この1年、バイデン大統領が「国家のサイバーセキュリティ向上に関する大統領令」を発表した後、ゼロ・トラスト・アーキテクチャへの関心が一気に高まった。
この大統領令は、連邦政府機関に対して「ゼロ・トラスト・アーキテクチャを導入する計画を策定する」よう指示している。大統領令は、「ゼロ・トラスト・セキュリティ・モデルは、特定の要素、ノード、サービスに対する暗黙の信頼を排除し、その代わりに、アクセスやその他のシステム対応を決定するために、複数のソースからのリアルタイム情報を介して、運用状況の継続的な検証を必要とする」と指摘している。
ゼロ・トラスト・アーキテクチャが盛り上がりを見せているが、それは一体何なのだろうか?最も単純に言えば、ゼロ・トラストとは、ユーザー、デバイス、ネットワーク、サービス、ソフトウェアが本質的に信頼されるべきではないことを意味する。このモデルでは、特権アクセスと絶え間ない本人確認が必要となる。
巨大なネットワークのネットワークであるインターネットが開発されたとき、ネットワークとそれらと相互作用するデバイス間の接続性に注目が集まった。この相互接続性に主眼を置いたことが、インターネットの大きな強みであり、信頼の領域では大きな弱点であることが判明した。電子メールと同様、この広大なネットワーク網は、サイバー攻撃を阻止するためのネイティブなセキュリティを備えて構築されたわけではなかった。
ドメインベースのメッセージ認証報告と適合性(DMARC)
DMARCの本来のユースケースは、電子メール詐欺に対抗するための身元確認である。DMARCは、ドメインがどのように使用されているかを可視化し、無許可の送信者が組織を代表してメールを送信することを防ぎます。DMARCは権威あるメール配信の基盤であり、メール配信の問題を解決するための最初のステップとなることがよくあります。
歴史的に、メール防御は悪意のあるメールや迷惑メールをフィルタリングすることで成り立ってきました。アンチスパム、アンチフィッシング、アンチBEC、アンチマルウェア、アンチスプーフィングといった最新のメール脅威への対策を提供する巨大な市場が存在する。
DMARCとそれが象徴するゼロトラストの電子メールセキュリティモデルは製品ではない。単にDMARCを購入し、データセンターに設置し、年間ライセンス料を支払うだけではありません。DMARCは、安定した信頼できるドメインレベルの識別子を電子メールにもたらすために、事業者とインターネットがどのように協力できるかを記述した相互運用性のセキュリティ標準である。
コンプライアンスレベルのDMARCでは、SPF、DKIM、DMARCプロトコルによって正当であると明確に認識されない限り、すべてのメール送信サービスや連絡先は信頼できないとみなされる。DMARCを遵守している組織からEメールを受信する人は、このような制御を行うことで、Eメールの送信元を信頼することができます。
DMARCとゼロ・トラストの交差点
ゼロ・トラストが暗黙の信頼を排除し、継続的な検証を必要とするという考え方は、DMARCとゼロ・トラストが交差するところにあります。DMARCは創設以来、ゼロトラストの電子メールセキュリティモデルであり、10年を数える。
DMARCはゼロトラストと統合され、正当なEメールをフロントドアに入れるコントロールとして、人々が本物か詐欺かを判断するために信頼する必要がないようにしています。
なりすまし防止技術としてのDMARCの有用性は、重要な革新的技術に由来しています。事実上、DMARCの約束は、根本的に欠陥のある “悪いメールをフィルタリングする “メールセキュリティモデルを、”良いメールをフィルタリングする “モデルに置き換えることである。
ティム・ドレイゲン、dmarcian創設者、DMARC共同執筆者
電子メールはオンライン詐欺の90%以上に関与する攻撃ベクトルであるため、可視性を提供し、個人を保護し、信頼できるドメインを作成するために、DMARCはゼロトラスト実装の中心でなければなりません。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください