#1034 自治体の DMARC導入、政令指定都市は 7 割

今回は全国の自治体における送信ドメイン認証技術、DMARCの導入状況に関する最新の調査結果について取り上げます。メールのなりすましを防ぐための重要なセキュリティ技術ですが、自治体の規模によって導入率に大きな格差があることが明らかになりました。また、導入はしていても、実際の防御として十分に機能していないケースが多いという運用面の課題も浮き彫りになっています。リスナーの皆さまには、このニュースを通じて、DMARCの基本的な仕組みや、ただ導入するだけではなく、適切に設定を進めることの重要性について理解を深めていただける内容となっております。自社のメール環境を見直すヒントにしてみてください。

GMOブランドセキュリティ株式会社が発表した調査結果によりますと、全国862の自治体のうち、政令指定都市や都道府県では約7割がDMARCを導入しており、対策が進んでいることがわかりました。一方で、東京23区や一般市では導入率が約3割にとどまっており、自治体の規模によるセキュリティ対策の格差が鮮明になっています。これまでの傾向として、大規模な組織から新しいセキュリティ技術の導入が進むことは一般的ですが、社会全体の底上げが急務と言えます。さらに、導入済みの自治体でも、約3割が監視のみを目的とした初期設定のまま運用しており、メールの受信を拒否するなど、より強固な設定へ移行していくことが今後の重要な動向となります。

DMARCは電子メールの送信元が本物であるかどうかを証明し、なりすましメールを防ぐための仕組みです。あらかじめ送信側のドメイン管理者が、正しいメールサーバーの情報をインターネット上に公開しておきます。そして、メールを受け取る側は、その情報と実際に送られてきたメールを照合します。もし、なりすましだと判定された場合、そのメールをどのように処理するかを送信側が指定できるのが特徴です。これにより、組織の名前を騙った詐欺メールが外部に届くのを未然に防ぐことができます。

DMARCには大きく分けて3つのポリシー設定があります。1つ目が記事にあった監視のみを行う設定で、これはなりすましメールを発見しても受信側はそのままメールを通し、送信側にレポートだけを送る状態です。導入の初期段階としては正しいのですが、これだけでは悪意のあるメールを防ぐことはできません。本来は、レポートを分析して正当なメールが影響を受けないことを確認したのち、疑わしいメールを迷惑メールフォルダに隔離する設定や、完全に受信を拒否する設定へと段階を引き上げていく必要があります。

大きな理由の1つは、正規のメールまで誤って隔離や拒否をしてしまうリスクへの懸念です。自治体はさまざまなシステムからメールを送信しており、外部のメール配信サービスを利用しているケースも少なくありません。それらすべての送信元を正確に把握し、正しい認証情報として登録するには、多くの時間と専門的な知識が必要になります。そのため、万が一にも住民への重要なお知らせが届かなくなる事態を恐れて、とりあえず監視のみの設定で足踏みしてしまっているという実態があります。

海外、特に欧米の政府機関では数年前からDMARCの導入が義務化されており、強固な設定まで完了している割合が非常に高いです。日本国内でも、大手企業や金融機関を中心に導入が急加速していますが、中小企業や規模の小さな自治体は人員や予算の不足もあり、取り組みが遅れているのが現状です。最近では大手IT企業が、DMARCに対応していないメールの受信を制限するという厳しいポリシーを打ち出しているため、民間企業はもちろんのこと、行政機関にとっても対応は待ったなしの状況と言えます。

セキュリティ対策はただツールを導入すれば終わりではなく、正しく運用して初めて効果を発揮するというのが最大の教訓です。DMARCの監視設定はあくまで準備段階に過ぎません。導入したことで安心してしまうのではなく、継続的にレポートを分析し、最終的な防御設定まで持っていく計画をあらかじめ立てておくことが重要です。リスナーの皆さまの組織でも、導入状況を確認するだけでなく、現在の設定値がどうなっているのか、次のステップへ進むための障壁は何かを、ぜひ1度見直してみてください。