例えば、クロスサイト・スクリプティング、一部の情報が漏えいするようなディレクトリ・トラバーサル、一部のシステムが停止するようなサービス運用妨害(DoS)など 注)CVSS基本値は、脆弱性そのものの特性を同一の基準の下で数値化したものです。各組織の脆弱性への対応は、CVSS基本値に加え、CVSS現状値(攻撃コードの出現有無、対策情報の適用可否など)やCVSS環境値(各組織での対象製品の利用範囲、攻撃を受けた場合の被害の大きさなど)を加味して、製品利用者自身が総合的な評価を行う必要があります。 ■ ソフトウェア等におけるセキュリティ上の弱点の深刻度評価の試行について and Security Teams。コンピュータセキュリティインシデント対応チームフォーラム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをするCSIRT(Computer Vulnerability Database:国立脆弱性データベース)から情報を収集・翻訳し、4月25日に公開を開始しました。公開開始以降、毎月100件程度の情報を新規に登録し、現在、3,986件の累計登録件数となっています。各脆弱性の概要、CVSSによる深刻度、影響を受けるシステム、想定される影響、対策、ベンダ情報などが判りやすく参照できます。また、キーワード、製品別、ID、日付、CVSS |
[ 98] 脆弱性の深刻度評価の新バージョンCVSS v2への移行について
[引用サイト] http://www.ipa.go.jp/security/vuln/SeverityLevel2.html
