動画:DMARC – 導入プロセス
当社独自のDMARC導入プロセスについて、短い動画を作成しました:
この動画は、DMARCに関するあらゆる情報を網羅した動画シリーズの一部です。
以下が議事録です:
この短い動画では、dmarcianが独自に構築したDMARC導入プロセスについて解説しています。
あらゆる規模の組織におけるDMARCの導入を支援する中で考案・洗練されてきたdmarcianのアプローチは、最小限のコストでDMARCとそのメリットを組織に効率的に導入します。
dmarcianアプローチは、あらゆる組織でDMARCを導入するために利用できる、軽量なプロジェクト管理フレームワークです。プロジェクト管理とは、組織内に変化をもたらすために用いられる専門的な手法です。プロジェクト管理とは、既存のプロセスに具体的な 変更を加えることに尽きます。プロジェクトは開始され、作業を完了し、その後終了します。
電子メールは誰もが、いつでも、どこでも利用しているため、DMARCの導入においてはプロジェクト管理が最適なアプローチとなります。電子メールの変更には通常、組織全体のメンバーがプロジェクトに参加する必要があるからです。技術的な側面は通常、少人数の技術チームが担当しますが、DMARC導入の真の難しさは、変更内容を周知しつつ、DMARCを既存の日常業務に組み込んでいくという、人的な側面にあるのです。
プロジェクト全体の枠組みは非常にシンプルです。着手する前に、組織はドメイン登録の責任者が誰であるか、あるいはどの部署であるかを特定し、組織が所有するすべてのドメインの完全なリストを作成する必要があります。組織内にドメインを管理する一元的な責任部署がない場合は、それを新設する必要があります。dmarcianでは、この責任部署を 「ドメイン管理機能」と呼んでいます。ドメイン管理機能の目的は、各ドメインに関する情報——その責任者、用途、および実施すべき管理や監視体制——を一元的に集約することにあります。
大規模な組織では、組織全体のステークホルダーを結集したプロジェクトチームを結成すべきです。通常、DNS、メッセージング、マーケティング、法務、情報セキュリティの各部門の代表者が参加します。このプロジェクトは組織内の部門の垣根を越えることになるため、経営幹部がスポンサーとなる必要があります。プロジェクトチームが が整えば、本格的に作業を開始できます。
ドメインの完全なリストを用意しておくのが理想的です。そうすれば、DMARCの導入と維持管理がはるかに簡単になります。導入手順を繰り返す必要がなくなり、さらに悪いことに、研修や連絡の重複も防げます。ドメイン管理機能は、DMARCを組織に組み込み、日常業務の一部として定着させるための拠点としての役割を果たします。
ちなみに、ドメイン管理機能はDMARC以外の場面でも非常に役立ちます。ドメイン登録の維持、WebサイトのSSL証明書が最新であることを確認する、ドメインの所有権を把握する、DNS関連の運用に一貫性を持たせる――こうした業務はすべて、ドメイン管理機能が整っていれば大幅に簡素化されます。したがって、dmarcianがまず最初に行うのは、この機能が確実に整備されていることを確認することです。
ドメイン管理機能が整ったら、すべてのドメインについてDMARCデータを収集する必要があります。 まずはp=noneというポリシーでDMARCレコードを公開し、本番環境のメールに影響を与えることなく、簡単なデータ収集を行えるようにします。DMARCが生成するデータは、特定のメールドメインで何が起きているかを把握する上で非常に貴重なものです。dmarcianのツールはDMARCデータを処理・分析するため、組織はDMARCフィードバックの細かい内容に目を通す手間を省き、インフラの修正に集中することができます。
すべてのドメインに関するデータを収集するためにDMARCレコードを設定した後、プロジェクトチームは、メールの送信をDMARCに準拠させる作業に移行します。 このプロセスは、「評価(Assess)」「是正(Remediate)」「維持(Maintain)」という3つのステップからなる緊密なループです。各ドメインはこの3つのステップを経ることで、正当なメール送信元を特定し、それらをDMARCに準拠させ、すべての送信元の是正が完了した後は、そのドメインが継続的にDMARCに準拠しているかどうかを監視します。
この3段階のループを実行する間、プロジェクトチームは、DMARCベースの制御機能の導入について周知するための社内向け資料を作成します。この周知活動は、制御機能を説明する社内Wikiページのようなシンプルなものでも、パートナー企業に対して組織のメール送信基準への準拠を求める一連の契約書レビューのような複雑なものでもかまいません。 この社内リソースを作成する主な理由は、プロジェクトチームが業務を完了させると同時に、将来の従業員に対して既存のDMARCベースの制御について教育するための資料を残しておくためです。このリソースがなければ、運用チームは、DMARC制御が導入されていることに気づかずに組織を代表してメールを送信しようとする、新規で熱心すぎるマーケティング活動が行われるたびに、その場しのぎの対応を迫られることになるかもしれません。これは非常に恥ずかしい状況になりかねません! この社内リソースは、このような状況から生じる不安を和らげるのに役立ちます。
ドメインが3段階のループを経て完了するにつれ、DMARCに基づく制御を導入することができます。まずは「隔離(quarantine)」ポリシーから開始し、結果が想定通りであることを確認するとともに、プロジェクトチームが予期せぬ問題に対応するための時間を確保してください。 DMARCの適用範囲が正確であると確信できたら、「拒否」ポリシーに移行します。ここでも、結果が想定通りであることを確認し、予期せぬ問題に対応するための時間をプロジェクトチームに確保してください。より多くのドメインが3段階のループを経るにつれ、組織はDMARCの継続的な運用に関するチェックリストやノウハウを蓄積していきます。
DMARC導入プロジェクトの完了後、組織はDMARCを日常業務に定着させました。新しいドメインが登録または取得されるたびに、ドメイン管理部門はそれらを3段階のプロセスにかけ、導入当初からDMARCへの準拠を確保し、維持しています。
この導入プロセスは有効であることが実証されており、各組織の特性に合わせてわずかな変更を加えるだけで対応可能です。
DMARCの導入は一度きりの作業であると認識している組織もあり、プロジェクト管理サービスの提供をdmarcianに委託することを選択しています。弊社のサービスが貴組織のニーズに合致するか、お気軽にお問い合わせください。
DMARCの利用を開始するには、dmarcian.com にアクセスしてください。
ご質問は [email protected] までお問い合わせください。
ご視聴ありがとうございました!
