株式会社インプレス｜SPC Mailエスティー｜導入事例｜株式会社ソースポッド

SPC Mailエスティーは、メール誤送信対策・アーカイブ要件を、全て満たしていました

株式会社インプレス

SPC Mailエスティー

管理本部　業務管理部　部長代行　高橋康之ソリューションサービス事業部　開発グループ　係長　原口善正

迅速で正確な連結会計・連結決算の処理を実現する連結会計システム「iCAS」、情報収集・統合プラットフォーム「iFusion」などの開発、販売を行っている株式会社インプレスでは、Office 365環境でメール誤送信対策・アーカイブの導入を検討していました。今回、ISMSに関連するセキュリティ強化の一環として、同社のメール誤送信対策・アーカイブ導入・選定に至った背景についてお聞きしました。(2013.3.5 ／取材当時における機能や価格などの情報を記載しています。)

Office 365への移行をきっかけにメールセキュリティ強化を検討

－従来、メールシステムはどのようなものを利用していたのでしょうか？

[高橋氏]
10年以上前から外部のASPサービスを利用していました。5年程前からメールの暗号化機能を利用したかったのですが、利用していたASPサービスが対応しておらず、利用者は手作業で添付ファイルを暗号化していました。

－どのような背景でメールの暗号化が必要だったのでしょうか？

[高橋氏]
ISMS認証取得がきっかけです。ISMSは、会社の実情に合わせた形で運用できるので、マネジメントシステムとしては、非常に有効であると感じていました。そのISMSの暗号化要求事項の中で、メールに対する暗号化が求められています。ISMSの審査は2008年夏頃から実施し、2008年11月26日に認定されました。

しかし、当時利用していたASPサービスには、様々な課題がありました。1つがメールの容量が会社全体で10GBしかなかったため、社員数で割ると1名あたり100MB未満になっていたこと、もう1つがモバイル端末との連携が弱く、iPadなどのスマートデバイスからメールを閲覧できなかったことです。

そのため、急遽他のサービスを検討することになり、Office 365を導入しました。完全切り替えが完了したのが2012年12月です。このOffice 365の導入に伴い、従来利用していたグループウェアを変更することになったため、この機会に課題を全て改善することにしました。

その中で改善対象の1つとしてあげられたものが、メールの暗号化です。弊社は、メールで添付ファイルを送信する頻度が高いにもかかわらず、添付ファイルを手作業で暗号化しておりました。しかも、社内の暗号化手順として、送信先に伝える復号パスワードの再チェックが必要なため、送信前に一旦復元して、送信パスワードに間違いがなければ送信するという方法をとっていましたが、この方法は、大変な手間を要するものだったのです。

[原口氏]
セキュリティ規則上では、重要な情報はメールでやり取りしないということが原則となっています。やむを得ない場合は、添付ファイルにパスワードを掛けてメールを送信するようにしています。通常、重要な情報は、ファイルの一時保管サービスを利用するようにしています。

マイクロソフト社と連携したクラウドメール誤送信対策

－Office 365と連携可能なクラウドメール誤送信対策は、どのようにリサーチされたのでしょうか？

[原口氏]
選定において重要だった点は、まずメール送信時に自動的に暗号化できること。なおかつ、パスワード通知メールでパスワードをWebで表示させるのではなく、メール本文に記載して送信できるということです。弊社では、社外で仕事をしている社員も多く、その中にはWeb環境が近くに無い社員も多数います。そのような環境では、メールしか利用できないので、メールで完結するものでないと、会社からの連絡が行き渡らない可能性がありました。

[高橋氏]
当初、お付き合いのある会社から2つのメールセキュリティサービスを紹介してもらいましたが、1つは初期費用が高く、もう1つは先程のパスワードをWebアクセスする形で提供していたりしたため、再度検討し直すことになりました。そんな時、ソースポッド様がマイクロソフト社と連携して、Office 365向けのクラウド版メール誤送信対策を提供しているという記事を見つけ、「SPC Mailエスティー」にたどり着き、評価アカウントの発行を依頼させて頂きました。

－実際に評価をされて、いかがでしたか？

[高橋氏]
弊社のメール誤送信対策要件は、全て満たしていました。懸念されていたアーカイブ要件につきましても、当初標準で1年という短い期間から、2012年12月より無期限にアーカイブできるようになったということを受けまして、全て払拭されました。

ASPサービス利用時は、個人に割り当ててられるメールの容量が小さく、またメールをアーカイブする仕組みもなかったため、例えば退職者のアカウントを削除すると、メールも削除されてしまうという課題がありました。Office 365でも退職者のアカウントを削除すると、メールも削除されるという仕様は同じでしたが、訴訟ホールドというオプション機能を利用すれば対応可能となる一方で、高額なランニングコストが発生するという課題がありました。

また、ASPサービス利用時は、利用者本人のみが自身のメールを閲覧できる仕組みで、有事の際に調査することが不可能でした。今回の改善で、緊急時に、管理者や監査人が全体のメールを調査できるものを検討していました。

低価格で無期限アーカイブを実現

－アーカイブ期間は、どのくらいを想定しているのでしょうか？

[高橋氏]
1年は短いと考えており、やはり最低でも2、3年は必要と考えています。

[原口氏]
機密保持などでは、様々なお取引先との契約上は3年を求められるケースも多く、少なくとも3年の保存期間は必要であると考えています。

[高橋氏]
弊社では、連結決算のパッケージ事業を行っており、金融機関とも取引があります。メールは長期間保持しておかないと、有事の際に対応できなくなってしまいます。

－アーカイブはいつ頃導入されるのでしょうか？

2013年3月中旬以降に、導入する予定です。「SPC Mailエスティー」側では簡単にアーカイブ機能をアドオンできるようなので、早めの導入を想定しています。

－選定時には、価格面も検討されましたか？

[高橋氏]
最初に紹介してもらったサービスの1つは、アーカイブ機能が無い割には高額でした。もう1つはアーカイブ機能があり、価格もリーズナブルだったのですが、パスワードをメールで送信することができませんでした。

「SPC Mailエスティー」の場合、アーカイブ機能を含めても一番リーズナブルだったのではないでしょうか。暗号化だけですと、1ユーザー月額100円（税別）ですし、何年もアーカイブする場合、他のサービスと比較してもかなりコストを抑えることができます。

[原口氏]
そうですね。長期間アーカイブできるサービスでは、相当安いのではないでしょうか。

導入後の状況

－SPC Mailエスティー導入後、状況はいかがでしょうか？

[高橋氏]
メールを送信した後、届いているかどうか調査してほしいという要望があり、。またセキュリティ上の観点からも、そのようなログを残す必要がありました。「SPC Mailエスティー」では、アーカイブの管理画面より、いつ、誰が、誰宛に、どのようなメールを送信したかが分かるようになっていますので、早めにアーカイブを導入したいですね。

[原口氏]
メール運用は、今までルールは作成していましたが、全てが本人の判断と手作業に頼っていました。人間である以上ミスは起こします。今回導入した自動暗号化のように、できる限りシステム化することで、作業漏れを防止することができるようになったのは、非常にありがたいです。現在、我々が普通に取引先にメールを送信していても、なんら問題ありません。実際にメールを受ける先からのクレームなども一切ありません。

今後は、先程のメール配信時の強制Bccや、メールのアーカイブを導入し、システムを強化することで、よりセキュリティは強固なものになっていくと思います。