セキュリティベンダーやサービス提供企業による純度の高いセキュリティのリアルイベント「THE SECURITY 2024 JANUARY」が、1月23日にマイナビPLACEで開催された。さまざまなセキュリティ上の課題を解決へと導く講演やパネルディスカッションが展開された同イベントには、日商エレクトロニクス プラットフォーム本部 第二プラットフォーム部 インテグレーション2課 ITスペシャリストの田中 香折氏と、日本プルーフポイント チーフエバンジェリストの増田 幸美氏も登壇。「ポイント解説!Googleのメール配信ポリシー変更による影響とDMARC対応方法」と題し、DMARCをはじめとした送信ドメイン認証が必要とされる背景を改めて説明するとともに、有効な対策について解説が行われた。

  • (写真)セミナー中の様子

    セミナー会場の様子

日本は“DMARC対応後進国”

はじめに登壇した増田氏は、開口一番「ビジネス詐欺メール対策DMARCをご存じですか?」と会場に向けて問いかけた。DMARCは、電子メールに関わる主要な組織によって策定され、2012年2月に発表された送信ドメイン認証技術である。こう問いかけた背景には、各所でDMARCへの対応が強く求められている現状がある。

2023年10月、Googleは新たな迷惑メール対策としてGmailへのメール送信者ガイドラインをアップデートした。その内容は、2024年2月1日よりGmailに1日に5,000通以上のメールを配信する事業者には、DMARCなど送信ドメイン認証の対応が必須となるというものだ。もし送信ドメイン認証に未対応のままでいれば、自社が送信したメールが未配になったり迷惑メールに分類されたりといった影響が発生しかねないのだ。

Googleだけでなく、米Yahooも受信側のスパム対策として一定量のメールの送信には導入を義務化するうえ、政府統一基準においても2024年7月までに政府機関や地方自治体などでの対応が求められている。さらにクレジット会社や流通小売企業などでもDMARCの対応が必須となっているのである。

  • (図版)DMARCについての解説

しかしながら現状を見ると、日本におけるDMARC導入率は60%にとどまっており、主要18か国・地域でも下から4番目という低い水準にある(2023年12月調査/プルーフポイント)。

増田氏は、「DMARC対応において日本はかなりの後進国であると言えるでしょう。60%という数字も、あくまで対応に着手し始めた企業の数であって、有効性のある対応を取っている企業は13%に過ぎません。つまり、ほとんどの日本企業はDMARCに対応できていない、というのが実態なのです」と問題提起した。

Googleの送信者ガイドラインに準拠するために抑えるべきこととは

では、DMARCに対応できていないままでいると何が起きるのだろうか?Googleのメール送信者ガイドラインによると、Gmailでは2024年2月以降、Gmailアカウントに1日あたり5,000件以上のメールを送信する送信者に対し、「送信メールを認証すること」、「未承諾のメールまたは迷惑メールを送信しないようにすること」、「受信者がメールの配信登録を容易に解除できるようにすること」の3つが義務付けられる。これらの要件を満たしていないメールは、配信されなかったり、迷惑メールに分類されたりする可能性があるのだ。

「企業等が導入しているGoogle Workspaceに関しては、一旦対象外とされたものの、今後また対象となる可能性もあるので注意が必要です」(増田氏)

今回のGoogleによる新スパム対策は、まずは大きく1日5,000メッセージ以上かそれ未満かで分けられる。そして1日5,000メッセージ以上の要DMARC対応の企業(大量送信者)に対してGoogleではタイムラインを公開している。

▼2024年2月
この時点で送信者ガイドラインに準拠していない場合、電子メールトラフィックのごく一部で一時的なエラー(エラーコード付き)を受け取り始めるようになるという。これらの一時的なエラーは、送信者がガイドラインを満たしていない電子メールトラフィックを特定し、違反を引き起こす問題を送信者が解決できるようにすることを目的としているという。

▼2024年4月
続いて、準拠していない電子メールトラフィックの一定割合の拒否を開始し、拒否率を徐々に高めていく。たとえば、送信者のトラフィックの75%が要件を満たしている場合、準拠していないトフィックの残りの25%の割合が拒否され始めるということになる。

▼2024年6月1日
ここまでには、すべての商用およびプロモーションメッセージでワンクリック配信停止を実装することが義務付けられている。 「Googleの送信者ガイドライン準拠に当たっては、送信元のドメインまたはIPに、有効な正引きおよび逆引きDNSレコードを設定することがポイントとなります。また、Postmaster Toolsで報告される迷惑メール率を0.3%以上にならないよう、通常は0.1%未満に維持することも目指すべきでしょう」と増田氏はコメントした。

そして大量送信者にとって特に重要事項として、ほとんどの企業が導入済みであるSPFおよびDKIMメール認証のどちらも設定が必要なのに加えて、DMARCのポリシーは“none(監視のみ)”でよいものの、SPFあるいはDKIMドメインと一致している(アライメントをとっている)必要がある点が挙げられる。

「つまり、実質的には“quarantine(隔離)”もしくは“reject(拒否)”で運用しても問題のない、DMARC認証にパスできるレベルにまで到達している必要があるということですので、通常のDMARC運用よりも高いレベルが求められているということになります」(増田氏)

DMARC運用においてよくある課題が、この“none”から先の“quarantine”さらには“reject”へのポリシー移行をどう進めていくかなのだ。

「最初の段階である“none”だけであれば、DMARCの導入は15分で完了してしまうほど簡単です。まずはプルーフポイントのサイトでDMARCレコードをすぐに生成できますので、ぜひご覧いただき、具体的に対応を始めてみてはいかがでしょうか」と増田氏は問いかけて談を後にした。

確実に“reject”までDMARC運用できるサービス

続いて登壇した田中氏は、前述したDMARC導入の最大の壁にして要でもある“reject”への移行をスムーズに行うことができるサービスとして、日商エレクトロニクスが提供する「Proofpoint EFD(Email Fraud Defense) Managed Supportサービス」について解説した。

一般的にDMARCを導入したとしても、DMARCレポートはわかりづらく、また類似ドメインを検知できない、さらにはDMARCポリシーを“none”から変更した場合に正規メールがブロックされてしまう危険性がある、などの課題に直面することとなる。

DMARC運用におけるこれらの課題をすべて解決できるのがProofpoint EFD Managed Supportサービスなのだ。

田中氏は、「Proofpoint EFD Managed Supportサービスを導入いただけば、ユーザー側でのDMARC利用状況の解析・判断は不要になります。毎月発行されるレポートに従って作業を進めることで、スムーズにポリシー設定を“reject”へと移行可能です」と強調した。

たとえば、DMARCレポートの解析・評価については、Proofpoint EFD Managed Supportサービスが状況の解析結果をレポートで提示するのに加え、日商エレクトロニクスのサポートによるレポートの補足も受けられる。チューニングにおいても、Proofpoint EFD Managed Supportサービスの解析結果をもとに、企業の次なるアクションが提示される。そしていよいよDMARCポリシーを“quarantine”や“reject”に切り替える前に、専門のエンジニアと打ち合わせることで、安心して切り替えられるのである。

  • (図版)EFDサービスを利用したp=rejectへの道

前述したように、SPFとDKIMに対応していればDMARCの導入自体はすぐに完了してしまうものの、その後のポリシー設定のチューニングが課題となる。しかしProofpoint EFD Managed Supportサービスを利用すれば、そうした課題をすべて解決することが可能となるのだ。ライセンス・導入費用は、「対象ドメイン数(サブドメインは除外)×ユーザー数」に基づいている。

最後に田中氏は、「確実に“reject”まで運用できるサービスとなっていますので、ぜひご相談ください」と力強く呼びかけてセッションを締めくくった。

多くの来場者が興味関心を寄せた、Proofpoint EFDサービス

田中氏は今回のイベントへの参加について、「まだ世の中にDMARCが十分浸透しているとは言い難い状況です。今回のイベント参加は、DMARCについてより皆様に知っていただく貴重な機会になったのではないでしょうか」と語った。

日商エレクトロニクスは、今回のイベントにブースも出展。多くの来場者が立ち寄り、DMARC 対応についての質問を投げかけたり、Proofpoint EFD Managed Supportサービスについて話を聞いたりしていた。サービスの注目度の高さがうかがえる光景である。

「本当に多くのお客様に講演を聞いて頂き、その上で当社ブースに立ち寄っていただきました。DMARCの詳細な解説については、日商エレクトロニクスのWebサイトやWebinarにて発信しておりますので、今回ご来場いただけなかった方にも、ぜひご覧いただきたいと思います。メール環境に関するご相談は、プルーフポイント社と日商エレクトロニクスに何でもご相談ください」(田中氏)

  • (写真)ブースでの田中氏と増田氏

    (左)日商エレクトロニクス プラットフォーム本部 第二プラットフォーム部 インテグレーション2課 ITスペシャリスト 田中 香折氏
    (右)日本プルーフポイント チーフエバンジェリスト 増田 幸美氏

関連リンク

[PR]提供:日商エレクトロニクス