dmarcianのマーケティング・ディレクターであるジョン・バウアーズは、注意すべき物語を語り、マーケティング部門が組織のIT部門と連携して取り組む必要性を説いている。
マーケティングとドメインセキュリティの交差点は、危険な場所となっています。アメリカの主要な銀行でのアカウント設定を手伝ったばかりの私の十代の息子に対して、わずか6か月足らずで、新しいアカウントの機能を発表するマーケティングメールとテキストメッセージが届きました。SMSとメールの呼びかけは、非常に簡単そうでした:このリンクをクリックしてアカウントにログインし、新しい機能を表示します。
私はその銀行の本店へ行き、SMSとEメールでドメインが偽装されていることを知らせた。私が話した担当者は、首を横に振り、両手を上げて、”止めることはできない “と言った。それは必ずしも私が聞きたかった答えではなかった。特に消費者の信頼問題に取り組んできた銀行からは。
私の話は、サイバー犯罪の数ある事例のほんの一例に過ぎない。サイバー犯罪に対する恐怖や疑念を抱くきっかけとなったエピソードは誰にでもある。ピュー・リサーチ・センターによると、「アメリカ人は個人情報の管理ができなくなったことを恐れており、政府機関や大企業が収集した顧客データを守れるかどうかを心配している人が多い」という。
では、これがマーケティングとどう関係があるのか?
一言で言えば、信頼だ。
あるブランドがビジネスメール詐欺(BEC)に遭い、そのことが知れ渡ると、消費者はその組織に対する信頼を失う。従業員のミスであったり、サーバーの設定ミスであったり、ファイアウォールの不備であったり。理由は何であれ、ネットワークに侵入されると、マーケティングや広報は、積極的なビジネス構築や育成モードから危機管理への転換を余儀なくされる。BECが年々増加しているのは、その規模が大きいためです。電子メールはインターネット上で最大のアプリであり、そのため攻撃ベクトルとして広く普及しています。
マーケティングがますますデータ主導型になり、データ中心のマーケティングキャンペーンに利用できる販促ツールが普及すればするほど、日和見的攻撃や標的型攻撃の土壌は豊かになる。
犯罪者にとって最も収益性の高い攻撃のいくつかの中でも、組織にとって最もコストのかかるものの一つがBEC(ビジネス・メール・コンプロミス)です。財政的なコストの他に、BECはデジタルインフラストラクチャーを妨害する潜在的な可能性を持っており、電力網や病院などの垂直分野で影響を及ぼす可能性があります。あなたが取ることのできる抑止策の一つは、DMARC(ドメイン・ベース・メッセージ・認証・レポート・コンフォーマンス)です。SPF、DKIM、そして積極的なDMARCポリシーをDNSに追加することは、あなたのドメインが乱用される可能性を大幅に減少させます。それが銀の弾丸ではありません(銀の弾丸は存在しません。矢筒が必要です)、しかし、DMARCはドメインと関連するブランドを安全に保つための自明の選択です。
私たちマーケターとしては、メールキャンペーンの技術的な側面とソーシャルエンジニアリングを定期的にレビューするために、より頻繁にITチームと連絡を取るべきです。例えば、ITチームはマーケティングが使用しているメールサービスプロバイダーを知っているべきであり、彼らのアドバイスはエンゲージメント率を向上させるのに役立つ可能性があります。
マーケティング部門とマーケティング・リーダーは、サイバーセキュリティのフロンティアについてもっと学び、IT部門と協力する時期に来ている。今のところ、IT部門と連携するのは、情報漏えいが発生し、謝罪のプレスリリースを作成し、情報漏えい後の「私たちは変わりました」というメッセージを伝える戦術を見つけるために呼ばれた場合だけでしょう。
ここで積極的になろう。最先端のマーケティング・メカニズムやサードパーティ・ベンダーを使った新しいマーケティング・キャンペーンを提案する際には、表面的にはまったくリスクがないように見えても、IT部門に確認し、セキュリティ・チェックを行おう。
サイバー犯罪者にとって、私たちの計算されたマーケティングキャンペーンは標的なのです。組織の縦割りを打破し、企業イメージを守るためにマーケティングが関与する必要があり、それを望んでいることを示す-それがマーケターとしての私たちの仕事です。デジタル媒体、特にEメールに関わる場合は、クリエイティブ・ブリーフのテンプレートに「サイバーセキュリティのレビュー」という項目を追加することを検討しよう。当初は理解しがたい視線を浴び、もしかしたら目を剥かれるかもしれないが、あなたの意図はミッション中心であり、より大きな利益のためである。セキュリティ・プロトコルを業務に組み込み、IT部門と最も緊密な提携を結びましょう。
フィッシング未遂の際、私はその銀行のドメインをチェックしたが、ドメインのセキュリティにギャップがあった。最近再度確認したところ、DMARCレコードがあり、適切なp=rejectポリシーが設定されていた。
また、革新的であるべきであり、目標達成のために新しいリソースを活用する努力も怠るべきではありません。ビッグデータと大規模な情報漏えいの今日、私たちのステークホルダーは、私たちの組織が信頼できることを知る必要があります。デジタル・トランスフォーメーションが進む中、私たちはこれまで以上に信頼と真正性を必要としています。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
無料相談開催中!
出典元