エヌ・ティ・ティ レゾナント株式会社

対象製品： IronPort C-Series

NTTレゾナントの運営するポータルサイト「goo」は、フリーメールサービス「gooメール（www.goo.ne.jp）」をユーザーに提供している。現状のスパムメールのひどさと、その対処方法について、ポータル事業本部の加納勝氏（写真右）と松本博文氏（写真左）に、IronPortによるスパムメール対策の詳細を聞いた。

Q. 現在NTTレゾナント（以下 goo）では、IronPortをどのようにお使いですか。

gooでは、お客様にフリーメールサービス「gooメール」を提供しています。gooメールではスパムメール対策とウイルスメール対策が、ユーザーに無償で提供されます。IronPortは、前者のスパムメール対策を行う機器として使用しています。2004年夏にIronPortの活用を開始し、現在は 15台体制です。

Q. gooメールにおける最近のスパムメールの状況はいかがですか。

ひどい状況です。大量のスパムメールが来ます。gooだけでなく、どこのプロバイダでもスパムメールに悩まされているようで、今やインターネット上を流れるメールの三分の二がスパムメールという試算もあります。スパムメールに対して十分な対策を行なわなければ、ユーザーは離れていくでしょう。

Q. gooには、どれぐらいの量のスパムメールが来ているのですか。

2006年12月現在、gooメールの一日あたりの受信量は1200万通です。スパムメールの受信量も増えた事もあり、ここ3年で3倍に急増しました。かつてはスパムの標的は特定のヘビーユーザーに限られていました。しかし現在ではgooメールを利用しているユーザーのほとんどがスパムを受信しているようです。

Q. gooがスパムメール対策を本格的に始めたのはいつ頃からですか。

2003年の終わり頃からです。その頃から各ISPで、急にスパムメールの量が増え、正規メールの送受信の遅れも頻発するという被害が、顕著になってきました。お客様アンケートからも、スパムメールに不快感を持つ方が多いと分かりました。いずれも解決すべき問題です。そこで、スパムメール対策に本腰を入れることを決めました。当初は、大量のメールを送るIPアドレスやメールアドレスを特定し受信をコントロールする対策を行いました。しかしこのような小手先の対策では、結局スパムメールの圧倒的な量や進化に全く対抗できませんでした。そこで、運用による対処には見切りをつけ、スパムメール対策の専門製品を導入することを決めました。

Q. IronPortを選んだ理由は何ですか。

以下の3点です。

• 検知方式が、学習型（ベイジアン型）でないこと。かつ日本語スパムに対しても十分な検知能力があること
• 十分な処理能力、堅牢性があること
• LDAPの活用によるトラフィック削減効果（＝設備投資削減効果）が見込めたこと

Q. 順々にお聞きします。第一のポイント、｢検知方式が、学習型（ベイジアン型）でないこと。かつ日本語スパムに対しても十分な検知能力があること｣については、具体的には。

学習型（ベイジアン型）は日々チューニングが必要で、スパムメールとの「いたちごっこ」は避けられません。IronPortの検知方式は、シグネチャマッチング、ヒューリスティック解析、メッセージヘッダおよび本文中にあるURLの解析などにより構成されていました。検知精度を上げる為のチューニングも必要なく、楽な運用が期待できました。

※：ベイジアン型とは？
「過去にスパムと判定した結果（基準）を先例として、学習（トレーニング）を繰り返し、スパム検知能力を強化する」方式。この場合、「スパム検知を繰り返す　→　判例が増える　→　スパム検知能力が上がる（賢くなる）」という循環が期待できます。また、ユーザー（システム管理者）から「こんなパターンのメールが来たら、それはスパムと判断しなさい」と指示があった場合は、それも判断基準に加える。ただし、その判断基準の裏をかくようなスパムが現れた場合は、新たな判断基準を教えるまでは、そのスパムを検知できない。つまり、ベイジアン方式の場合、「いたちごっこ」は避けられない。

Q. 第二のポイント、｢十分な処理能力、堅牢性があること｣とは具体的には。

gooメールは、一日の送受信量が1200万通にも及ぶ、大規模なフリーメールサービスです。スパムメール対策システムには、この膨大な送受信量に耐えうるだけの堅牢さが必要でした。上記2点の基準、特に堅牢性の観点から見てIronPortが最も適切であろうと結論されました。またIronPortは、当時すでにISPでの実績を多く有していた点もプラスでした。

Q. 第三のポイント、｢LDAPの活用によるトラフィック削減効果（＝設備投資削減効果）が見込めたこと｣とは。

なお、入り口で｢存在しないアドレス宛メール｣を弾くことには問題もあります。弾くことにより、アカウントの存在/非存在が相手に分かってしまうことです。しかし、IronPortはこれを防ぐ機能「DHA（Directory Harvest Attack）対策」も装備されており、この点も評価できます。以上3点の理由に基づき、2004年夏に導入を決め、以来、2年半に渡り、15台構成で使い続けています。検知精度およびMTAとしての堅牢性については、当初の期待どおりであり、満足しています。

Q. IronPortについての、「使ってみて、初めて分かった予想外の良さ」 などあればお聞かせください。

以下の4つは、使ってみてはじめて実感できた良さです。

• 性能面：IronPort Anti-Spamエンジンの検知率が高い。
• 運用面：自己管理機能が優れている。
• 運用面：システム状態をリアルタイムな監視できる。
• 運用面：トラフィックコントロールに優れている。

Q. 順々にお聞きします。使ってみて分かった良さ、その1、「IronPort Anti-Spamの検知率が高い」については。

IronPortのスパム検知エンジンは当初、定評あるBrightmail Anti-Spamでした。しかし、2006年9月からオリジナルエンジンのIronPort Anti-Spamに変わりました。検知率が下がりはしないかと危惧しましたが、それは杞憂でした。画像スパムのような見つけにくいスパム、日本語スパムのような外国製エンジンが苦手なスパムも、十分に検知しました。

Q. 次の点、「自己管理機能が優れている」とは具体的には。

IronPortには、自分の調子がおかしいことを自分で認識し、そして管理者にそれを通知するという、自己診断機能が備わっています。これが非常に便利。たとえばハードディスクの調子がおかしくなると、IronPortがそのことに自分で気づき、そして「自分、今ちょっと調子おかしいです。もうすぐ壊れるかも知れません」といった旨のメールが届きます。先手、先手で報告があれば、傷が浅いうちに手が打てるので、保守の負担が軽くなります。

Q. 最後の点、｢トラフィックコントロールに優れている｣とは。

IronPortは、トラフィックコントロール、すなわち突発的なトラフィックからシステムを守る能力が高いと考えています。他の製品の場合、正しいメールが届きにくくなったり、効果が薄く、使いにくかったりします。IronPortは、送信元の格付けにより、的確なコントロールができるので、格付けの悪い送信者からの突発的なメールトラフィックを防ぐことが可能です。

Q. ソリトンのサポート力はいかがでしょうか。

さすがにソリトンという「技術の会社」だけあって、様々な問い合わせに対しても、技術的に的確な回答が返ってきます。特にIronPortには、ソリトンのトップエンジニアが配備されていると聞き、心強く思っています。

Q. 今後のソリトンへの期待をお聞かせください。

現状、スパムメール対策については、気苦労がない、心配事がない状況が実現できています。IronPortは、価値ある製品だと実感できます。ソリトンには、今後も高い技術とサポート力でgooメールの円滑運用と顧客満足向上をサポートしていただければと思います。期待しています。

お忙しい中、有り難うございました。

※ エヌ・ティ・ティ レゾナント株式会社（goo）のWebサイト
※ 取材日時 2006年12月