Digital Arts News Watch

ユーザーが自らメールに対する制御を行える「個人管理画面」

メールの誤送信に起因する情報漏洩事故を防ぐために、誤送信対策製品を導入する企業が増えてきています。このブログをお読みの皆さんの中にも、「既に自社で導入している」「現在、導入を検討している」という方が多くいらっしゃるのではないでしょうか。

しかし一方で、メール誤送信対策といっても、具体的にどうやって誤送信を防ぐのか、なかなかイメージが湧かない方も少なくないでしょう。そこで今回は、弊社のメールセキュリティ製品「m-FILTER」を例に取り、典型的なメール誤送信対策の一端を紹介できればと思います。

「m-FILTER」には、エンドユーザー1人1人に対して「個人管理画面」という機能が用意されています。エンドユーザーは「m-FILTER」にログインして、この個人管理画面にアクセスすることで、「一時保留メール」（「m-FILTER」では「送信ディレイ」メールといいます）や「保留メール」に対してさまざまな操作を行うことができます。

「一時保留メール」とはその名の通り、送信が3分や5分などの一定時間内、保留されているメールのことを指します。「m-FILTER」は、社外に送信するメールをすぐには送らずに、送信後に誤送信に気付いた際に送信を取り消せるよう、一定時間社内に保留します。個人管理画面では、エンドユーザーが自ら送信したメールの送信をキャンセルしたり、急いでいる場合は一時保留されたメールを送信することができるようになっているのです。

「m-FILTER」送信ディレイの利用イメージ

一方、「保留メール」とは、一定時間内保留されたメールとは異なり、上長や送信者自身が承認するまで送信されずに保留されている状態のメールを指します。この保留メールに対しても、「上長承認」の機能を使う場合であればグループ管理者画面という別の画面で操作しますが、送信者自身が承認する「自己承認」の機能を利用する場合には、ユーザー自らが個人管理画面にアクセスし操作する必要があります。具体的には、ユーザーが個人管理画面で送信メールのうち保留中のメールをチェックしてから送信することで、誤送信防止を強化するメリットがあります。

「m-FILTER」自己承認機能の利用イメージ

また「m-FILTER」には、誤送信防止機能だけはなくメールアーカイブ（メール保存・検索）の機能も備わっています。エンドユーザーは、自らが過去に送受信したメールのアーカイブに、やはり個人管理画面を通じて自らアクセスし、任意のメールを検索・参照したりダウンロードすることが可能です。

この機能が威力を発揮する典型的な場面は、エンドユーザーのPCがクラッシュしてしまったケースです。PCにダウンロードしてあったメールが、すべて見れなくなってしまった。しかし、業務は中断させたくない……こういったケースでは通常、システム管理者に連絡してPCを復旧してもらうとともに、メールのアーカイブやバックアップから過去メールを閲覧できるよう、やはり管理者に作業をお願いすることになります。そのため、実際にはメールを再び閲覧できるようになり、業務を再開するまでには、かなりの時間を要します。

しかし、先述の「m-FILTER」の個人管理画面の機能を使えば、エンドユーザーが自ら自身の管理画面にアクセスし、アーカイブの中から保存メールを検索・閲覧したり、PC上に復元させることができます。ユーザーにとってみれば、システム管理者の手を煩わせることなく、自身でその場ですぐメール業務を再開できるため、業務の中断時間を最小限に抑えることができます。

この他にも「m-FILTER」はさまざまな誤送信対策機能やメールアーカイブ活用機能を備えていますが、ここで紹介したようにエンドユーザーが自ら管理画面を通じてメールの制御を行える点は、「m-FILTER」の大きな特徴の1つといえるでしょう。

個人管理画面と主要グループウェア（Office 365/Azure AD等）とのSSO連携が可能に！

さて、この個人管理画面の機能ですが、2016年1月19日にリリースされた「m-FILTER」Ver.4.5では、ユーザーの利便性やセキュリティが大幅に向上しました。SSO（シングルサインオン）機能が追加されたのです。

エンドユーザーが自身の個人管理画面を開く際には、ユーザーIDとパスワードを入力して「m-FILTER」にログインする必要があります。ごく稀にしか個人管理画面を開かないのであれば、これでも問題ないでしょう。しかし、定常的に一時保留メールのキャンセルや即時送信（送信ディレイ機能による誤送信防止）や、保留メールの内容をエンドユーザー自身がチェックし承認する運用（自己承認）を行っている企業では、例えば社外向けメールを送信するたびにログイン操作を行わなくてはいけません。

これはユーザーにとって極めて煩雑であるだけでなく、セキュリティ対策上も問題があります。仮に、ユーザーが他のシステムと同じユーザーID／パスワードを「m-FILTER」個人管理画面ログイン時に利用している場合、どこか1つのシステムでパスワードが漏れると、他のシステムに対するなりすまし攻撃のリスクが一気に高まります。それではと、複数のパスワードを各システムで使い分けるようルールを厳格化すると、今度は複数パスワード管理の手間が増え、ユーザーにとっての利便性が一気に低下してしまいます。

こうした問題を解決するために「m-FILTER」Ver.4.5で新たに搭載された機能が、SSO機能です。
「m-FILTER」Ver.4.5からはSAML認証等の複数認証方式に対応可能です。これにより、主要なIdP（Identity Provider）との連携を行えるため、例えばSAML認証に対応しているグループウェアに一度ログインしていれば、個人管理画面^※1 を開く際にあらためてログインを行う必要がなくなります。実際に某区役所様では、グループウェアのリプレースを機に「m-FILTER」とのSSO連携を実現し、グループウェアのポータル画面からリンクをクリックするだけで、ログイン操作なしで直接「m-FILTER」の個人管理画面を開いて操作する運用を取り入れていただきました。

さらに「m-FILTER」Ver.4.5では、Office 365のSSO基盤であるADFSとの連携も可能になっています。つまり、Office 365かつADFSを導入している企業であれば、ユーザーは一度Office 365にログインすれば、その後はやはり「m-FILTER」へのログイン操作なしで個人管理画面を開けるようになるのです。

「m-FILTER」シングルサインオンのイメージ

ここまでお伝えした運用例に加え、2016年3月23日にリリースされた「m-FILTER」Ver.4.6からはAzure ADにも対応したことで、Azure ADとオンプレミスのActive Directoryを同期させている環境であれば、オンプレミスのADと「m-FILTER」個人管理画面とのシングルサインオンを実現できます。^※2

こうした機能は、一見セキュリティ強化に無関係なもの思われるかもしれませんが、メールセキュリティ対策はITツールを導入すれば終わりではなく、その後それを確実に運用していくことが重要です。そういう意味では、今回紹介したSSO機能のように、エンドユーザーのちょっとした手間を省いてあげることが、実はセキュリティ対策を形骸化させないための重要なポイントになるのです。
＜「m-FILTER」製品担当：三浦＞

• ※1 「m-FILTER」の個人管理画面だけではなく、主管理者画面やグループ管理者画面もSSOに対応しています。
     グループ管理者画面がSSO可能となったことで、上長承認の操作時の手間も軽減されます。
• ※2 「m-FILTER」Ver.4.6からは、対応IdPとしてAzure ADやGoogle Apps for Workも追加されています。

メール誤送信対策には「m-FILTER」をおすすめします。