ワシントン D.C.で最近開催されたイベントでは、グローバル・サイバー・アライアンス(GCA)、サイ バーセキュリティ・テック・アコード(CTA)、国土安全保障省(DHS)、および司法省(DoJ)が一 堂に会し、オンライン世界の安全確保における電子メール認証の重要性を認識した。このイベントは、DMARC を含む電子メールおよびウェブのセキュリティ標準を採用するよう連邦政府 に指示する拘束力のある業務指令(Binding Operational Directive)である DHS BoD 1801 の 1 周年と重なった。
dmarcianの創設者であり、DMARC仕様の主要な作成者であるTim Draegenは、電子メールの安全性確保におけるDMARCの重要性に関するパネルに招待され、講演を行いました。以下は、彼のコメントとイベントで提供された質問に対する回答です。
電子メールのセキュリティを確保する上で、なぜDMARCが重要なのか?
TD:DMARCの重要性について:DMARCは、電子メールに常につきまとう問題、つまり基本的なアイデンティティを解決するものです。DMARC以前は、電子メールが本物かどうかを判断する一貫した方法がありませんでした。
正当か否かを判断する機能を持たないセキュリティモデルを想像するのは難しい。私の想像力不足のせいで、DMARC、つまり電子メールが本物かどうかを見分ける機能は、電子メールのセキュリティについて語るのに必要なものだと思う。
重要?そうだよ。でも、それを言うのは変な感じがする。飛行機にとって翼が重要だと言うようにね。変でしょう?
OK.なぜDMARCが電子メールのセキュリティにとって重要なのか?DMARCがなければ、電子メールの世界は悪いものをフィルタリングすることに行き詰まる。その上に成り立つ良いものがないだけでなく、フィルタリングによって最も有害なもの以外はすべて取り除かれてしまうのです。残ったもの、つまり最も有害なものは、普通の人々が本物かどうかを見極めるために保管されている。これはひどい状況だ!
DMARCを使えば、このモデルはひっくり返ります。悪いものをフィルタリングするのではなく、まずは既知のメールや必要なメールを抜き出し、次に残ったものから自由に精査していきます。DMARCの導入が進むにつれて、残ったメールの山から必要なメールが減っていき、将来的には山ごと捨てられるようになります。
最後にもうひとつ。DMARCは、メールドメイン(@記号以降のすべて)に基づいて制御されます。メールドメインは通常、組織全体で使用されているため、作業範囲が組織全体に及ぶ可能性がある。
DMARCを導入するために、組織はドメインを使用するすべての正当なメールがDMARCに準拠していることを確認する必要があります。私たちの経験では、DMARCを導入するプロセスは、組織のセキュリティ体制を強化する絶好の機会となります。DMARCの導入プロセス自体は、それほど技術的なものではありません。DMARCとその上に構築された技術がどのように機能するかについてのインターネット上の悪い情報の束はさておき、ブラックボックス自動化ソフトウェアに多額の資金を費やす必要のない、技術を管理するクリーンな方法があります。
DMARCの導入が正しく行われた場合、ビジネスおよび運用のクリーンアッププロセスとして、実に多くの素晴らしいことが実現します:DMARCのコンプライアンス、ベンダーやインフラ管理の改善、組織に代わってメールが送信される際の内部統制、明確に定義されたエスカレーションパス、インターネットドメインなどのオンライン資産を管理するフレームワーク、オンラインプレゼンスの運営に関わるリスクを管理するツールなどです。これらはすべて、途中で偶然に導入されるものである。
先週、ある業界の同僚が、DMARCは技術仕様に書かれていることよりもはるかに大きな影響を及ぼしていると言っていた。DMARCは、電子メール、インターネットドメイン、コンプライアンス、リスク管理、セキュリティの交差点に位置するため、これは真実だと思う。今日GCAが発表しているような特定のデータの一部を見て、DMARCの利点を理解することはできる。しかし、特定の方法で展開された場合、さまざまな利点が積み重なり、セキュリティ態勢が大幅に改善される。このことから、DMARCは電子メールのセキュリティにとってかなり重要であると私は考えています。
では、何が課題なのか?DMARCは増加の一途をたどっており、広く導入されている。単に時間の問題なのだろうか?
TD: 十分な時間があれば、良いアイデアは実行に移される傾向があります。しかし、DMARCの導入は常に、投資を最小限に抑え、リターンを増やすという組み合わせで行われてきました。それぞれを改善することで、DMARCの採用は増加するはずであり、そのための継続的な活動が数多くあります。このパネルの準備の中で、ある重要な項目が目につきました。
GCAには、人々が始めるのを助ける素晴らしいツールがある。しかし、一旦GCAを起動し、データが流れ始めると、人々はほとんどガイダンスを得ることができない。ガイダンスがないと、人々は結局、リサーチをしたり、ベンダーと話したり、何をすべきかを理解するためだけに、山のようなガラクタをふるいにかけることに多くの時間を費やさなければならなくなる。
みんな、ただ仕事を終わらせたいだけなんだ。
残念なことに、一部のベンダーはDMARCを足がかりに、DMARCとはまったく関係のないものを売り込もうとしている。他のベンダーは、DMARC導入の側面を誇張し、人々をプロプライエタリなソリューションに閉じ込める製品を販売している。さらに他のベンダーは、時間単位で請求するコンサルタントのようなもので、作業を単純化したがらない。
DMARCについて学ぶのに膨大な時間を費やすことになり、最悪の場合、話に乗せられて自分の利益にならない仕事に過大な費用を支払うことになる。
これは大きな課題だと思う。これをクリアすることは、方程式の「投資」の部分を減らすことに大いに役立つだろう。適切な組織による適切な指導は、方程式の「リターン」の部分を大幅に押し上げる可能性がある。少ない投資ではるかに優れたリターンを得ることができる。つまり、採用が加速するということだ。
DMARCの拡張を支援するには?政府がDMARCの使用を義務付ける?より多くの支援?
TD:政府からの要求は間違いなく物事を加速させる。しかし、サポートのない要件というのは、優れた技術を発明しても、わざわざそれを提唱する必要がないようなものです。難しいのは、擁護して歯車が回るのを待つという長い道のりを歩むことだ。その部分は煩わしい。
最後に、先ほど大きな課題について話した。DMARCデータを有効にした後に何を期待すべきかについてのガイダンスを公表する必要がある。共有または共通のガイダンスがあれば、人々のコミュニティが集まり、互いを助け合いながらそれぞれの展開に取り組むことができる。
DMARCとメールセキュリティの未来は?添付ファイルを開けるようになるのか?DMARCに含まれないパズルのピースとは?
TD: DMARCの未来?世界的な普及。インターネットへの組み込み。
電子メールのセキュリティの将来……私は、電子メールクライアント、つまり人々が電子メールを読むために使うものが、スマートな方法で取り組まれるまでは、あまり面白くならないと思う。つまり、ウェブブラウザにはW3Cがあります。電子メールの世界には、電子メールクライアントを全面的に改善するために人々が集まる同様のフォーラムがありません。これらの要素はDMARCの一部ではありませんが、実際のエンドユーザーが電子メールを扱うためのより良いツールを手に入れるまでは、できることは限られています。少なくともDMARCは、メールクライアントに何かを提供する。
GCAには、オンライン・ライフをより良いものにするための取り組みや技術に対する認識を高める活動をしてもらっていることに感謝したい。DMARCのようなものは製品ではないし、企業のPRやマーケティングチームが後押しすることもない。ニュースを広める企業もあるが、そのような企業は異常であるか、あるいは、DMARCのストーリーを、自社が販売している製品に光を当てるための特定の方法でしか伝えないことの方がはるかに多い。先に述べたように、これは水を濁すことになる。これとは対照的に、GCAは何が可能かについて、世界中で非常に明確なストーリーを語っている。私の席から見ても、彼らの活動のインパクトは明らかで、米国外に出ればなおさらだ。だから、グローバル・サイバー・アライアンスに感謝する!
― ティム・ドレーゲン
パネルの詳細はこちら。
- https://www.globalcyberalliance.org/technology-industry-sets-sights-on-bolstering-email-security/
- https://cybertechaccord.org/cross-sector_efforts_to_improve_email-_security/
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
無料相談開催中!
出典元
The Cybersecurity Tech Accord and the Global Cyber Alliance endorse DMARC