SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

なりすましメール対策 「DMARC」「BIMI」の導入ポイント:SmartHRに訊く


SmartHRがDMARCのポリシーを「reject」に設定するまで

 BIMIはGoogleの正式対応開始から1年未満なので、まださほど普及していない。実際にGmailを開いてみても、企業ロゴが表示されるメールは稀だ。BIMIの要件の1つとなるDMARCも未対応が多数派ではないかと推測できる。

 少し古いデータとなるものの、IIJが2020年6月に発行したInternet Infrastructure Reviewによると、2020年4月に受信したメールのうちDMARCによる認証結果が「none」の割合は75.4%。まだ多くがDMARCに対応していないことを表す。2021年に進展はあったと推測できるものの、対応済みが多数派になるまでは普及していないのが実状ではないだろうか。

 そうしたなか、いち早くDMARCに加えてBIMIにも対応したのがSmartHRだ。人事や労務業務を効率化するSaaSを提供しているIT企業だ。「社会の非合理を、ハックする」と掲げ、既成概念や慣習で形骸化したものを解消していくことをミッションに掲げ、人事・労務担当者だけではなく一人ひとりの生産性向上を目指している。

 今ではSmartHRからのメールをGmailやGoogle Workspaceを開くと企業ロゴが表示されるようになっている。SmartHRがDMARCに対応したのが2020年1月。SmartHR セキュリティエンジニア 岩田季之氏は動機について次のように話す。

 「メールで大きなインシデントはありませんでしたが、一般的になりすましメールはフィッシングなどの攻撃で使われることがあります。弊社はクラウド人事労務ソフトを提供しているため、個人情報も扱います。そのためセキュリティは特に気をつけています。メールは通常のやりとりだけではなく、パスワードリセットなどのシステムでも幅広く使います。メールのセキュリティ対策を強化することはお客様も自分たちも守ることにつながると考えました」(岩田季之氏)

SmartHR セキュリティエンジニア 岩田季之氏
SmartHR セキュリティエンジニア 岩田季之氏

 DMARCを設定するには、事前にSFPとDKIMをセットアップする必要がある。SPFはドメインをベースとしたメールの認証で、正規のメール送信に使われるサーバーのIPアドレスなどをまとめたテキストレコードをDNSに登録する。DKIMは電子署名を認証するもので、鍵の情報を同様にDNSに登録する。SPFとDKIMを用いることで、ドメイン保有者が認めたサーバーから発信されているか、メールで改ざんがないか、メールの信頼性を検証できるようになる。

 SPFとDKIMを設定したら、次にDMARCをセットアップする。上記の認証が失敗したメールには「none(何もしない)」、「quarantine(隔離する)」、「reject(拒否する)」のいずれかを設定できる。加えてDMARCでは監視モードを設定すると、ドメインごとのメールトラフィックについてレポートを受信するように設定できる。

 これらのセットアップはデジサートや各種サイトに作業手順が記されており、セットアップのサポートを提供する企業もある。岩田氏は前職での経験がありセキュリティに詳しいため、自力でDMARCを設定し、レポート受信用のメールアドレスを用意し、データを可視化するツールで効率的にレポートを確認したという。

BIMIのDNS設定
DMARCのDNS設定

 実をいうと、DMARCの担当者が大変なのはここからだ。DMARCで不審なメールはすぐに「reject」としたいところだが、現実的にはメールの送信経路は多様化しており、正規となるメールをくまなく把握できているかよく確認しておく必要がある。

 今ではメールはオフィス内からだけではなく、オフィス外からも発信できるようになっており、システムから発信するものもある。顧客とのやりとりをアウトソースすることもあれば、マーケティングオートメーションツールもある。メール運用の多様化が進んだ企業ほど、確認に時間や労力を要するという。デジサート林氏によると確認を終えるまで「3年を要した」企業もあるそうだ。

 SmartHRが保有するドメインは2つ。岩田氏が半年ほどDMARCレポートを確認することで「もう大丈夫だろう」と判断して、2020年9月にDMARCで認証に失敗したメールのポリシーを「reject」に変えた。

次のページ
DMARCとVMCが揃うと企業ロゴが表示されるBIMIを有効化できる

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15978 2022/05/18 10:12

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング