決済カード業界がDMARC、DKIM、SPFを推奨
テクノロジーの進化に伴い、サイバー攻撃の手口も日々変化しており、組織、特に金融セクターの組織に対して重大な脅威をもたらしています。また、大多数の人々がクレジットカードやデビットカードで支払いを行っている現状を受け、ペイメント・カード・インダストリー・セキュリティ・スタンダード・カウンシル(PCI SSC)は、広大なデジタル決済エコシステムの攻撃対象領域を強化すべき時が来たと認識しました。
この動画では、DMARCの主要な考案者であり、dmarcianの創業者兼CTOであるティム・ドレイゲン氏が、DMARCが組織のPCI DSS要件への準拠にどのように役立つかについて解説しています。
サイバーセキュリティ基準の策定にあたり、PCIは『PCIデータセキュリティ基準(DSS)v. 4.0.1』の5.4.1項において、DMARC、SPF、およびDKIMを推奨しています。
フィッシング対策の制御策を策定する際、組織は複数のアプローチを組み合わせて検討することが推奨されます。例えば、Domain-based Message Authentication, Reporting & Conformance(DMARC)、Sender Policy Framework(SPF)、Domain Keys Identified Mail(DKIM)などのなりすまし防止対策を採用することで、フィッシャーによる組織のドメインのなりすましや、従業員を装った行為を防ぐことができます。
—PCI DSS v. 4.0.1
フィッシング対策メカニズムの要件は、2025年3月31日をもって「ベストプラクティス」から「必須要件」へと移行しました。DMARC、SPF、DKIMは、引き続き強く推奨される対策の例です。DSSは、「フィッシング対策は組織全体に適用されるべきである」と推奨しています。
PCI基準は、世界的な決済口座データのセキュリティに重点を置いており、関係者の教育、意識向上、および導入を促進する支援サービスを展開しています。同基準のDMARCガイダンスは、機密性の高い決済カードデータを保護し、消費者を潜在的な詐欺や個人情報盗難から守る上で重要な役割を果たしています。
オンラインバンキングやデジタル決済が普及する中、金融サービス業界はサイバー犯罪者にとって主要なフィッシング攻撃の標的となっている。
影響を受ける対象者は?
PCI DSS v. 4.0.1 のセクション 5.4.1 に記載されている DMARC に関する「推奨事項」は、PCI DSS を遵守する必要があり、かつ顧客、従業員、またはパートナーと支払い関連事項について電子メールでやり取りを行うすべての組織に影響を及ぼします。実際には、これは何らかの形でカード決済を取り扱う、あるいは関与するほとんどの企業に該当します。PCIは、電子メール認証基準を適用することで、サイバー犯罪者が正当な組織を装い、顧客を欺いて機密情報を開示させるリスクを軽減することを目指しています。
DMARCの推奨事項は、PCI DSSの要件が、加盟店、処理業者、アクワイアラー、発行会社、およびその他のサービスプロバイダーを含むカード会員データ環境(CDE)にも適用されるため、広範な影響を及ぼす可能性があります。具体的には以下の通りです:
- カード保有者データおよび/または機密認証データを保存、処理、または送信するシステム構成要素、担当者、およびプロセス。
- CDEのセキュリティに影響を及ぼす可能性のあるシステム構成要素、関係者、およびプロセス。
- カード保有者データ(CHD)/機密認証データ(SAD)を保存、処理、または送信しないが、CHD/SADを保存、処理、または送信するシステムコンポーネントと制限なく接続可能なシステムコンポーネント。 SADとは、「カード所有者の認証および/または決済カード取引の承認に使用されるセキュリティ関連情報」を指します。この情報には、カード検証コード/値、フルトラックデータ(磁気ストライプまたはチップ上の同等のデータ)、PIN、およびPINブロックが含まれます。犯罪者が偽造決済カードを作成し、不正取引を行う可能性があるため、SADの保護は極めて重要です。そのため、承認プロセス終了後のSADの保存は禁止されています。
成功の鍵は、デジタルリソースを有効活用し、その安全性を確保することにあります。当社がどのようにお役に立てるか、ぜひご覧ください。
DMARCのメリット
DMARCを導入することで、決済カード業界で事業を展開する組織には、以下の重要なメリットがもたらされます:
- メール詐欺対策:DMARCは、ドメインの使用状況を可視化し、不正な送信者が組織を装ってメールを送信することを防止します。この制御機能により、組織は堅牢なメール認証プロトコルを確立し、不正アクセスのリスクを低減するとともに、メールを悪用した脅威から組織を守ることができます。
- メールの信頼性:DMARCは、メールを確実に配信するための基盤であり、配信に関する問題を解決するために活用されています。
- 規制への準拠:PCIの事例からも明らかなように、業界、政府、規制当局は、DMARCの導入をますます強く求めています。これらの規制を順守することで、組織はデータセキュリティへの取り組みを明確に示すことができます。
- 財務リスクの低減:DMARCを導入することで、規制当局からの罰金、法的責任、評判の失墜など、データ漏洩に伴う財務リスクを軽減できます。電子メールのセキュリティ対策を強化することで、組織はサイバー攻撃やデータ漏洩による潜在的な財務的影響を最小限に抑えることができます。
- 業界全体の連携:PCI DMARCの要件は、決済カード業界内の組織間における連携と情報共有を促進します。メールセキュリティ対策を共同で強化することで、業界関係者は脅威や脆弱性に対してより効果的に対処できるようになります。
DMARCの導入はサイバーセキュリティにおける大きな前進ですが、組織は、絶えず変化する脅威に対処するため、メールセキュリティ戦略の継続的な監視と維持管理も優先的に行う必要があります。DMARCポリシーの定期的な評価、メール認証レポートの分析、および脆弱性に対処するための予防的措置は、効果的なメールセキュリティ体制の不可欠な要素です。
dmarcianが提供できる支援
dmarcianは、メールセキュリティの専門家チームを擁し、ドメインセキュリティを通じてメールとインターネットの信頼性を高めることを使命としています。当社は、組織のドメインカタログの評価から、DMARCの導入および長期的な運用管理までを全面的にサポートいたします。無料トライアルにご登録いただければ、当社のオンボーディングおよびサポートチームが導入の全過程をサポートいたします。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
