導入事例

株式会社インプレス

管理本部業務管理部 部長代行 高橋 康之 氏

迅速で正確な連結会計・連結決算の処理を実現する連結会計システム「iCAS」、情報収集・統合プラットフォーム「iFusion」などの開発、販売を行っている株式会社インプレスでは、Office 365環境でメール誤送信対策・アーカイブの導入を検討していました。今回、ISMSに関連するセキュリティ強化の一環として、同社のメール誤送信対策・アーカイブ導入・選定に至った背景についてお聞きしました。(2013.3.5)

Office 365への移行をきっかけにメールセキュリティ強化を検討

-従来、メールシステムはどのようなものを利用していたのでしょうか?

ISMS認証取得がきっかけです。ISMSは、会社の実情に合わせた形で運用できるので、マネジメントシステムとしては、非常に有効であると感じていました。そのISMSの暗号化要求事項の中で、メールに対する暗号化が求められています。ISMSの審査は2008年夏頃から実施し、2008年11月26日に認定されました。
しかし、当時利用していたASPサービスには、様々な課題がありました。1つがメールの容量が会社全体で10GBしかなかったため、社員数で割ると1名あたり100MB未満になっていたこと、もう1つがモバイル端末との連携が弱く、iPadなどのスマートデバイスからメールを閲覧できなかったことです。
そのため、急遽他のサービスを検討することになり、Office 365を導入しました。完全切り替えが完了したのが2012年12月です。このOffice 365の導入に伴い、従来利用していたグループウェアを変更することになったため、この機会に課題を全て改善することにしました。
その中で改善対象の1つとしてあげられたものが、メールの暗号化です。弊社は、メールで添付ファイルを送信する頻度が高いにもかかわらず、添付ファイルを手作業で暗号化しておりました。しかも、社内の暗号化手順として、送信先に伝える復号パスワードの再チェックが必要なため、送信前に一旦復元して、送信パスワードに間違いがなければ送信するという方法をとっていましたが、この方法は、大変な手間を要するものだったのです。

-メールの暗号化以外で、メールに関わる運用ルールはありましたか?

セキュリティ規則上では、重要な情報はメールでやり取りしないということが原則となっています。やむを得ない場合は、添付ファイルにパスワードを掛けてメールを送信するようにしています。通常、重要な情報は、ファイルの一時保管サービスを利用するようにしています。

マイクロソフト社と連携したクラウドメール誤送信対策

-Office 365と連携可能なクラウドメール誤送信対策は、どのようにリサーチされたのでしょうか?

選定において重要だった点は、まずメール送信時に自動的に暗号化できること。なおかつ、パスワード通知メールでパスワードをWebで表示させるのではなく、メール本文に記載して送信できるということです。弊社では、社外で仕事をしている社員も多く、その中にはWeb環境が近くに無い社員も多数います。そのような環境では、メールしか利用できないので、メールで完結するものでないと、会社からの連絡が行き渡らない可能性がありました。

当初、お付き合いのある会社から2つのメールセキュリティサービスを紹介してもらいましたが、1つは初期費用が高く、もう1つは先程のパスワードをWebアクセスする形で提供していたりしたため、再度検討し直すことになりました。そんな時、ソースポッド様がマイクロソフト社と連携して、Office 365向けのクラウド版メール誤送信対策を提供しているという記事を見つけ、「SPC Mailエスティー」にたどり着き、評価アカウントの発行を依頼させていただきました。

-実際に評価をされて、いかがでしたか?

弊社のメール誤送信対策要件は、全て満たしていました。懸念されていたアーカイブ要件につきましても、当初標準で1年という短い期間から、2012年12月より無期限にアーカイブできるようになったということを受けまして、全て払拭されました。
ASPサービス利用時は、個人に割り当ててられるメールの容量が小さく、またメールをアーカイブする仕組みもなかったため、例えば退職者のアカウントを削除すると、メールも削除されてしまうという課題がありました。Office 365でも退職者のアカウントを削除すると、メールも削除されるという仕様は同じでしたが、訴訟ホールドというオプション機能を利用すれば対応可能となる一方で、高額なランニングコストが発生するという課題がありました。
また、ASPサービス利用時は、利用者本人のみが自身のメールを閲覧できる仕組みで、有事の際に調査することが不可能でした。今回の改善で、緊急時に、管理者や監査人が全体のメールを調査できるものを検討していました。

低価格で無期限アーカイブを実現

-アーカイブ期間は、どのくらいを想定しているのでしょうか?

1年は短いと考えており、やはり最低でも2、3年は必要と考えています。

機密保持などでは、様々なお取引先との契約上は3年を求められるケースも多く、少なくとも3年の保存期間は必要であると考えています。

弊社では、連結決算のパッケージ事業を行っており、金融機関とも取引があります。メールは長期間保持しておかないと、有事の際に対応できなくなってしまいます。

-アーカイブはいつ頃導入されるのでしょうか?

最初に紹介してもらったサービスの1つは、アーカイブ機能が無い割には高額でした。もう1つはアーカイブ機能があり、価格もリーズナブルだったのですが、パスワードをメールで送信することができませんでした。
「SPC Mailエスティー」の場合、アーカイブ機能を含めても一番リーズナブルだったのではないでしょうか。暗号化だけですと、1ユーザー月額100円(税別)ですし、何年もアーカイブする場合、他のサービスと比較してもかなりコストを抑えることができます。

そうですね。長期間アーカイブできるサービスでは、相当安いのではないでしょうか。

導入後の状況

-SPC Mailエスティー導入後、状況はいかがでしょうか?

メールを送信した後、届いているかどうか調査してほしいという要望があり、またセキュリティ上の観点からも、そのようなログを残す必要がありました。「SPC Mailエスティー」では、アーカイブの管理画面より、いつ、誰が、誰宛に、どのようなメールを送信したかが分かるようになっていますので、早めにアーカイブを導入したいですね。

メール運用は、今までルールは作成していましたが、全てが本人の判断と手作業に頼っていました。人間である以上ミスは起こします。今回導入した自動暗号化のように、できる限りシステム化することで、作業漏れを防止することができるようになったのは、非常にありがたいです。
現在、我々が普通に取引先にメールを送信していても、なんら問題ありません。実際にメールを受ける先からのクレームなども一切ありません。
今後は、先程のメール配信時の強制Bccや、メールのアーカイブを導入し、システムを強化することで、よりセキュリティは強固なものになっていくと思います。

-本日は貴重なお時間をいただき、ありがとうございました。
法人概要
法人名 株式会社インプレス
所在地 東京都中央区日本橋人形町2-26-5 NEX人形町ビル5階
事業内容 連結会計ソリューションサービス、会計コンサルティングサービス、
ITソリューションサービス
ご契約数 130アカウント(2013年3月現在)
導入製品

SPC Mailエスティー

SPC Mailエスティー月額100円(税別)から利用できる
クラウドメール誤送信対策

詳細を見る

SPC Mailアーカイブ

SPC Mailアーカイブ月額100円(税別)から無期限、
無制限で利用できるクラウドメールアーカイブ

詳細を見る

SPC Mailエンタープライズ

SPC Mailエンタープライズ企業に必要な全てのメール機能を
リーズナブルに導入できる総合クラウドメール

詳細を見る

SPC Mailオーダーメード

SPC Mailオーダーメードご要件を100%+α満たす、
オーダーメード型クラウドメール

詳細を見る