EN

株式会社セブン銀行 様

メールシステムやセキュリティ機器によって設定方法が異なるDMARC対応|NRIセキュアの知見をフル活用しプロジェクトを推進

株式会社セブン銀行

数多くのサービスをお客さまに提供する株式会社セブン銀行だからこそ、メール送信システムも多様であったため、システムの担当者を探し出し、適切に設定するよう依頼していく地道な作業が不可欠でした。セブン銀行は、NRIセキュアが提供するDMARCレポートの分析情報やシステムに応じた具体的な設定方法のアドバイスを生かし、現場の担当者を巻き込みながらDMARC対応を進めました。

課題

  • お客さまに安全・安心をお届けするために、なりすましメール対策をより強固にする必要性を感じていた
  • 2023年7月に政府で決定した「政府機関等のサイバーセキュリティ対策のための統一基準群」において送信ドメイン認証技術であるDMARC対応が明記され、対応が必須と考えた

解決策

  • DMARC対応をサポートするソリューション「Proofpoint EFD」を採用し、NRIセキュアの支援を受けながら、DMARC対応を実施

効果

  • DMARC対応を実施することで、より一層安全なサービス環境を実現
  • DMARC対応のプロセスを経て、あらためてドメイン棚卸しの重要性を認識。セブン銀行内のドメイン管理にもノウハウを生かせた

導入の背景や課題

DMARC対応は必須、複数のセミナーで感じた温度感の高まり

株式会社セブン銀行は「近くて便利」「信頼と安心」を実現するユニークな銀行として、ATMを中心とした独自の金融サービスを提供しています。セブン&アイグループの店舗はもちろん、駅や空港など国内で2万7000台以上のATMを設置するほか、海外事業も展開し、デジタルトランスフォーメーション(DX)技術を生かした法人向け金融サービスの展開も進めています。

fig-1412セブン銀行 金融犯罪対策部兼リスク統括部ITリスク管理室 7BK-CSIRT調査役 久保田 亜紀子 氏

 

久保田氏:

金融サービス事業者を取り巻く環境としては、金融機関を騙ったフィッシングサイトが増加傾向にあり、不正送金やマネー・ローンダリング被害も数多く発生しています。セブン銀行では、金融犯罪対策部とリスク統括部、そしてCSIRTが連携してフィッシング対策に取り組んできました。

幸い、これまでのところ当社を騙ったフィッシングメールがばらまかれたケースはほぼありませんが、お客さまに安全・安心をお届けするために一層の対策が必要だと考えています。

こうした考えから久保田氏は、常日頃からセミナーやイベントなどでの情報収集に取り組んできましたが、2022年度は大きな風向きの変化を感じたそうです。

久保田氏:

フィッシング対策協議会のセミナーをはじめ、あちこちでDMARCという言葉を頻繁に耳にするようになりました。DMARCは、メールに表示された送信元ドメインから正規に送信されたメールであるかどうかを認証する、送信ドメイン認証技術です。これは対応が必須だと考えました。それ以前から、NRIセキュアテクノロジーズ(以下、NRIセキュア)との常駐支援の定例ミーティングの中で、DMARCの動向や他社の対応状況に関する情報提供を受けていたことも後押しとなり、現場と経営レベルが一体となってDMARC対応を推進することを決めました。

選定のポイント

長期にわたるプロジェクトで、信頼の置けるパートナーが不可欠と判断

久保田氏:

当社の主要なメールドメインは多岐にわたるシステムで用いられています。中には提携先へ資料を送信するものもあり、DMARC対応を進める過程で資料が届かなくなることがあれば影響は甚大です。このため、各部門との調整・情報共有は不可欠でした。

こうした地道な部分も含め、DMARC対応は長期的な案件になると考えていました。その途中で降りられては困ります。信頼の置ける会社であることがパートナー選定の前提条件でした。プロジェクトを進めるパートナーとしてNRIセキュアを選定し、同社が推薦するDMARC対応をサポートするソリューション「Proofpoint EFD」を採用して対応を進めることにしました。

セブン銀行は以前から、高いセキュリティレベルと攻めのDXの双方をバランスよく保つため、システム立ち上げの早い段階からセキュリティを検討する「セキュリティ・バイ・デザイン」の取り組みを進めており、アドバイス役としてNRIセキュアの支援を受けていました。こうした過去の実績も選定のポイントになっていました。

さらに提案時には、俯瞰的な視点から見たDMARCの必要性にはじまり、内製で進めた場合と比べたコスト・工数に至るまでを網羅した情報を網羅的にまとめていただきました。NRIセキュアのコンサルタントとエンジニア、営業担当が密に連携し、こうした情報を揃えていただいたため、社内の理解も得やすかったです。

導入の効果

知見を生かしてDMARCレポートを深掘り、システム担当者の洗い出しにつながるヒントを提供

fig-1454セブン銀行 リスク統括部ITリスク管理室 7BK-CSIRT調査役 青山 恒有 氏

 

青山氏:

銀行のサービスでどんなドメインが使われ、どのようなメールを送信しているか、全てを正確に把握できていなかったため、NRIセキュアから示されたDMARC導入の基本的なステップに沿って、利用頻度と重要度が高いと思われるドメインから対応を進めていきました。

まず認証に失敗した場合のメールの扱いをnone(何もしない)の設定でDMARCレポートを受け取ってメールの受信状況を分析・確認し、必要に応じて送信元のシステムを割り出してSPF(正規のIPアドレスからメールが送信されたかどうかを認証する送信ドメイン認証技術)やDKIM(メールの改ざんを検知する送信ドメイン認証技術)の対応を依頼しました。

久保田氏:

準備が整ったところからDMARCを導入していく流れでしたが、いざ始めてみると想像以上に時間がかかりました。といっても、つまずいたのは技術的な課題ばかりではありません。送信元のシステムや担当者を突き止め、連絡を取るというアナログな部分でした。

セブン銀行が送るメールは多種多様です。通常のメールだけでなく、ワークフローの中で機械的に送られるメールや、特定の状況が発生したときにだけ送られるメールもあり、それらすべてを洗い出すのは非常に骨の折れる作業でした。

また、担当者も導入時とは変わっていたり、一人が複数のメールシステムを担当する場合もあるため、担当者の特定は困難を極めました。見つけて連絡してもまたすぐ次が出てくるという具合で、果たして終わりがあるのだろうかという気持ちになることもありました。

そこを救ったのがNRIセキュアの豊富な導入支援実績に基づくアドバイスでした。

久保田氏:

どうしても送信元がわからず半泣きの時もありましたが、DMARCレポートを深掘りして調べていただき、「この送信元はこのサービスで使われている○○ではないか」「この内容ならこの部に尋ねてみるといいのでは」などとヒントをいただき、親身にサポートしてくださいました。

プロジェクトを進める中、2023年10月にGoogleから「メール送信者のガイドライン」が発表され、ガイドラインに準拠していない場合、Gmailアカウントにメールが届かなくなる可能性がでてきました。これにより、現場の各部署の温度感も高まったことも大きな推進力となりました。

青山氏:

旗振り役としての私たちだけでなく各部署の担当者も参加して、NRIセキュアとの週次定例会を行うことで、「伝言ゲーム」に手間をとられることなく対応が進んでいきました。

ここでもやはり、NRIセキュアの専門的な知見が役立ちました。同じDMARC対応でも、利用しているメールシステムやセキュリティ機器によって細かな設定方法は異なります。NRIセキュアが各担当者に具体的な対応方法を直接説明し、疑問に答えてくださったことで、短期間で対応を進めることができました。さらに、その知見が類似のシステムを使っている担当者にも社内で共有され、非常によい形で対応が進みました。

fig01

今後の展望

理想通りにいかない時にも、寄り添う姿勢で次善の策を

fig-1478

 

半年ほどの取り組みを経て、セブン銀行のDMARC対応は山場を迎え、メインのドメインについては、2024年6月には認証に失敗した場合のメールの扱いをreject(拒否)へと引き上げることができました。

久保田氏:

なりすましメール対策という意味では、DMARCだけでは志半ばです。DMARCで認証成功したメールにロゴを表示させる送信ドメイン認証技術であるBIMIの対応も必要になると考えています。正規のメールとそうでないものがお客さまにも視覚的にわかるよう、BIMI対応を進めていきたいです。

同時に、DMARC対応のプロセスを経て、あらためてドメイン棚卸しの重要性を認識したことから、セブン銀行内のドメイン管理の改善にも着手しています。また、セブン銀行では他にも、セキュリティ・バイ・デザインをはじめセキュリティ強化の取り組みが進んでいます。

青山氏:

私たちでは認知できない部分も含め、NRIセキュアには専門家の知見を生かした幅広い支援を今後もお願いしたいと思っています。

何より期待するのは寄り添う姿勢です。「セキュリティはこうあるべき」というのは簡単ですが、現実には予算や既存システムとの関係で理想通りにいかないことの方が多いです。さまざまな制約であるべき姿にたどり着けない時にも寄り添っていただき、次善の策についてアドバイスをいただけると心強いです。

※本文中の組織名、職名は2024年5月時点のものです。