2027年度の予算にDMARCを組み込むべき理由
今年初め、最新のセキュリティ対策が講じられているにもかかわらず、フィッシング攻撃がなぜ成功し続けているのかについて記事を書きました。今年後半に入り、EMEA地域の各組織は2027年を見据えています。
現在、戦略的優先事項について議論が進められ、予算の見直しが行われています。経営幹部、CISO、ITチームは、今後数年にわたり、リスクを低減し、レジリエンスを強化し、組織の将来への備えを固めるための取り組みを決定しています。
CISOやセキュリティ責任者たちとの最近の議論から、サイバーセキュリティに関する議論が進化しつつあることがうかがえます。こうした見解は、CISOを対象に実施され、「Cyber Ireland」のイベントで発表された最近の調査結果によっても裏付けられています。
EMEA地域におけるサイバーセキュリティ情勢の変遷
調査によると、コンプライアンスやガバナンスに関する懸念は、2025年の38%から2026年には45%へと増加したことが明らかになった。一方、フィッシングによる認証情報の漏洩は、依然として組織が直面する最も重大なリスクの一つであり、同期間に約20%から25%へと増加している。
一方、59%の組織が2026年にサイバーセキュリティ予算が増加すると見込んでいますが、これは前年の68%から減少しており、セキュリティ支出は引き続き増加している一方で、その支出に対する精査も強まっていることを示しています。本イベントと調査結果の両方から得られるメッセージは明確です。すなわち、取締役会や経営陣は、「技術のための技術」という姿勢よりも、レジリエンス、ガバナンス、そして測定可能なリスク低減にますます重点を置いているということです。
DMARCを「やることリスト」に置きっぱなしにしてはいけない理由
こうした背景を踏まえると、DMARCは最優先事項として位置づけられるべきです。長年にわたり、多くの組織が電子メール認証の重要性を認識してきました。DMARCはリスク登録簿に記載され、監査の際に話題に上り、フィッシング攻撃の発生後に議論の対象となってきました。しかし、広く認知されているにもかかわらず、依然として「いずれ取り組むべき課題」というカテゴリーにとどまっていることが少なくありません。
2027年は、その状況が変わる年になるだろう。
実のところ、DMARCの役割はフィッシング攻撃を阻止することだけにとどまりません。電子メールは、組織が顧客、サプライヤー、パートナー、従業員とコミュニケーションをとる上で依然として最も重要な手段であり、ビジネスにおいて不可欠な要素です。同時に、メールボックスプロバイダーは、送信者に対する要件を通じて、信頼性と認証の基準を引き上げ続けています。
DMARCはもはや単なるセキュリティ上の問題ではありません
組織はもはや、信頼できるドメインから送信されたという理由だけで、正当なメールが受信トレイに確実に届くとは想定できなくなっています。つまり、メール認証はもはや単なるセキュリティ上の問題ではなく、ビジネス上の課題となっています。認証が不十分なメールは、配信率に悪影響を及ぼし、顧客エンゲージメントを低下させ、コミュニケーションに対する信頼を損ない、組織全体に不必要な摩擦を生み出す可能性があります。さらに、ドメインの不正使用はブランドの評判を傷つけ、顧客、パートナー、従業員を詐欺の危険にさらす恐れもあります。
NIS2、DORA、および新たな規制への対応
EMEA全域において、こうした課題はますます重要性を増しています。各組織は、変化し続ける規制要件、高まるサプライチェーンのリスク、そしてデジタル信頼に対する期待の高まりに対応しています。NIS2やDORAといった動向により、各組織はサイバーセキュリティのガバナンス、レジリエンス、リスク管理に対して、より体系的なアプローチを取るよう促されています。
取締役会やリスク委員会は、レジリエンス、ガバナンス、リスク低減について、これまで以上に厳しい質問を投げかけています。彼らは、事業目標を支援しつつリスクを低減するための、測定可能な方法を模索しています。こうした状況を踏まえると、電子メールの信頼性とDMARCは、リスク登録簿に盛り込むべき項目です。
電子メールのセキュリティをビジネスリスクとして正式に認識した組織は、DMARCプログラムを成功させるための支持を築くことに成功しています。例えば、ダブリンシティ大学の取り組みは 、電子メールのセキュリティとリスクに関する方針が、組織内の賛同を得て、DMARCの導入を推進する上でどのように役立ったかを浮き彫りにしています 。
2027年までにセキュリティチームに確認すべき7つの質問
- 権限のない第三者が、当社のドメインを使用してメールを送信することは可能ですか?
- 私たちに代わってメールを送信しているサービスをすべて把握しているでしょうか?
- 当社のメール認証に不備があると、配信率に影響が出る可能性はありますか?
- 当社の顧客、サプライヤー、または従業員が、当社のブランドを悪用したなりすまし攻撃の被害に遭う可能性はあるでしょうか?
- 私たちはこのリスクを積極的に低減しようとしているのか、それとも単にその存在を認識しているだけなのか?
- 電子メールの信頼性に関する問題は、依然としてリスク登録簿に記載されたままなのでしょうか、それとも何らかの対策を講じたのでしょうか?
- 2027年にDMARCの導入を成功させるためには、どのような準備が必要でしょうか?
DMARCは、ドメインの不正利用を防ぐのに役立ち、組織の名義でメールを送信しているのが誰であるかを可視化します。また、フィッシング攻撃、詐欺の試み、あるいは情報漏洩の報告において、組織名が関連付けられる可能性を低減することもできます。
重要なのは、DMARCがセキュリティとビジネス成果の両方を同時に向上させることができる数少ない取り組みの一つであるという点です。2027年の優先事項を検討する際、組織は自問すべきです。「メールの信頼性という課題は、依然としてリスク登録簿に残ったままなのか、それとも実際に何らかの対策を講じたのか?」 と。もし ドメイン保護、配信率、ブランドの評判といった課題が、ここ数年未解決のリスクとして残っているのであれば、今こそそれらに対処すべき時です。
DMARCの導入を成功させるには、単に技術的な側面だけでは不十分である
DMARCの導入に成功した組織から得られる最大の教訓の一つは、「人が重要である」ということです。通常、課題はDNSレコードの公開そのものにあるのではなく、自社のメールエコシステムを理解し、正当な送信者を特定し、サードパーティのサービスを管理し、関係者を巻き込み、ビジネス上のコミュニケーションに支障をきたすことなく、DMARCの適用に向けたプロセスを進めていくことにあるのです。
技術も重要ですが、経験こそが肝心です
だからこそ、今日問うべきもう一つの重要な問いは、次の通りです:
2027年にDMARCの導入を成功させるために、今何をする必要があるでしょうか?
ダブリンシティ大学と共催したウェビナーでは、こうしたテーマの多くを取り上げましたが、多くの組織にとって、それはメールサービスの棚卸しを行うことを意味します。また、他の組織にとっては、自組織に代わって誰がメールを送信しているのかを把握することを意味します。さらに多くの組織にとっては、そのプロセスを導き、よくある落とし穴を回避できるよう支援してくれる、経験豊富なパートナーを見つけることを意味します。
AIによってなりすまし攻撃がますます巧妙になり、信頼がビジネス上の貴重な資産としてますます重要になるにつれ、組織には単なるツール以上のものが必要となってくるでしょう。組織には、課題を理解し、他者がその課題を乗り越えるのを支援した経験があり、複雑なプロジェクトを成功へと導ける人材が必要となるのです。
結局のところ、2027年は、貴社がリスク登録簿の不備を解消し、メールの配信率を向上させ、ブランドの評判を高め、なりすましによるリスクを低減し、最も重要なコミュニケーションチャネルの一つであるメールに対する信頼を確立できる年になるかもしれません。2027年は、メールに対する信頼を「容認されるリスク」から「管理可能なリスク」へと転換させるべき年となるはずです。
私たちがサポートします
メールセキュリティのエキスパート集団であるdmarcianは、「ドメインセキュリティを通じて、メールとインターネットをより信頼できるものにする」というミッションを掲げ、お客様の組織のドメイン状況を評価し、長期にわたってDMARCの実装と管理をサポートいたします。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。