新ガイドライン制定で求められる技術の変化
新ガイドラインでは、いろいろな技術要素の導入が推奨されたが、一番大きく導入が進んだのはDMARC(Domain-based Message Authentication, Reporting & Conformance)という認証技術だ。DMARCは、送信元の正当性が確認できないメールが送られてきた時に、そのメールをどう処理すべきかというポリシー(拒否/隔離/監視のみ)を、送信元ドメインの正規の管理者自身が指定できる。この技術を使えば、なりすましメールの送信を防ぐことができる。
東氏からは、DMARCの導入率はここ数年で急速に高まり、日本企業では2022年に24%だったのが、2023年12月に60%にまで上昇し、2024年8月では83%だったと報告がなされた。米国の導入率は2024年8月で96%と、日本と大きな差は見られないが、ここで東氏は日米の差を指摘した。「日本のDMARC導入企業の4分の3は、認証に失敗したメールを単に監視するのみです。対して米国は半分以上が拒否と、かなり厳しい対応をしています」(東氏)。
2024年8月の日米企業のDMARCへの対応と、適用ポリシーのグラフ。
日本は「監視のみ(none)」が多いが、米国は半分が「拒否(reject)」
こうした状況と最近の米国の動きから、東氏は「DMARC対応を行ったからといって安心するのは、早計かもしれません」と注意を発した。実は2024年の5月、マイクロソフトからもDMARCに関して強力なポリシーを導入すると発表があったのだ。
「マイクロソフトが強いポリシーを求めた場合、他のメールサービスも同様の対応をする可能性があります。『監視のみ(none)』のポリシーのままだと、突然マイクロソフト宛のメールが届かなくなるかもしれません。今のうちに確実にメール認証ができる状態にしておき、DMARCポリシーも見直しておくことが重要です」と東氏は指摘した。
中井氏も「日本とグローバルの間には、メール認証の対応に大きな差があります。確かに以前は、ポリシーとして『監視のみ(none)』が推奨されていましたが、これは最低限の準備状態に過ぎません。疑わしいメールを確実に排除するには『隔離(quarantine)』や『拒否(reject)』といった強固なポリシーを設定する必要があります」と述べた。
