法人向けメールサービスのアカウント数1000万突破記念に、これまでの思い出を振り返る

2024年07月29日月曜日

【この記事を書いた人】
古賀勇

IIJ ネットワーク本部アプリケーションサービス部所属。メールサービスの運用業務に従事し、日々世界の悪と戦う一児の父親。社内 Power Automate エバンジェリスト(自称)。M3AAWG member / openSUSE Users / WIDE Project メンバー。趣味は大喜利。はがき職人。

「法人向けメールサービスのアカウント数1000万突破記念に、これまでの思い出を振り返る」のイメージ

本日、IIJ からプレスリリースがありました通り、2024年 4月時点で利用されているメールアカウント数の総計が 1000万を突破したことを発表いたしました。法人向けメールサービスでは国内最大規模です。

IIJ の法人向けメールサービスには、次の 3つのラインナップがありますが、これらのサービスの総計になります。

IIJ セキュア MX サービス (企業・官公庁のお客様向け)	2006年サービス開始法人向けのクラウド型統合メールセキュリティサービス (利用者は企業や組織) なりすまし対策はもちろん、企業や組織に求められる情報漏えい対策に加え、お客様のニーズに合わせた多彩なラインナップを高信頼性・高可用性設備で提供
IIJ OEM プラットフォームサービス for Mail (ISP・CATV 事業者向け)	2011年サービス開始メールサービスを低価格で OEM 提供 (利用者は一般消費者) OEM に特化した柔軟なサービス・顧客管理機能を API 提供
IIJ xSPプラットフォームサービス/Mail (大規模 ISP・CATV 事業者向け)	2018年サービス開始大規模事業者に最適なメールシステムを OEM 提供 (利用者は一般消費者) 数百万から数千万アカウントのメール運用にも対応可能なシステム基盤を提供し、高い可用性と事業継続性を確保

IIJ では、1998年にサービスを開始した「IIJ ポストオフィスサービス^(※1)」を皮切りに、当時は珍しかった迷惑メールフィルタや、送信ドメイン認証といった先進的な技術に対応してきました。その後、いくつかのサービスを経て、「IIJ セキュア MX サービス」が誕生しました。

「IIJ セキュア MX サービス」の開始は、本ブログの記事発行時点で 18年前の 2006年。私が 2007年入社ですので、それより前からあります。毎年、堅実にお客様と利用アカウント数を伸ばしている右肩上がりの成長サービスであり、驚くべきことに今もなお成長を続けています。

「IIJ OEM プラットフォームサービス for Mail」と「IIJ xSPプラットフォームサービス/Mail」はインターネットサービスプロバイダ(ISP)や CATV 事業者向けのメールサービスです。一般消費者の方が直接意識することはありませんが、他社様のブランドで提供されるメールサービスでも、じつは IIJ の設備が利用されていることがあります。

電子メールはインターネット初期の頃からあり、今もなおコミュニケーション手段として利用されているアプリケーションです。最近は SNS やチャットツールが登場してコミュニケーションの方法は多様化していますが、「ID としてのメールアドレス」は依然として残っており、仕事でも外部組織とのコミュニケーションにメールは欠かせません。

さて、今回は現行の法人向けメールサービスの中で最も古い「IIJ セキュア MX サービス」の歴史を紐解きながら、設備運用の視点で当時を振り返ってみたいと思います。(私の振り返りコメント・私見は斜体にしています)

IIJ セキュア MX サービスの歴史

2006年
- IIJ セキュア MX サービスが産声を上げる。
- ウイルス対策・迷惑メール対策を標準装備し、インターネットとお客様メールサーバ(オンプレミス)設備の間に位置するゲートウェイ型のサービスとして開始。(受信メールの配送経路は、インターネット → IIJ → お客様メールサーバの順序)
- 追加オプション機能として、メールの証跡保存が可能な「アーカイブオプション」、オンラインストレージ連携が可能な「DOX 連携オプション」、高度な出口対策が可能な「メール監査オプション」を同時リリース。

2020年の平井デジタル改革担当相の会見を発端に、近年、脱 PPAP の流れでオンラインストレージを活用する動きが見られますが、IIJ は 2006年時点からその機能を実装していた諸先輩方の先見の明に驚きを隠せません。

2007年
- 「メールボックスオプション」をリリース。
  ゲートウェイ型ではなく、メールをホスティングする機能をワンストップで提供することが可能に。

私が新卒で入社した年です。当時、アダルトサイトへ誘導する迷惑メールがとても多く出回っていました。そして私の最初の仕事は、迷惑メールフィルタをすり抜け、お客様から未検知として申告された「Join Now!!」なメールをフィルタへ反映するため、ひたすらページを開いて振り分けるという仕事でした。

2008年
- 「送信ドメイン認証技術 DKIM の検証機能」をリリース。
  従来の SPF に加え、受信メールのなりすましメール対策が可能に。
- 「アンチウイルスプラスオプション^(※2)」をリリース。
  標準のウイルス対策エンジンに加えて、別ベンダーによる追加のウイルス対策エンジンを併用することで、より精度の高いウイルス検出が可能に。
- 「メーリングリストオプション」をリリース。
  組織活動をする上で依然として人気の高いメーリングリスト機能をクラウド提供。

新卒入社して 1年が経過し色々な仕事を任されるようになりました。当時はサービスの運用者がサーバのセットアップ、OS のインストール、データセンターへの機材の設置・撤去も担当しており、1人でサーバを抱え、社用車に載せ、データセンターにラッキングする、ということもありました。そして初めての単独の撤去作業、遠隔から指示を受けながらシャットダウンしたのは、地味に生き残っていた NNTP (News) サーバでした。

2009年
- ITR セキュリティ市場調査「SaaS型メールセキュリティ総合セキュリティ市場第1位」を獲得。
- 「送信ドメイン認証技術 DKIM 署名機能」をリリース。
  お客様が送信するメールに DKIM 署名を付与し、メールの信頼性を担保、メール転送時の送信ドメイン認証に対応。
- 「アカウント管理 API 機能」をリリース。
  お客様設備と IIJ セキュア MX サービスとが API 連携することで、管理ポータル画面を開かずにユーザの追加・削除などをワンストップで実現。情シス部門の運用コスト削減が可能に。
- 「添付ファイル暗号化機能」をリリース。

当時、お客様からの強い要望があり、添付ファイル暗号化機能をリリースしました。今風に言えば「自動 PPAP 機能」です。エンジニア視点としては、ウイルススキャンを迂回できてしまうマシーンを作ってしまうことから反対だったのですが、これが大変な人気機能となってしまい、今となっては重大な責任を感じています。

2010年
- ITR セキュリティ市場調査「SaaS型メールセキュリティ総合セキュリティ市場第1位」を獲得。(2回目)
- 「送信一時保留機能」をリリース。
  「送信」ボタンを押したあとに実際のメールの送信を取り消せる、誤送信対策機能を利用可能に。
- サービス品質目標制度(SLO)を開始。
- メールの送受信に IPv6 対応。

この頃、メールにウイルスを添付して大量に送信するバラマキ型の迷惑メールが流行しました。1年ほどしてボットネットが遮断され落ち着くのですが、当時は受信メールのほとんどが迷惑メールだったため、設備の過負荷と戦う毎日でした。また、当時 IIJ 全体として IPv6 対応を推進していたのですが、Web サイト(HTTP 通信)では問題なく利用可能な IPv6 でも、メールサーバとの通信では相互接続性に問題のある動きなども観測され、サービス独自で IPv4 を優先するワークアラウンド(Hack)を入れていたりしました。

2011年
- ITR セキュリティ市場調査「SaaS型メールセキュリティ総合セキュリティ市場第1位」を獲得。(3回目)
- 「メールボックスプラスオプション」をリリース。
  多機能 Web メールを標準装備し、IMAP も利用可能なホスティング機能をワンストップで提供することが可能に。

この時期から、設備に過負荷を与えるレベルの大量の広告メールよりも、偽サイトの URL を記載し、利用者を欺くなりすましメールが目立つようになります。「迷惑メール」が単に迷惑なだけでなく、実際に金銭的被害が出始めるのもこの頃からでした。

2012年
- ITR セキュリティ市場調査「SaaS型メールセキュリティ総合セキュリティ市場第1位」を獲得。(4回目)
- メールボックスプラスオプションにオンラインディスク追加機能、ユーザによるメール転送制限など機能エンハンスを実施。

この時期から「標的型攻撃」が観測されるようになります。従来なら、「大量に同じ内容のメールが送られてくれば、おそらく迷惑メールに違いない」と考えることもできましたが、1通 1通カスタマイズされたものはそうとも限りません。迷惑メールとしての検出の難易度が上がった転換期と言えます。

2013年
- ITR セキュリティ市場調査「SaaS型メールセキュリティ総合セキュリティ市場第1位」を獲得。(5回目)
- メールボックスプラスオプションにパスワード期限設定などの機能エンハンスを実施。
- 「外部クラウド連携機能」をリリース。
  Microsoft 365、Google Workspace のような外部 SaaS との連携機能を強化。大手の SaaS では不十分なセキュリティ機能を補うサービスとして、お客様の柔軟な利用形態に対応。

再び迷惑メールが大量に送信されるトレンドに戻り、「そろそろこの株価が上がるらしい(本文は英語)」のような安直な株価の釣り上げの迷惑メールが流行しました。当時の私も相変わらず誤判定申告を担当しており、こんなメールに騙される投資家なんているのか…? などと思いましたが、実際に株価へ影響を与えたこともあったようです。

2014年
- ITR セキュリティ市場調査「SaaS型メールセキュリティ総合セキュリティ市場第1位」を獲得。(6回目)
- 「アドバンストアーカイブオプション」をリリース。
  従来のアーカイブオプションは容量課金でしたが、容量を無制限とし保存年数課金としたオプションを追加。メールサイズによるコストの変動要素がなくなり、お客様による年度予算策定がより簡単に。
- 「送信ドメイン認証技術 DMARC の検証機能」をリリース。
  RFC7489 (2015年 3月) が発行されるより以前に、強力ななりすまし対策が期待できるとして早期に実装・リリース。
- 「送信側迷惑メールフィルタ」機能をリリース。

米国でなりすましメール詐欺が社会問題となっており、この撲滅に DMARC が効果を上げたのがこの頃です。また ISP 事業者としては、メールサービスのアカウントを乗っ取られ、迷惑メールの送信に利用されてしまう問題にも頭を悩ませていました。この対策として、送信側にも迷惑メールフィルタを掛けられるようにしたのがこの年です。

2015年
- 「スペアメールオプション」をリリース。
  お客様メールサーバの設備メンテナンスや Microsoft 365 の障害時でも、利用者によるメールの送受信が可能に。お客様の事業継続性を強化。
- 2つ目のウイルス対策エンジンを標準機能として追加。
  アンチウイルスプラスオプションと組み合わせることで、3エンジンによるスキャンが可能に。
- 2つ目の迷惑メール対策エンジンを標準機能として追加。
  従来の迷惑メールフィルタに加えて、さらに迷惑メールの検出精度を向上。
- 「サンドボックスオプション」をリリース。
  従来のウイルス対策技術では検出が難しかった、未知のウイルスを挙動ベースで検知することが可能に。
- 「MailTAP (Web メール)」をリリース。
  二要素認証、IP アドレス制限、ログイン時の一斉通知といった企業に求められる機能から、なりすましメールを視覚的に警告したり、メールがどの国から送信されたかを示す国旗が表示される機能、フリーメール警告機能など、セキュリティを重視した設計の Web メールを標準提供(メールボックスプラスオプション利用者のみ)。
- アカウント管理 API に、配送ログダウンロード機能を追加。
  メールの配送記録の取得を自動化し、お客様の SEIM 設備と連携することが可能に。

この時期にランサムウェア(PC のファイルシステムを暗号化してロックし、解除に金銭を要求するウイルス)が流行し始めました。当時マクロ付きの Word・Excel 形式で流入することが多く、企業ではよく使われるファイル形式であったことから、一律にフィルタしてしまうと正規の業務文章も止まってしまうため、迷惑メール対策エンジンのベンダーとともに対策に苦労しました。

2016年
- MailTAP (Web メール) のスマートフォン対応、セーフモード追加、管理者による添付ファイルダウンロード on/off 制御、拡張子注意喚起などの機能エンハンスを実施。
- メール監査オプションをバージョンアップ。マイナンバーの検出に対応。
- 「IIJ Omnibus 連携機能」をリリース。^(※3)
  お客様ネットワークから、IIJ セキュア MX サービスまでの閉域網アクセスを提供、よりセキュアなネットワークを提供可能に。
- 「メール無害化オプション」をリリース。^(※4)
  PDF ファイル等をテキスト形式に変換してから配送し複製配送する機能を提供、自治体や特定業界向けにサービスを提供可能に。

実行ファイルではなく JavaScript でマルウエアをダウンロードし実行する、ドライブバイダウンロード型が流行しました。添付ファイルが JavaScript のためメール自体に有害性がなく、これも検出難易度が上がったと感じたものです。このときも一度に多くの迷惑メールが送信されており、当時の手記で 500万通/日を記録したこともありました。

2017年
- 「脅威メールフィルタ」をリリース。
  ポータル画面とメールサーバを自社開発し、システムを抜本的に刷新。合計 6つの商用エンジン(ウイルス・迷惑メール対策)をアドオンする形で搭載し、他セキュリティベンダーには真似できない ISP ならではの仕組みを構築。
- サンドボックスオプションに検査対象のファイル形式を追加する機能エンハンスを実施。
- MailTAP (Web メール) に添付ファイルダウンロード時ウイルススキャン機能などの機能エンハンスを実施。

複数のウイルス・迷惑メール対策エンジンを搭載したメールサービスはいくつか見かけられますが、ここまで多いエンジンを搭載しているのは世界でも IIJ セキュア MX サービスのみです。また、全エンジンの検知精度を常にモニタリングしており、密にエンジンベンダーともコミュニケーションを取っています。もし、過剰検知・未検知が多いなど検知精度が低下した場合は、IIJ 判断でいつでもエンジンを取り外しでき、他に良いものがあれば追加できる状態にしました。サービス開始から約 10年の経験値を集積した集大成であり、まさに世界最強の迷惑メールフィルタサービスだと自負しています。

2018年
- 脅威メールフィルタに「DMARC チェックフィルタ」の追加、「マクロ除去フィルタ」の追加、ポータル画面のアカウントロック、アクセス制限、イベントログの拡張など数多くの機能エンハンスを実施。
- 「プライベートリレーサーバオプション」をリリース。

迷惑メールフィルタのコア技術要素をすべて自社開発に刷新したことで、お客様の要望をタイムリーに実現することが可能になりました。またお客様には直接見えませんが、運用の改善・モダン化も推進することが可能になりました。

2019年
- 「DMARC レポート解析機能」をリリース。
  宛先のメールサーバから XML 形式で送信される DMARC レポートを自動で集計し、グラフィカルなダッシュボードで統計情報を閲覧・保存できる機能を標準提供。お客様になりすましたメールの流通状況を分析することが可能に。
- 「IIJ ID 連携機能」をリリース。
  IDaaS である IIJ ID と連携し、IIJ セキュア MX サービスとアカウント連携が可能に。
- 脅威メールフィルタの「送信側コンテンツフィルタ機能(監査機能)」の追加、「送信一時保留(誤送信対策)」の追加、イベントログ検索機能などの機能エンハンスを実施。
- 送信ドメイン認証技術 ARC 署名に対応。

じつはお客様には告知していなかったのですが、IIJ セキュア MX サービスは 2019年 3月から全ての受信メールに ARC 署名を施しています。ARC の RFC8617 が発行されたのが 2019年 7月で、その前の年(2018年)に IIJ セキュア MX サービスの開発者が ARC の相互接続試験に参加しました。draft-ietf-dmarc-arc-protocol-19 の「12. Implementation Status」12.15. に IIJ の記録も残っており、国内初の ARC 実装例と思われます。

2020年
- 脅威メールフィルタの隔離メール管理画面に送信ドメイン認証の結果表示機能、送信セキュリティ機能などの機能エンハンスを実施。
- IIJ ID サービス連携機能を強化。
  スペアメールオプション、MailTAP (Web メール) のシングルサインオン(SSO)に対応、ID 管理がより簡単に。
- 誤検知対策として IIJ 独自フィルタを追加。

2019年頃から引き続き Emotet が大流行した年です。当時の様子を本ブログでも公開しました(Emotet の再来に最大限の警戒・対策を – 迷惑メール 2020/2Q レポート)。また、Emotet の感染手法が PPAP と同じであることもあり、冒頭でも書いた平井デジタル改革担当相の会見で、パスワード付き ZIP による添付ファイルのやり取りを省庁内で廃止していく旨のメッセージが発信されました。メールによる添付ファイルのやり取りを再考させる、一つのターニングポイントの年にもなったと言えます。

2021年
- 脅威メールフィルタの管理機能を強化、添付ファイル名の文字コード認識強化などの機能エンハンスを実施。
- メール監査オプションの多言語表記、管理画面のセキュリティ強化に対応。

この年のある時期に「Gmail 宛にメールが届かない」というお問い合わせが増えました。当時、Google からは特にアナウンスなどはされておらず原因不明でしたが、複数の状況から察するに送信ドメイン認証まわりで何かしらのポリシーを強化したと推測されます(SPF や DMARC の宣言がないと受信拒否されるなど)。この時期に限らず、Google は予告なしに何度かポリシーを変更したと思われる動きを見せています。

2022年
- 脅威メールフィルタのウイルス対策に AI 型エンジンを追加。
  ディープラーニング技術を用いた次世代型アンチウイルスエンジンを導入し、未知のウイルス防御をさらに強化。
- メールボックスプラスオプションにメールの自動削除機能を追加、ディザスタリカバリ強化など機能エンハンスを実施。
- DKIM 署名機能を改善。お客様が利用する多くの DNS サーバで利用可能に。

2020年に猛威をふるった Emotet が再燃したり、沈静化したりを繰り返していました。また、添付ファイルではなく偽サイトやマルウエアを配布する URL での攻撃に変化したり、QR コードを添付してスマートフォンなどで読み取らせるよう誘導する迷惑メールも観測しました。

2023年
- DOX 連携オプションの利便性向上とセキュリティ強化に対応。

まだ記憶に新しいこの年の秋、Google・米 Yahoo! が歩調を合わせる形で送信者ガイドラインを発表し、メール業界に衝撃が走りました。当時、ガイドライン違反のメールを受信拒否するようになるまでの猶予は 6か月間とされ、世界中の送信ドメイン認証 DMARC 対応が一気に進みました。この様子を IIR Vol.63 でも報告していますので、あわせてご覧ください。

改めて見直すと、長く色々なことがあったなぁと思い出しました。それくらい IIJ セキュア MX サービスは歴史のあるサービスでもあります。なお、細かな不具合修正やパフォーマンスの強化はここには記載していませんが、お客様が気づかないところで(ご迷惑をお掛けしないように)、都度計画メンテナンスで実施しております。

まとめ

今回は IIJ セキュア MX サービスの歴史を紹介しましたが、ここまで多くのお客様に IIJ のメールサービスをご利用いただけるまでに成長したのは、以上のような先進的な取り組みと、安心して企業活動・組織活動が行えるようサービス開発・運用をしてきたことが評価され続けてきたのかなと考えています。今後も IIJ のメールサービスを利用していて良かった、と思っていただけるサービスが提供できるよう、様々な取り組みをしてまいります。

脚注

1. IIJ ポストオフィスサービスは 24年間続いた後に、2022年にサービスを終了しました。そのときの関連記事を IIR Vol.59 でお読みいただけます。[↑]
2. 後述する 2017年の機能・設備刷新で標準機能として取り込まれ、2018年にアンチウイルスプラスオプションは終了しました。[↑]
3. 利用者数の減少に伴い、本機能の役割を終えたとして 2023年に終了しました。[↑]
4. 利用者数の減少に伴い、本機能の役割を終えたとして 2023年に終了しました。[↑]