メインコンテンツへスキップ
Microsoft 365 および Google Workspace における CISA BOD 25-01 DMARC 要件の理解

Microsoft 365 および Google Workspace における CISA BOD 25-01 DMARC 要件の理解

2025年8月6日
エコシステムニュースセキュリティ・インサイト

「Secure Cloud Business Applications(SCuBA)」プロジェクトの一環として策定された「Binding Operational Directive(BOD)25-01:クラウドサービスの必須構成におけるセキュリティ対策の実施」は、米国連邦文民行政機関(FCEB)におけるMicrosoft 365およびGoogle Workspaceの構成に関するセキュリティ基準を定めています。 

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、SaaS(Software-as-a-Service)へのサイバー侵入や侵害によって露呈したサイバーセキュリティおよび可視性の課題に対処するため、2022年にSCuBAプロジェクトを立ち上げました。その主な目的は、クラウド環境におけるFCEB情報のセキュリティ確保を支援することですが、あらゆる組織がSCuBAを活用してSaaSのセキュリティを強化することができます—CISA

以下は、FCEBに必須であり、すべての政府機関に推奨されるBOD 25-01のDMARC基本設定です:

Microsoft 365 Exchange Onlineの基本構成

Microsoft 365 向けの以下の必須 SCuBA セキュア構成ベースライン(SCB)は、一貫性があり、効果的で、管理しやすいセキュリティ構成を通じて、連邦政府のデジタル資産を保護するのに役立ちます: 

  • 各ドメインに対して、承認されていない送信者からの送信をすべて拒否するSPFポリシー。
  • セカンドレベルドメイン向けのDMARCポリシー(example.comの場合「example」がセカンドレベルドメインです)。
  • 次のようなDMARC適用ポリシー p=reject
  • RUA(集計)レポートに関するDMARCの連絡先は、メールアドレス protected である必要があります。

Gmailの基本設定

同様に、Gmail では以下のSCBが必要です:

  • セカンドレベルドメイン向けのDMARCポリシー。
  • 次のようなDMARC適用ポリシー p=reject
  • DMARCの連絡先RUAレポートには、[email protected]が含まれています。
  • RUAおよびRUF報告書に関する窓口。

影響の拡大:BOD 25-01の義務規定が連邦政府のパートナーおよび電子メール・エコシステム全体に与える影響

「自分は政府機関に所属していないから、こうした基準は適用されない」とお考えでしょうか? もう一度考え直したほうがいいかもしれません。貴組織が連邦政府機関を支援している場合や、公共部門のパートナーと協力している場合、同じ厳格な電子メール認証基準を満たすことが求められる可能性があります。.govで始まるドメインに限定された話ではありませんこれらの要件は、医療、金融、保険などの分野へと急速に拡大していますそして、.govドメインのなりすましが難しくなるにつれ、サイバー犯罪者は防御が不十分な標的、つまり貴組織のような場所へと狙いを移すことになるでしょう。

BOD 25-01 に定められた DMARC 関連の基準は、電子メール・エコシステムにおける送信者への要件と整合しています。現在、Microsoft、Google、Yahoo、Apple などの企業は、送信者に対する認証を義務付けています。BOD 18-01、CMMC、FedRAMP など、多岐にわたり広く普及しているドメインセキュリティに関する指針や推奨事項は、官民双方において電子メールのセキュリティを強化するための協調的な取り組みが進められていることを示しています。

米国政府ドメインにおけるDMARCの導入状況

米国政府ドメインにおけるDMARCの導入状況

BODs18-0125-01などの指令やその他の指針・ガイダンスにより、米国の政府機関ドメインの半数以上は、自ドメインから送信される詐欺メールの被害を受けていません。以下は、調査対象となった 713 の米国政府メールドメインにおける DMARC の導入状況です:     

  • 14%にはDMARCレコードがありません。
  • 5%は、p=none 段階において記録がある。
  • 14%はベストプラクティスに従っておらず、ドメインが危険にさらされたり、可視性が確保されていない状態になっています。
  • 5%が、p=reject直前の段階にあたるp=quarantineというDMARCポリシーを採用しています。
  • 62%p=reject に設定されておりp=reject DMARCが提供する保護機能を最大限に活用しています。

DMARCポリシーの遵守:基本的な手順とよくある間違い

当社のDMARC管理プラットフォームでドメインを処理する過程でDMARCの導入状況を把握したほか、.govドメイン向けにDMARCを導入する担当者にとっての課題点も明らかになりました。 

調査の結果、ドメインの60%でSPFエラーが発生していることが判明しました。SPFレコードの欠落や無効、DNSルックアップの過剰、複数のSPFレコードが存在するといった問題が頻繁に見受けられます。 

SPFのベストプラクティス

正確かつ安全なSPFレコードを公開するために、このガイドラインをご確認ください。

米国政府ドメインにおけるDMARCエラー

必要なRUAレポート用アドレスの欠如も、米国政府のドメインにおいてよく見られるエラーです。RUAレポートは、ドメインの全トラフィックを総括的に把握するためのものです。これがなければ、DMARCレポートは配信されず、ドメインを名乗って送信されている送信元や内容を把握することもできません。また、RUAレポートには、SPF、DKIM、DMARCの認証ステータスも含まれています。以下は、問題のあるレコードを持つ108のドメインにおける詳細なエラー情報です:  

  • 41%にはSPFレコードがない
  • 36%がDMARCレコードに問題を抱えている
  • 15%にSPFレコードの問題がある
  • 4%に無効なSPFレコードがあります
  • 4%で、よく見られる「ルックアップが多すぎる」というエラーが発生している

数字が示すように、米国政府は自国のドメインの保護において進展を遂げており、その大半が p=reject。しかし、SPF、DKIM、DMARCレコードの設定ミスや、CISAの指令およびより広範なドメインセキュリティの推奨事項で規定されているフィッシング攻撃やドメインなりすましからの完全な保護を実現するためのDMARCポリシーの策定において、依然として課題が残っている。

BOD 25-01は連邦行政機関の民間部門に対してのみ措置を義務付けていますが、CISAはすべての関係者にこれらの方針を実施することを強く推奨します。これにより、重大なリスクを軽減し、サイバーセキュリティコミュニティ全体のレジリエンスを強化することができます。—CISA

電子メール業界の標準や要件が非政府組織にも引き続き影響を及ぼしている中、データ漏洩を防止し、そもそもメールが確実に配信されるようにするためには、DMARCをサイバーセキュリティの必須要素として位置づける必要があります。政府機関から連邦政府の契約業者、そして電子メールに依存するあらゆる企業において、セキュリティ対策の実施を公的・民間のガイドラインに沿って行うことは、最も根強い脅威であるメール詐欺からドメインと企業の評判を守る上で役立ちます。

私たちがお手伝いします
dmarcianは、メールセキュリティの専門家チームを擁し、「ドメインセキュリティを通じてメールとインターネットの信頼性を高める」ことを使命としています。私たちは、組織が保有するドメイン群の現状評価から、DMARCの導入、そして長期的な運用管理に至るまで、手厚くサポートいたします。

30日間の無料トライアルを始めましょう

この会話を続けたいですか?dmarcianフォーラムへどうぞ。

アメリカ大陸DMARCDMARCの導入

関連記事