導入の背景や課題
フィッシングメールからユーザーを守るべく、主要ドメインでいち早くDMARCに対応
日本発唯一の国際カードブランドであるJCBは、デジタルソリューションを活用しつつキャッシュレス経済を支え、1億5000万人以上の会員向けにさまざまなサービスを展開しています。
オンライン決済の比重が増す中、システム本部 システム企画部は、セキュリティの3ラインモデルにおける第2ライン、つまりリスク管理部門として、現場と同じ方向を向きながら対策に取り組んできました。アジャイル開発や生成AIなど新たな技術を活用し、ビジネスの要求にしっかりついていけるような取り組みを進めています。新たな武器を活用する際のリスクは何かを評価し、ブレーキをかけすぎないようバランスを取りながら支援しています。
当社を取り巻くリスクの一つが、自社をかたったフィッシングメールです。クレジットカードは常にフィッシングメールのターゲットとなっており、当社はもちろん、業界を挙げて対策に取り組んできました。
顧客への注意喚起などを行いつつ、SPF、DKIMといった送信認証技術に対応し、利用者を被害から守る取り組みを進めています。2020年には、利用明細などを送付する際に利用する「jcb.co.jp」ドメインをDMARCに対応させ、なりすましメールを把握できる環境を整備しました。
選定のポイント
人力では非現実的、500を超える関連ドメインのDMARC対応にProofpoint EFDを採用
さまざまな努力にもかかわらず、なりすましメールの被害は年々拡大しています。顧客保護を考えると、jcb.co.jpという主要ドメインだけでなく、様々な事業を運営するにあたり保有するその他のドメインも含めて対応する必要があると判断しました。
また2023年2月、経済産業省と警察庁、総務省が連名で、クレジットカード会社に対しフィッシング対策の強化を要請し、真っ先に「DMARCの導入によるなりすましメール対策」が挙げられたことも追い風となり、当社では主要ドメインだけでなく全体で対応を進めることを決定し、各部署に示す社内ガイドラインの中でDMARC導入を求めることにしたのです。
問題は、JCBが保有するドメイン名の多さでした。ドメイン保護目的で押さえたものも含めると、保有ドメインは500件以上に上っていました。一個、二個のドメインならばともかく、これだけの数になると人力で管理し、レポートを読み解くのは難しいと考えました。
そこで、以前からPCI DSS対応などで支援を受けていたNRIセキュアに相談。多数のドメインについてDMARC対応を効率的に進められるソリューションを模索し、「Proofpoint EFD」を採用しました。
採用のポイントは二つあります。一つは、わかりやすいインターフェイスを通して多数のドメインに関するDMARCの設定やレポート分析が効率的に行え、工数を減らせることです。そしてもう一つのポイントは、検証が10回までというSPFの仕様上の制約を回避できる機能を備えていたことでした。
SPFは、送信元サーバのIPアドレスとDNSを参照することでなりすましメールを検出する仕組みですが、DNSの参照回数には最大で10回までという上限が設けられています。しかし現実には、部署によって外部のパッケージやサービスを利用したり、委託業者を利用したりで多数のサーバを経由する結果、上限を超えてしまい、そのドメイン全体のSPF自体がエラーとして判定されることが珍しくありません。
しかしProofpoint EFDのHosted SPFではこの上限が回避できます。私たちが抱えていた二つの課題を解決できるソリューションを探してProofpoint EFDに行き着きました。加えて、NRIセキュアによるDMARC導入・運用支援という最高の組み合わせならばいけると判断し、導入を決定しました。
導入の効果
丁寧な検証と、関連領域も含めたかみ砕いたアドバイスを頼りにDMARC対応を実践
一般に「メールは届いて当たり前」です。もしエラーが生じたり、法令上必要なメールが届かないことがあれば大問題となるでしょう。JCBではそうした事態が起こらないよう、約一ヶ月かけて開発環境でProofpoint EFDを検証し、影響が生じないかを入念に確認した上で、各ドメインを管理する部署に対してDMARC導入の案内を出していきました。
実際にNRIセキュアから模擬的ななりすましメールを送ってもらい、しっかり判定されているか、どのように見えるかなどを確認しながら進めていきました。
DNSやメールの仕組みは複雑で、RFC(Request for Comments)[i]の記述だけでは解釈に迷う部分がありますが、それらに関してもNRIセキュアのかみ砕いたアドバイスを得ながら設定を進めていくことができました。加えて、以前からセキュリティ領域で支援を受けていたため、クレジットカード会社として求められる水準やJCBのシステムに関する知見を踏まえ、単なる一般論を超えた適切な助言や提案が得られたことも大きな安心材料でした。
検討時から見やすいという印象を抱いていたProofpoint EFDについても、運用を始めてあらためて、優れた可視性に助けられていると感じています。
こうしてJCBでは約500件のドメインを対象に、2023年夏から段階的にDMARCの導入を進めています。まずメールの状況を可視化することを目的にレポートのみを行う設定で導入を進め、NRIセキュアとともにDMARCレポートを分析しながら、なりすましメールの隔離、拒否といった厳しい設定へ徐々に移行していく計画です。
500個のドメイン一つ一つについて、DNSの設定を確認していくときりがありません。Proofpoint EFDではどこでどんなエラーが起きているかがわかりやすく示されます。それを元に、週次で開催している定例会で、NRIセキュアから「ここでSPF認証が失敗しているので、このように変更すべきでは」と提案をいただき、各部署に修正を依頼しています。この体制なくしてDMARC対応はできませんでした。
[i] RFC(Request for Comments):IETFが発行する技術仕様に関する文書群。電子メールに関するプロトコルなども記述されている。
今後の展望
DMARC対応がブランド力向上にも寄与、近い将来のBIMI対応も視野に
一歩先にDMARC対応を完了したjcb.co.jpドメインでは、なりすましメールを拒否する設定に移行しています。一方、それ以外の約500ドメインについて可視化に取り組み始めた段階です。
その意味でまだ一歩目ではあるものの、フィッシングメールやなりすましメールを送ってくるサイバー犯罪者側の手間やコストを増やし、狙われにくくする効果があると考えています。JCBとして多くのドメインでDMARC対応を完了したことで、我々のブランド力にも響いてくると期待しています。
DMARC設定を投入し、種まきを終えた後には、正規メールにロゴを表示して視認しやすくするBIMIの導入も視野に入れています。BIMI導入に向け、メール側にどのような設定が必要かといった事柄についてもNRIセキュアに相談しながら対応を進めていければと考えています。プロフェッショナルならではの知見を活用しながら、顧客保護に向けた終わりなき戦いに取り組みを続けていきます。
※本文中の組織名、職名は2023年10月時点のものです