カナダの上位100社のDMARCステータス――再検証
2021年6月、当社はカナダの上位100社におけるDMARCの導入状況に関する調査結果を公表しました。それから20ヶ月が経過し、DMARCの導入率を再調査したところ、非常に喜ばしい結果が得られましたので、ここでご紹介いたします。
以下は、2021年6月から2023年2月までの期間における、カナダの上位100社のDMARC導入率の推移(増減率)の比較です:
- p=rejectに設定された DMARC ポリシーの数が 154% 増加した
- 「p=quarantine」に設定されたDMARCポリシーの数が114%増加した
- p=noneに設定された DMARC ポリシーが 18% 減少した
- DMARCポリシーを策定していない企業の割合が57%減少した
とりわけ、カナダの主要企業の5分の1が、DMARCポリシーを「p=reject 」という最終目標に向けて強化しました。p=reject が適用されると、p=reject 認証に失敗したメールは、宛先の受信箱に配信されなくなります。
さらに5分の1の組織は、DMARCレコードを設定することで、ドメインの保護に向けた第一歩を踏み出しました。通常、DMARC準拠への道のりは、p=none ポリシーを採用することから始まります。このポリシーは、いわば「明かりをつける」ようなもので、特定のドメインを誰が、どのようなサービスが、善意であれ悪意であれ利用しているのかを可視化するためのものです。
「カナダの主要企業がDMARCを真剣に受け止めているのを見るのは素晴らしいことです」と、トロントを拠点とするdmarcianの導入サービス担当ディレクター、アッシャー・モリン氏は述べた。 「この導入は、すべての人に向けた明確なメッセージとなるはずです。つまり、DMARCは有用であり、効果があり、導入は決して不可能ではないということです。また、導入にかかる初期コストは低く、ドメインごとに1つのTXT DNSレコードを追加するだけで済むという点も、改めて認識させてくれる良い機会です。しかし、それはあくまで始まりに過ぎません。真の目標は、ポリシーを『拒否(Reject)モード』にすることです。その間のすべてのプロセスは、そのゴールに向けた単なる通過点に過ぎないのです。」
2023年版:カナダの企業トップ100
2021年9月、カナダ・サイバーセキュリティセンター(Cyber Centre)は、『ランサムウェア:予防と復旧の方法』を発表しました。この資料では、組織がリスクを最小限に抑え、万が一ランサムウェア攻撃が発生した場合に備えるための指針が示されています。予防策としては、「DMARC(組織のドメインをなりすまし、フィッシング、その他の悪意のある活動から保護するのに役立つ電子メール認証・報告システム)」を含むセキュリティツールの導入と維持などが挙げられています。
さらに、2021年8月に更新されたサイバーセンターの「実装ガイダンス:メールドメイン保護」では、ドメインを保護するためにDMARCを導入することを推奨しています。
- 自社ドメインを装った悪意のあるメッセージの配信を防ぐ;
- 攻撃者が保護されたドメインをなりすまそうとするのを阻止すること;
- メール受信者のセキュリティを強化すること;および
- ドメインがなりすましの標的となっている組織の評判を守る。
「以前にも申し上げましたが、改めて申し上げます。今こそサイバーセキュリティを真剣に考えるべき時です」と、カナダ・サイバーセンターの責任者であるサミ・クーリー氏は述べた。「カナダ国民の皆様――個人も組織も――が私たちの呼びかけに応えてくださり、共に、より安全なカナダを築いていけることを願っています。」
電子メールセキュリティの専門家チームを擁し、「電子メールとインターネットの信頼性を高める」という使命のもと、dmarcianは組織のドメインカタログの評価や、長期的なDMARC管理を支援します。トロントにあるカナダ本社およびデータセンターを拠点として、カナダに拠点を置く組織がDMARCを導入し、同国のデータ主権に関する規制を遵守できるよう、継続的に支援しています。
