DMARCの適用が義務付けられたニュージーランド政府のセキュアメールフレームワーク
お知らせ:2025年11月25日より、dmarcianはニュージーランド政府マーケットプレイスに正式に掲載されました。これにより、公共機関は調達プロセスを効率化すると同時に、ニュージーランド政府セキュア・フレームワーク(SGE)への準拠に向けた取り組みを進めることが可能となります。当社の現地チームが、要件の遵守と顧客の信頼維持に向けて、皆様を全面的にサポートいたします。
ニュージーランド(NZ)政府は、公共部門の各機関における電子メールのセキュリティを強化することを目的とした包括的な枠組み「Secure Government Email(SGE)」を導入しました。この新しい枠組みでは、フィッシング、スプーフィング、不正利用から電子メールシステムを保護するための技術的指針や、DMARCなどのベストプラクティスが示されています。
発表文の閲覧やフレームワークの確認は こちら。
「セキュアな政府用電子メール・フレームワーク」が重要な理由
SGEフレームワークの目的は以下の通りです:
- 外部との電子メール通信のセキュリティを強化する
- ドメインなりすましやフィッシングのリスクを軽減する
- 2026年までに、従来のSecure Encrypted Email(SEEMail)を段階的に廃止する。
ゲートウェイベースで独自仕様のSEEMailとは異なり、SGEフレームワークはオープンスタンダードを採用しているため、ニュージーランドのすべての政府機関が利用可能です。この移行は、電子メールセキュリティインフラの近代化に向けた政府の取り組みを如実に示しています
フレームワークにおけるメールセキュリティの基本基準
SGEフレームワークは、最新の電子メールセキュリティプロトコルを実装するための具体的な推奨事項を示しています:
- 送信中のセキュリティ
TLS、MTA-STS、TLS-RPTなどの暗号化規格を導入し、送信中の電子メールを保護します。 - メッセージの完全性
DKIM(DomainKeys Identified Mail)を使用して、電子メールにデジタル署名を施し、メッセージの完全性を検証します。 - 送信者認証
SPF(Sender Policy Framework)を適用し、承認されたサービスのみがドメインを代表してメールを送信できるようにします。 - なりすまし対策
不正なメールをブロックするために、「reject」ポリシーを設定したDMARC(Domain-based Message Authentication, Reporting and Conformance)を導入してください。
DMARCの適用が義務化されました
このフレームワークの重要な要素は、メール機能を持つすべてのドメインに対して、 DMARCポリシー に設定されたDMARCポリシー p=rejectに設定されたDMARCポリシーを導入することです。
このポリシーは、認証チェックに失敗したメールを受信サーバーが拒否するよう指示するため、ドメインなりすましやフィッシング攻撃のリスクを低減する上で極めて重要です。
メール環境を良好に保つため、このフレームワークでは以下の事項も求めています:
- DMARCの定期的なレポート
- 分析中
- 問題が発生した場合は速やかに是正措置を講じる
ニュージーランド政府によるDMARCの導入
調査対象となったニュージーランド政府の電子メール対応ドメイン468件のうち、44%が以下の強制ポリシーを導入していました。 p=quarantine または p=rejectという強制ポリシーが設定されていましたが、過半数にあたる56%はDMARCの基本的な防御機能によって保護されていません。以下に調査結果の全容を示します:
- 17%はDMARCレコードを持たず、ドメインのセキュリティを確保するために必要な可視性を欠いています。
- 39%は、DMARC導入の開始を示す「p=none」監視フェーズにおいて記録を残しています。
- 14%が、次のようなDMARC適用ポリシーを採用しています。 p=quarantineを採用しており、これは p=rejectに続く、その一つ手前の段階である。
- 30%が p=reject の適用ポリシーを採用しており、DMARCが提供する保護機能を最大限に活用しています。
「SGEフレームワークの期限まであと3か月となった今、各機関が導入に着手している兆候がもっと見られると思っていた」と、オーストラリアを拠点とするAPACビジネスユニットディレクターのタス・カルフォグルーは述べる。 「DMARC導入の初期段階では、ドメインリストを整理し、レポート機能を設定すべきです。この基礎的なステップを踏むことで、必要な作業の範囲を明確に定義できます。また、早期に着手することで時間的余裕が生まれ、ミスのリスクを低減できるほか、包括的なデータ履歴を構築できるため、DMARCの強制適用に移行する段階になった際に、より確かな自信を持って臨むことができます。」
調査対象のドメインのうち、12%でDMARCレコードに問題が見られました。その内訳として、DMARCレポートの中核となるRUAタグが欠落しているものが7%を占めています。RUAタグは、DKIMやSPFの認証結果とともにドメインのトラフィック状況を包括的に把握できる集計レポートの受信先メールアドレスを指定するものです。 ドメイン所有者は、少なくともRUAレポートを受信できるようDMARCレコードを設定すべきです。そうしなければ、受信メールサーバーが生成する貴重なXMLレポートが無駄になり、ドメインで何が起きているのか把握できなくなってしまいます。
ドメインの20%でSPFレコードに関する問題が確認されました。ニュージーランド政府のドメインで最も多く見られた問題は、SPFレコードの欠如、DNSルックアップの過剰、および構文エラーでした。
「当社の監査で特定されたエラーや警告は、通常は簡単に解決できるものですが、専用のDMARC管理ソリューションがなければ見落とされがちです」とタス氏は続けます。「当社のプラットフォームは、お客様のメールインフラを包括的に可視化し、こうした設定ミスを即座に把握できるようにします。これらの警告の中には、 p=reject ポリシーが適用されている場合でも、システムを脆弱な状態にさらす可能性があります。」
政府機関にとってこれは何を意味するのか
2026年までに、各機関はSEEMailを廃止し、SGE準拠モデルへ完全に移行しなければならない。この移行は、プロプライエタリなシステムに依存することなくセキュリティを向上させる、拡張性のあるオープンスタンダードなソリューションを採用するという、ニュージーランド政府の広範な取り組みを反映したものである。
多くの代理店にとって、これには既存のメール設定やサードパーティ製サービスの連携体制の抜本的な見直しが必要となります。早期に対応した代理店は、フィッシングやなりすまし攻撃のリスクを軽減できるだけでなく、業務に支障をきたすことなくコンプライアンスの期限に間に合わせるための体制を整えることができます。また、先手を打って導入を進めることで、社内の体制整備や、その他のデジタルトランスフォーメーションの取り組みとの連携に充てる時間を確保することも可能になります。
「DMARCの導入が義務付けられている環境での経験から、コンプライアンス達成に向けた土壇場の駆け込み対応が起きると予想されます。自発的に取り組むことと、強制されて取り組むことには明らかな違いがあります。個々の担当者は、この作業の重要性を十分に理解していない可能性があり、あるいは期限内に完了させるために必要なリソースが不足しているかもしれません。」
—タス・カルフォグルー、dmarcian APACディレクター
dmarcianがどのように役立つか
DMARCの導入および管理におけるリーダーとして、dmarcianは、ニュージーランドの各機関がこれらの新たなメールセキュリティ要件を満たすための支援を行う上で、他に類を見ない強みを持っています。
当社のプラットフォームおよびサービスには、以下のものが含まれます:
- DMARCレコードの設定と構成
- DKIM、SPF、およびMTA-STSの整合
- 高度なレポート機能とインシデント通知
移行をこれから始められる方でも、既存の設定の最適化をお考えの方でも、各地に拠点を構える当社チームが、いつでもサポートいたします。
さあ、始めましょうか?
貴社におけるニュージーランド政府の「セキュア・メール・フレームワーク」への準拠を、効果的かつ効率的、そして安心して導入・維持できるよう、弊社がどのようにお手伝いできるかについて、ぜひ今すぐお問い合わせください。
この会話を続けたいですか?dmarcianフォーラムへどうぞ。
