ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJについて
  3. 情報発信
  4. 広報誌(IIJ.news)
  5. IIJ.news Vol.173 December 2022
  6. TOPIC 3 メールセキュリティ IIJセキュアMXサービス(SMX)

イノベーションで振り返る30年 TOPIC 3 メールセキュリティ IIJセキュアMXサービス(SMX)

IIJ.news Vol.173 December 2022

クラウド型統合メールセキュリティサービス「IIJセキュアMXサービス(SMX)」は2006年のリリース以来、業界シェアNo.1を誇っている。
本稿では、SMXが誕生した経緯や、サービス改善の歩みについて紹介する。

プロフィール

IIJ メールセキュリティエバンジェリスト

久保田 範夫

1997年、IIJ入社。米国駐在時にネットワーク、セキュリティサービスの企画・構築・運用を担当。帰国後は、ネットワークインテグレーションを経て、メール部門に異動。SMX誕生時から企画、ベンダ窓口、プリセールス・サポートなど、さまざまなかたちで同サービスに関わり続けている。

米国に飛ばざるを得なかったバグ修正の交渉

―― SMXが生まれたキッカケを教えてください。

久保田:
2000年代初頭は、多くの企業がオンプレミスのメールサーバを自社運用していましたが、ISPやベンダが提供するメールホスティングサービスに移行する企業も出始めていました。
当時、スパムメールがウイルスメールに次ぐ脅威として認識され始めていましたが、従来のメールセキュリティサービスはアンチウイルスにしか対応していませんでした。そこで、アンチウイルスに加えてアンチスパム、メール監査、メールアーカイブなど、複数のニーズを満たす「統合メールセキュリティ」というコンセプトのサービスをつくろうという構想が生まれました。
その頃、アンチスパム関連の技術を持っている企業はごくわずかで、少なくとも日本にはありませんでした。そこで、米国のMX Logic社が開発した技術に着目した社員が、MAAWG*を通してつながりのあった彼らに声をかけました。
そうして、SMX初期のサービス基盤は、MX Logic社のプラットフォーム技術をコアとしながら、それまでIIJが提供してきた他のメール関連サービスの技術を結集して、独自開発して組み上げました。

―― 何か印象に残っていることはありますか?

久保田:
MX Logic社とは不具合改修や新規技術の組み込みなどの話を不定期でしていたのですが、欧米企業らしく同社のエンジニアは「バグを直すより、新機能の実装を優先したい。そのほうが新規顧客を獲得するメリットにつながる」と言うのです。バグは見つけ次第、修正するのが当たり前である我々の感覚は、彼らにはまったく通じませんでした。リモート会議で「こんなバグがあったので修正してくれ」と伝えても、「こちらではそのバグは再現できなかった」と取りあってもらえません。仕方ないので、年に数回、MX Logic社の拠点があったデンバーに開発・運用エンジニアを連れて赴き、バグ修正の交渉をすることにしました。改修してもらうためには、まず再現することが必須なので、出張前日まで確実なバグの再現方法を調査し、飛行機に飛び乗りました。
現地では同じテーブルにエンジニア同士が肩を並べ、1台のノートPCの画面を覗き込み、バグを再現し、隣のPCでソースコードを見て不具合箇所を特定し、その理由を確認しながら改修の約束を取りつけていきました。こうした作業はSMXの品質を向上させるうえで欠かせない仕事でした。

ピンチをチャンスに変えた事件

―― MX Logic社は、その後、McAfee社に買収され、McAfee社はIntel社に買収され、最終的にメールセキュリティ関連製品、サービス開発から撤退しました。そして、IIJはSMXの重要なプラットフォーム部分を自社開発する決断を下しました。

久保田:
事業終了の連絡は、まさに青天の霹靂でした。すぐに使えそうな代替製品はなかったので、SMXのコアである隔離システムを含む各種フィルタやプラットフォームを完全にスクラッチでつくり直すことにしました。
すでに多くのお客さまを抱えていたSMXのユーザインタフェースを含むプラットフォームの全面改修はかなり大きなプロジェクトで、開発・運用メンバーの総力を結集して取り組みました。脅威検知の肝となるアンチウイルス・アンチスパム判定エンジンは、複数のセキュリティベンダの製品を比較検討したうえで、合計6社のエンジンを選択・搭載して「いいとこどり」にしました。
キャリアフリー、ベンダフリーであるIIJの立ち位置を活かすことで、より良いものを自由に採用し、性能に問題があれば搭載をやめたり、他社の製品に組み替えたりするなど、独自の実装が実現しました。特定のセキュリティベンダの判定エンジンだけでは、常に高い品質を保つことはむずかしいので、状況に応じて最善を選択できるSMXは、結果的に大きなアドバンテージを得ることになりました。

米MX Logic社に赴き、エンジニア同士が意見を交わした(2013年)

―― SMXがトップシェアをキープできている理由は何ですか?

久保田:
SMXは自社開発の部分が多いため、日々変化する脅威メールやセキュリティニーズを追い続け、柔軟に対応することが可能です。また、受信方向だけでなく、送信メール監査や情報漏えい対策、PPAP代替といった日本固有の送信方向の機能ニーズにも応えています。また現在、グローバル規模でメールセキュリティサービスを展開しているのは外資系ばかりで、そういった現状もSMXが支持されている一因だと思います。

―― 自社開発のおかげで、トレンドに対して柔軟に対応できる点は大きな強みですね。

久保田:
メールというコミュニケーションツールが脈々と利用されるなか、ウイルスメールに始まり、スパムメール、標的型攻撃メール、フィッシングメール、BEC(Business Email Compromise=ビジネスメール詐欺)など、さまざまな脅威メールが現れました。また、外部からの脅威だけでなく、誤送信問題、証跡保存、コンプライアンス対策といった内部脅威対策など、メールに求められるセキュリティ対策は変化し続けてきました。そうした環境下において自社開発と自社運用が時代のトレンドに合わせてサービスを進化させることができた大きな要因になったと考えています。
SMXにはIIJのさまざまな技術が盛り込まれています。例えば、送信ドメイン認証のプログラムを自社開発してサービスに搭載するだけでなく、オープンソースコミュニティに公開・貢献したり、メールボックス操作プロトコル部分を独自実装したりしてきました。組み替え可能な6社のアンチウイルス・アンチスパムエンジンを実装した、独自アルゴリズムによる多層検知は、既製品を組み合わせるだけでは実現不可能です。
こうしたメールサービスをプロトコルレベルで理解し、開発・運用しながら機能改善していけるエンジニアは業界内でもだいぶ減ってしまいましたが、IIJにはそういうエンジニアがいることも大きな強みだと思います。

* 2004年設立。迷惑メールなど、メッセージングへの脅威に向けた対策技術の推進と情報共有を行なう組織。
IIJは設立メンバーとして日本から唯一参画し、世界的な取り組みや技術をいち早く国内サービスにフィードバックしてきた。12年、名称をM3AAWGに変更。


ページの終わりです

ページの先頭へ戻る