「サイバーセキュリティ・テック・アコード」と「グローバル・サイバー・アライアンス」はDMARCを支持している
ワシントンD.C.で最近開催されたイベントでは、グローバル・サイバー・アライアンス(GCA)、サイバーセキュリティ・テック・アコード(CTA)、国土安全保障省(DHS)、および司法省(DoJ)が一堂に会し、オンライン世界の安全確保における電子メール認証の重要性を確認しました。 このイベントは、連邦政府に対しDMARCを含む電子メールおよびウェブセキュリティ基準の採用を指示する拘束力のある運用指令であるDHS BoD 1801の発令から1周年を迎えるタイミングで行われました。
dmarcianの創設者であり、DMARC仕様の主要な策定者の一人であるティム・ドレーゲン氏が、電子メールのセキュリティにおけるDMARCの重要性に関するパネルディスカッションに登壇しました。以下は、同イベントでの氏の発言および質疑応答の内容です。
電子メールのセキュリティを確保する上で、なぜDMARCが重要なのでしょうか?
TD:DMARCの重要性について:DMARCは、電子メールに古くから存在していた問題、すなわち「基本的な身元確認」を解決するものです。DMARCが登場するまでは、あるメールが本物かどうかを判断する統一された方法はありませんでした。
何かが正当なものかどうかを判断する機能を中核に据えていないセキュリティモデルなど、私には想像しがたい。想像力が乏しいせいかもしれないが、メールセキュリティについて議論する上でさえ、DMARC――あるいはメールが本物かどうかを判別する何らかの機能――は不可欠だと考えている。
重要? そうね。でも、そう言うのはなんだか変な感じがする。まるで「飛行機にとって翼は重要だ」と言っているようなものだ。変だよね?
なるほど。では、なぜDMARCはメールセキュリティにおいて重要な役割を果たすのでしょうか?DMARCがなければ、メールの世界は悪質なメールをフィルタリングすることに追われるばかりです。信頼できる基盤となるものが欠如しているだけでなく、フィルタリングによって、概して最も有害なメール以外はすべて排除されてしまいます。その結果、残されたメール――つまり最も有害なメール――は、一般のユーザーが「本物か偽物か」を見極めなければならない状態に置かれてしまうのです。これは実に深刻な状況です!
DMARCの導入により、このモデルは根本から覆されます。悪質なメールをフィルタリングして排除するのではなく、まずは既知の正当なメールを抽出することから始め、残ったメールについては徹底的に精査すればよいのです。DMARCの導入が進むにつれて、残されたメールの中に正当なメールが含まれる割合は徐々に減り、やがては残りのメールをすべて破棄できるようになるでしょう。
最後に一点だけ。参考までに申し上げると、DMARCはメールドメイン(@マーク以降の部分)を基準としています。メールドメインは通常、組織全体で共有されているため、この取り組みの影響範囲は組織全体に及ぶ可能性があります。
DMARCを導入するには、組織は自社のドメインを使用するすべての正当なメールがDMARCに準拠していることを確認する必要があります。 私たちの経験上、DMARCの導入プロセスは、組織のセキュリティ体制を強化する絶好の機会となります。 導入プロセス自体は、それほど技術的なものではありません。DMARCやその基盤となる技術の仕組みについて、インターネット上には誤った情報が多数出回っていますが、ブラックボックスのような自動化ソフトウェアに多額の費用をかけることなく、この技術を適切に管理する方法は存在します。
適切に実施すれば、DMARCの導入は、主にビジネスおよび運用面の整備プロセスであり、次のような多くの有益な成果をもたらします: DMARCへの準拠、ベンダーおよびインフラ管理の改善、組織を代表してメールを送信する方法に関する内部統制、明確に定義されたエスカレーション手順、インターネットドメインなどのオンライン資産を管理するためのフレームワーク、そしてオンラインプレゼンスの運用に伴うリスクを管理するためのツールなどです。 これらはすべて、導入の過程で「思わぬ副産物」として実現されるものです。
先週、業界の同僚から、DMARCは技術仕様書に記されている内容だけを見れば、本来あるべき以上に大きな影響を与えているという話を聞きました。DMARCは、電子メール、インターネットドメイン、コンプライアンス、リスク管理、そしてセキュリティという分野が見事に交差する位置にあるため、この指摘は的を射ていると思います。 GCAが本日公開したような特定のデータ断面を見れば、DMARCのメリットは明らかです。しかし、特定の方法で導入されれば、これらの様々なメリットが相まって、セキュリティ態勢は大幅に向上します。そのため、私の見解では、DMARCは電子メールのセキュリティにとって非常に重要なものだと考えています。
では、課題は何でしょうか?DMARCの導入は拡大し、広く普及しつつあり、さらなる成長の余地も十分にあります。これは単に時間の問題なのでしょうか?
TD:十分な時間があれば、優れたアイデアは実現される傾向にあります。しかし、DMARCの導入は常に、「投資の最小化」と「リターンの最大化」という二つの要素のバランスにかかっています。これらをそれぞれ改善すれば、DMARCの導入は進むはずであり、そのための取り組みも数多く進行中です。このパネルディスカッションの準備を進める中で、ある重要な点が特に際立っていました:
GCAには、導入を支援する優れたツールが揃っています。しかし、一度システムを稼働させてデータが流れ始めると、ユーザーへの手厚いサポートはほとんど提供されません。サポートがないため、ユーザーは何をすべきかを把握するためだけに、調査やベンダーとの打ち合わせ、膨大な量の不要な情報の選別などに、必要以上に多くの時間を費やす羽目になってしまいます。
誰もがただ仕事を終わらせたいだけなのです。
残念ながら、一部のベンダーは、DMARCとは直接関係のない他の商品を販売するための足がかりとしてDMARCを利用しています。また、DMARC導入の重要性を誇張して、ユーザーを独自ソリューションに縛り付けるような製品を売りつけ、自社の企業価値を高めて華々しい売却を目指すベンダーもいます。さらに、時間単位で料金を請求するコンサルタントのような立場を取り、作業を簡素化しようとはしないベンダーも存在します。
どのような作業が必要なのかを把握しようとしている場合、運が良ければDMARCについて学ぶのに膨大な時間を費やすことになりますが、運が悪ければ、甘い話に騙されて、自社の利益にならない作業に過剰な費用を支払ってしまうことになりかねません。
これは大きな課題だと思います。この課題に対処できれば、「投資」の部分を大幅に削減できるでしょう。適切な組織による適切な指導があれば、「リターン」の部分を大幅に押し上げることができるはずです。少ない投資で、はるかに大きなリターンを得られる。つまり、導入が加速するということですよね?
DMARCの普及を促進するには、私たちに何ができるでしょうか?政府による導入義務化でしょうか?それとも、さらなる支援が必要でしょうか?
TD:政府の要件があれば、確かに物事はスムーズに進みます。しかし、支援のない要件というのは、まるで素晴らしい技術を発明しておきながら、それを世に広めるための努力を怠っているようなものです。おそらく、最も難しいのは、普及を促し、物事が動き出すのを待つという長い道のりでしょう。その部分が厄介なのです。
最後に、先ほど大きな課題について触れました。DMARCデータの有効化後に何が起こるかについてのガイダンスを公開することが必要です。共通のガイダンスがあれば、コミュニティのメンバーが協力して独自の導入に取り組むことができ、困難に直面した際には互いに助け合うことができるでしょう。
DMARCとメールセキュリティの将来はどうなるのでしょうか? 添付ファイルを開くことは、いつの日か可能になるのでしょうか? DMARCには含まれていない要素にはどのようなものがあるのでしょうか?
TD:DMARCの未来とは?世界的な普及。インターネットに組み込まれること。
メールセキュリティの未来……メールクライアント――つまり、人々がメールを読むために使うツール――が賢く改良されるまでは、あまり面白くならないと思います。つまり、WebブラウザにはW3Cがあるのに対し、メールの世界には、人々が集まってメールクライアントを全体的に改善するための同様のフォーラムが存在しないということです。これらはDMARCの一部ではありませんが、実際のエンドユーザーがメールを扱うためのより良いツールを手にするまでは、できることには限界があります。少なくともDMARCは、メールクライアントが基盤として活用できるものを提供しています。
オンラインライフを少しでも快適にする取り組みや技術について、その認知度向上に努めてくださっているGCAに感謝申し上げます。DMARCのようなものは製品ではなく、企業の広報やマーケティングチームによる強力な後押しを受けることもありません。情報を発信している企業も一部にはありますが、そうした企業は例外的な存在か、あるいは販売している製品を際立たせるために、特定の角度からしかDMARCについて語らないケースが圧倒的に多いのです。 先ほども述べたように、こうした状況は事態を混迷させます。それに対し、GCAは世界中で、何が可能なのかについて非常に明確なメッセージを発信し続けています。私の立場から見ても、彼らの活動の成果は明らかであり、米国外に出ればなおさらその影響は顕著です。ですから、Global Cyber Allianceに感謝します!
– ティム・ドレーゲン
