DMARCは「運用」で停滞する企業が多い、なぜ?
国や業界、サプライチェーンなど各方面から対応が求められているDMARCですが、なりすまし対策として有効である一方、「DMARCを設定して終わり」では効果は安定しません。DMARCは単なる「設定」ではなく、「判断と運用」が問われる対策です。
DMARCには、「none(モニタリングのみ)」「quarantine(隔離)」「reject(拒否)」の3つのポリシーがあります。“none”はDMARCを宣言するのみで、なりすましメールを止める効果はありません。“quarantine”は不審なメールを隔離し、“reject”は受信すること自体を拒否します。ただし、p=noneのままではリスクが残り、rejectへ変更すれば必ず安全になるとも言い切れません。
メールの送信経路や利用サービスは企業ごとに異なり、時間とともに変化します。転送、外部配信サービス、委託配信、複数ドメイン運用などが絡むと、正規メールが届かなくなる可能性もあります。実際にDMARCを強化した結果、重要な通知や顧客対応メールが届いていないことに後から気づくケースもあります。なりすまし対策を強化したつもりが、業務へ影響を及ぼしてしまうのです。これは「強化の副作用」といえます。
また、DMARCで対策できるのはFromドメインのなりすましです。他の表示名詐称などの手法への対策には、BIMIなど追加の取り組みも必要です。
多くの企業で見られる課題は、p=none、quarantine、rejectのどれが自社に適切か、根拠をもって判断できずに運用が停滞してしまうことです。rejectを「正解」と考えて一気に引き上げれば、正規メール不達の懸念が生じます。一方で、不安からp=noneのまま据え置けば十分な効果は得られません。
また、DMARCは「一度決めたら終わり」ではありません。状況を観測しながら、変更するか維持するかを継続的に判断する必要があります。重要なのは、「何となくnone」でも「とりあえずreject」でもなく、理由と根拠をもってポリシーを選択できる状態をつくることです。しかし実際には、DMARCレポートを受信していても読み解けず、判断材料として活用できていないケースが少なくありません。その結果、設定が形骸化し、リスクの見逃しや判断の先送りにつながります。
この記事は参考になりましたか?
- この記事の著者
-
伊藤 利昭(イトウ トシアキ)
Hornetsecurity株式会社 カントリーマネージャー2020年1月に、Hornetsecurity株式会社の前身であるVade Japan株式会社のカントリーマネージャーに就任。クラウドベースのセキュリティ、コンプライアンス、バックアップ、セキュリティトレーニングなどを提供するHornets...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
-
平野 善隆(ヒラノ ヨシタカ)
Hornetsecurity株式会社 プリンシパル メッセージング エンジニアメールセキュリティの専門家として、M3AAWGやJPAAWGなどの業界団体で積極的に活動。講演・セミナーに多数登壇し、最新のAI技術を活用したフィッシング対策や誤送信防止の研究・普及に努める。奈良先端科学技術大学院大学を修...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
