SmartHRがDMARCのポリシーを「reject」に設定するまで
BIMIはGoogleの正式対応開始から1年未満なので、まださほど普及していない。実際にGmailを開いてみても、企業ロゴが表示されるメールは稀だ。BIMIの要件の1つとなるDMARCも未対応が多数派ではないかと推測できる。
少し古いデータとなるものの、IIJが2020年6月に発行したInternet Infrastructure Reviewによると、2020年4月に受信したメールのうちDMARCによる認証結果が「none」の割合は75.4%。まだ多くがDMARCに対応していないことを表す。2021年に進展はあったと推測できるものの、対応済みが多数派になるまでは普及していないのが実状ではないだろうか。
そうしたなか、いち早くDMARCに加えてBIMIにも対応したのがSmartHRだ。人事や労務業務を効率化するSaaSを提供しているIT企業だ。「社会の非合理を、ハックする」と掲げ、既成概念や慣習で形骸化したものを解消していくことをミッションに掲げ、人事・労務担当者だけではなく一人ひとりの生産性向上を目指している。
今ではSmartHRからのメールをGmailやGoogle Workspaceを開くと企業ロゴが表示されるようになっている。SmartHRがDMARCに対応したのが2020年1月。SmartHR セキュリティエンジニア 岩田季之氏は動機について次のように話す。
「メールで大きなインシデントはありませんでしたが、一般的になりすましメールはフィッシングなどの攻撃で使われることがあります。弊社はクラウド人事労務ソフトを提供しているため、個人情報も扱います。そのためセキュリティは特に気をつけています。メールは通常のやりとりだけではなく、パスワードリセットなどのシステムでも幅広く使います。メールのセキュリティ対策を強化することはお客様も自分たちも守ることにつながると考えました」(岩田季之氏)

DMARCを設定するには、事前にSFPとDKIMをセットアップする必要がある。SPFはドメインをベースとしたメールの認証で、正規のメール送信に使われるサーバーのIPアドレスなどをまとめたテキストレコードをDNSに登録する。DKIMは電子署名を認証するもので、鍵の情報を同様にDNSに登録する。SPFとDKIMを用いることで、ドメイン保有者が認めたサーバーから発信されているか、メールで改ざんがないか、メールの信頼性を検証できるようになる。
SPFとDKIMを設定したら、次にDMARCをセットアップする。上記の認証が失敗したメールには「none(何もしない)」、「quarantine(隔離する)」、「reject(拒否する)」のいずれかを設定できる。加えてDMARCでは監視モードを設定すると、ドメインごとのメールトラフィックについてレポートを受信するように設定できる。
これらのセットアップはデジサートや各種サイトに作業手順が記されており、セットアップのサポートを提供する企業もある。岩田氏は前職での経験がありセキュリティに詳しいため、自力でDMARCを設定し、レポート受信用のメールアドレスを用意し、データを可視化するツールで効率的にレポートを確認したという。


実をいうと、DMARCの担当者が大変なのはここからだ。DMARCで不審なメールはすぐに「reject」としたいところだが、現実的にはメールの送信経路は多様化しており、正規となるメールをくまなく把握できているかよく確認しておく必要がある。
今ではメールはオフィス内からだけではなく、オフィス外からも発信できるようになっており、システムから発信するものもある。顧客とのやりとりをアウトソースすることもあれば、マーケティングオートメーションツールもある。メール運用の多様化が進んだ企業ほど、確認に時間や労力を要するという。デジサート林氏によると確認を終えるまで「3年を要した」企業もあるそうだ。
SmartHRが保有するドメインは2つ。岩田氏が半年ほどDMARCレポートを確認することで「もう大丈夫だろう」と判断して、2020年9月にDMARCで認証に失敗したメールのポリシーを「reject」に変えた。