メインコンテンツへスキップ
DMARC: ゼロトラスト電子メール

DMARC: ゼロトラスト電子メール

2022年7月14日
エコシステムニュースセキュリティ・インサイト

この1年間、バイデン大統領が「国家のサイバーセキュリティ強化に関する大統領令」を発令して以来、ゼロトラスト・アーキテクチャに対する関心が急速に高まっています。

この大統領令は、連邦政府機関に対し、「ゼロトラスト・アーキテクチャを導入するための計画を策定する」よう指示している。同大統領令では、「ゼロトラスト・セキュリティ・モデルは、いかなる要素、ノード、またはサービスに対しても暗黙の信頼を排除し、その代わりに、複数の情報源からのリアルタイム情報を用いて運用状況を継続的に検証し、それに基づいてアクセス許可やその他のシステム応答を決定することを求める」と述べられている。

ゼロトラスト・アーキテクチャが注目を集めていますが、それは一体何なのでしょうか?最も簡単に言えば、ゼロトラストとは、ユーザー、デバイス、ネットワーク、サービス、ソフトウェアを、最初から信頼すべきではないという考え方です。このモデルでは、特権アクセスと絶え間ない本人確認が求められます。バイデン前大統領はすでに退任しましたが、ゼロトラスト・アーキテクチャは、電子メールを含む組織の運用において、依然として検討・導入が進められているモデルです。

インターネット――巨大なネットワークの集合体――が開発されていた当時、注目されていたのは、ネットワーク間の接続性と、それらとやり取りを行うデバイス間の連携でした。この相互接続性への重点的な取り組みは、インターネットの大きな強みであると同時に、信頼という観点においては大きな弱点でもあることが後になって明らかになりました。電子メールと同様、この広大なネットワークの集合体も、サイバー攻撃を防ぐためのセキュリティ機能が最初から組み込まれて構築されたわけではありませんでした。

ドメインベースのメッセージ認証・報告・準拠(DMARC)

DMARCの本来の用途は、電子メール詐欺と戦うための身元確認にあります。DMARCは、ドメインの使用状況を可視化し、不正な送信者が組織を装ってメールを送信することを防ぎます。その結果、ドメインへの信頼が築かれます。この信頼によってメールの信頼性が確保され、DMARCは信頼性の高いメール配信の基盤となるだけでなく、メール配信の問題を解決するための第一歩となることも少なくありません。

従来、電子メールの防御とは、悪意のあるメールや迷惑メールをフィルタリングして排除することを指してきました。最新の電子メール脅威に対する対策を提供する市場は巨大であり、スパム対策、フィッシング対策、BEC対策、マルウェア対策、なりすまし対策などが挙げられます。

DMARCおよびそれが体現するゼロトラスト型メールセキュリティモデルは、単なる製品ではありません。DMARCを単に購入し、データセンターに導入して、年間ライセンス料を支払うようなものではありません。DMARCは、通信事業者とインターネットが連携して、メールに安定的で信頼性の高いドメインレベルの識別子をもたらす方法を規定した、相互運用性を確保するためのセキュリティ標準です。

DMARCがコンプライアンスレベルに設定されている場合、SPF、DKIM、およびDMARCプロトコルを通じて正当な送信元であると明確に確認されない限り、すべてのメール送信サービスおよび連絡先は信頼できないものとみなされます。この制御が導入されていることで、DMARCに準拠している組織からメールを受信した人は、そのメールが記載された送信元から実際に送信されたものであると信頼することができます。

DMARCとゼロトラストの交差点

「ゼロトラストは暗黙の信頼を排除し、継続的な検証を必要とする」という考えこそが、DMARCとゼロトラストの接点です。DMARCは、誕生から10年以上が経過した現在に至るまで、一貫してゼロトラスト型のメールセキュリティモデルとして機能してきました。

DMARCはゼロトラストと連携し、正当なメールを「正面玄関」から受け入れる仕組みとして機能します。これにより、そのメールが本物か詐欺かを見極めるために、ユーザーを信頼する必要がなくなります。

DMARCがなりすまし対策技術として有用である理由は、ある画期的な発想に基づいています。つまり、悪意のあるメールをフィルタリングして排除しようとするのではなく、正当なメールを簡単に識別できる手段をユーザーに提供してはどうか、という発想です。事実上、DMARCが約束するのは、根本的に欠陥のある「悪質なメールを排除する」というメールセキュリティモデルを、「正当なメールを許可する」モデルへと置き換えることです。

— ティム・ドレーゲン(dmarcian創設者、DMARC共同執筆者

電子メールはオンライン詐欺の90%以上に関与する攻撃経路であるため、可視性を確保し、個人を保護し、信頼できるドメインを構築するためには、DMARCをゼロトラスト導入の中核に据える必要があります。

DMARCの導入に関してご不明な点がございましたら、お気軽にお問い合わせください。弊社までご連絡いただくか、一切の制約のない無料トライアルにご登録いただけます。また、弊社のDMARC調査・テストツールもぜひご活用ください。dmarcianアカウントをお持ちでない方でも、どなたでもご利用いただけます。

この会話を続けたいですか?dmarcianフォーラムへどうぞ

サイバーセキュリティDMARCのメリット

関連記事