多くの組織にとって、ドメイン・カタログ全体にDMARCを展開することは、多くの課題を伴う可能性がある。そのような課題の1つは、1つまたは複数のドメインに代わって電子メールを送信するすべてのサードパーティサービス(ソースとも呼ばれる)の識別です。当社のDeployment Teamは、ドメインに代わって電子メールを送信するサードパーティサービスのリスク評価、調達、管理を取り巻く強力なプロセスを開発する重要なステップを推奨しています。
DMARCベンダー管理プロセス
組織のベンダー管理プロセスでは、ベンダーの加入、サービスの終了、またはベンダー関係の変更により、ベンダーが組織に代わって電子メールを送信する方法に変化が生じた場合(ベンダーがDMARCをサポートする能力を向上させた場合など)に、DMARC保守の問題を特定することができます。
事業部門の統合
ベンダーマネジメントプロセスは、IT部門内に孤立して存在するものではなく、サードパーティサービスを評価する際に関与する各ビジネス部門に統合されることで、最も効果的に機能する。例えば、契約書の文言を見直し、ベンダが自社のドメインの代わりにメールを送信する場合、DMARCに準拠していることを確認する。サードパーティの情報源に対する組織の透明性は、新しいアプリケーションやドメインの代わりにメールを送信する機能を持つ新しいベンダーのリスクアセスメントを実施する場合に特に当てはまります。明確に定義され、伝達されたプロセスにより、メール配信の問題を未然に防ぐことができます。
このプロセスは、ベンダーのアプリケーションの既存の許可リストと統合されるべきである。サードパーティのメール送信サービスの場合、そのDMARC機能、どのように導入されたか、どの社内アカウント所有者/管理者が責任を負うか、といった具体的な情報を把握することが特に重要になる。
複数のチャネルを関与させる
電子メールはヘルプ/サポート問い合わせの一般的なソースであり、組織内の従業員はヘルプ/サポートデスクにDMARC関連の問題を持ち込むかもしれない。個人がDMARC関連の問題を特定することはまずない(期待すべきではない)。サードパーティ・ベンダーの場合、必要な変更を行ったり、あるいはベンダーのサポート・チャネルに問い合わせるためには、これらのサービスの管理者を巻き込む必要があることが多い。この管理者はIT部門内に存在しないことが多く、ベンダー管理プロセスと透明性が不可欠である理由を示しています。
DMARCを既存のプロセスに合わせる
社内のプロセスをナビゲートすることは、このプロセスを成功させるために適切な人材を確保する上で難しいことです。既存のプロセスにうまく組み込むことができれば、ドメインカタログとDMARCコンプライアンスの継続的な管理と監視は、より確実な概念となるでしょう。
DMARCまたはその関連プロセスの導入と維持についてご質問がある場合は、遠慮なくお問い合わせください。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
無料相談開催中!
出典元
Vendor Management: The Importance of Identifying Third-Party Sources