ベンダー管理：サードパーティの供給元を特定することの重要性

多くの組織にとって、 DMARC ドメインカタログ全体への導入には、多くの課題が伴うことがあります。その課題の一つが、すべてのサードパーティサービス（ 送信元と呼ばれる、1つ以上のドメインに代わってメールを送信するすべてのサードパーティサービスの特定です。当社の導入チームは、ドメインに代わってメールを送信するサードパーティサービスのリスク評価、調達、および管理に関する強固なプロセスを構築することを重要なステップとして推奨しています。

DMARCベンダー管理プロセス

組織のベンダー管理プロセスにより、以下の点を特定することができます DMARCの運用上の問題 を特定できます。具体的には、ベンダーのオンボーディング時、サービスの終了時、またはベンダーとの関係の変化により、ベンダーが組織に代わってメールを送信する方法に変更が生じた場合（例：ベンダーがDMARCのサポート機能を強化した場合など）に特定されます。 

事業部門を統合する

ベンダー管理プロセスは、IT部門内だけで孤立して行われるものではなく、サードパーティのサービスを評価する際に関与する各事業部門に統合されて初めて、その真価を発揮します。例えば、ベンダーが自社のドメインを代表してメールを送信する場合、契約条項を見直し、ベンダーがDMARCに準拠していることを確認するといった取り組みが挙げられます。

特に、自社のドメインに代わってメールを送信する権限を持つ新しいアプリケーションやベンダーについてリスク評価を行う際には、第三者情報源に対する組織の透明性が重要となります。明確に定義され、周知されたプロセスを確立することで、メールの配信に関する問題を未然に防ぐための予防策を講じることが可能になります。 

このプロセスは、既存の承認済みベンダーアプリケーションリストと統合される必要があります。サードパーティのメール配信サービスを利用する場合、そのDMARC機能に関する詳細情報、導入方法、および担当する社内アカウント所有者／管理者を確実に把握することが特に重要となります。 

複数のチャネルを活用する

メールはヘルプやサポートに関する問い合わせの主な手段であり、組織内の従業員から DMARCに関連する問題 ヘルプデスクやサポートデスクに持ち込むことがあります。個人がDMARCに関連する問題を特定することはまずありません（また、それを期待すべきでもありません）。

サードパーティベンダーの場合、必要な変更を行うために当該サービスの管理者を巻き込む必要があったり、ベンダーのサポート窓口に連絡を取らなければならないことがよくあります。こうした管理者はIT部門に所属していないことが多く、だからこそベンダー管理プロセスと透明性が不可欠であることがわかります。

DMARCを既存のプロセスに統合する

社内のプロセスを円滑に進めることは、このプロセスを成功させるために適切な人材を関与させるという点で、困難を伴う場合があります。しかし、いったん既存のプロセスにうまく組み込まれれば、ドメインカタログやDMARCコンプライアンスの継続的な管理と監視は、はるかに確実なものとなるでしょう。

以下の点についてご質問がある場合は 導入 や関連するプロセスについてご質問がございましたら、お気軽にお問い合わせください。

まだDMARCプロジェクトを開始していない場合は、 こちらから登録 から、30日間の無料トライアル（義務なし） にお申し込みいただけます。

この会話を続けたいですか？dmarcianフォーラムへどうぞ。