EN

ソニー銀行株式会社 様

なりすましメールに先手を打つDMARCとBIMIの初期対応を
3ヶ月で実現し業界でも高い
セキュリティを確保

ソニー銀行株式会社

金融機関をかたったなりすましメールは増加の一途をたどっています。ソニー銀行は、自社をかたるフィッシングサイトの検知・テイクダウンという後手の対策だけでなく、先回りして手を打つために、送信元が正規であることを認証する技術「DMARC」に着目しました。NRIセキュアの支援のもと、DMARCと送信ドメイン認証技術である「BIMI」の初期対応を3ヶ月間でほぼ完了させ、他の金融機関に比べていち早く高いセキュリティを確保しました。

課題

  • 自社をかたるなりすましメールやフィッシングサイトに、先手を打つ必要性があった

解決策

  • 送信ドメイン認証技術のDMARCとBIMIを導入
  • DMARCの導入・運用を効率化する「Proofpoint EFD」とNRIセキュアの支援を得ながら、DMARCのポリシーを最も厳しい「reject」に引き上げ

効果

  • 金融機関の中でも先を行くセキュリティレベルに一気に強化
  • 正規のメールには自社のロゴマークが表示され、お客様にも安心を提供
  • Googleのメール送信者のガイドラインやその後の要件変更にもスムーズに対応

導入の背景や課題

「後手」ではなく「先手」のなりすましメール対策としてDMARCに着目

fig-9626ソニー銀行 システム管理部管理1課長 別所徹氏


ソニーフィナンシャルグループの一員であるソニー銀行は、2001年6月の開業以来、インターネット専業銀行として住宅ローンや外貨預金、投資信託など個人向けのさまざまな金融サービスを提供してきました。早い時期からIT基盤にAWSを採用するなど、先進的な取り組みも進めています。

金融業界は常にサイバー攻撃の対象となってきました。

別所氏:銀行として「お客様の情報が漏洩しました」という事態は許されません。一方で、世の中の技術は黙っていても進歩します。守るべきところは守りつつ、新しい技術を見極め、しっかりアセスメントした上で導入するという具合に、アクセルとブレーキの両方を大切にしています。

特に近年、銀行をかたるフィッシング詐欺の被害は高止まりの状況となっています。

田中氏:なりすましメールからのフィッシング詐欺が非常に多く、経営層も含め、早急な対策が求められると考えていました。
対策の一つとして、自社をかたるフィッシングサイトを検知し、即座にテイクダウンにつなげる仕組みを導入していましたが、テイクダウンまでの間にタイムラグが生じ、どうしても後手に回ってしまう点は否めません。先手を打って、なりすましメールを防止できないかと考え、情報収集を進める中でDMARCやBIMIといった技術に着目しました。

選定のポイント

社内のノウハウだけでは限界、高い専門性とノウハウを期待し支援を依頼

fig-9651ソニー銀行 システム管理部管理1課シニアマネージャー 田中保太郎氏


DMARCでは、自社ドメインをかたったなりすましメールの扱いを「ポリシー」という形態で示します。まずはメールを拒否などはしない「none」という段階に始まり、送信元が正規か否かの検証に失敗したメールを隔離する「quarantine」、そして拒否または破棄するように要求する「reject」まで、任意でポリシーを設定できます。また、受信メールサーバから処理結果が送信元にフィードバックされる「DMARCレポート」で最適化を進めます。ただ不用意にquarantineやrejectを設定してしまうと、自社が送信した正規のメールまで届かなくなる恐れがあります。このためnoneの段階でDMARCレポートを読み解いてメールサーバやDNSサーバに適切な設定を加えていく必要があります。

ソニー銀行はまず、他の金融機関のDMARC対応状況から調査しました。すると、複雑なDMARCレポートを読み解いてDMARCの設定を適切にする運用が重要でありながら、自社でレポートの内容を読み解いて対応しているケースはほとんどないことがわかりました。

田中氏:1日当たり150万から最大で200万通に上るメールの流通量を考えても、また導入により、万一メールが止まってしまうリスクを考えても、適切なツールや外部からの支援を得ながら導入する方がいいと判断しました。特に懸念していたのは、どのようなステップを踏めばDMARCのポリシーをrejectまで持っていけるかでした。当時、DMARC対応済みの企業でもほとんどはnoneポリシーにとどまっており、「とりあえずレポートを取っています」という状況でした。一方ソニー銀行では、当初から「DMARCレポートを受け取るだけにとどまらず、rejectポリシーで運用してなりすましメールを排除する」という明確な目標を、経営陣の同意の上で立てていました。これを実現するためには、社内のノウハウだけでは限界があるため、高い専門性を持つ方々の支援が必要だと考えました。

こうした観点から、各種ツールの中でも導入実績があり、わかりやすいDMARCレポートが提供されDMARCの導入・運用を効率化する「Proofpoint EFD」を選定。さらに、DMARCの専門家として導入・運用をサポートするNRIセキュアをパートナーに選択しました。

 

fig-9680

別所氏:経営の同意もあり、短期間でrejectポリシーまで引き上げる方針でDMARC導入を進めることにしていました。ただ、rejectポリシーに切り替えた瞬間にお客様に正規のメールが届かなくなるといった事態は避けなければなりません。そのためにはDMARCレポートを適切に読み解き設定を調整する必要があります。そのノウハウを持ち、rejectポリシーまでのプロセスをサポートしていただけることがNRIセキュアに支援を依頼した要因の一つです。

ソニー銀行はさらに、DMARC対応の次のステップとして、DMARC認証に成功したメールにブランドロゴを表示させ、受信者が一目で正しいメールを把握できるように、BIMIの導入も見据えていました。このBIMIの設定に関するアドバイスやメールセキュリティの最新動向を得られることもNRIセキュアをパートナーに選定したポイントでした。

導入の効果

DMARCおよびBIMIの初期対応を3ヶ月で進め、一気に対策を強化

fig-9602

ソニー銀行は保有する5つのドメインを対象に、まずnoneポリシーでDMARCを導入しました。その後前提条件を整えてrejectポリシーに移行、さらにはBIMIにも対応しました。この一連のプロセスを、3ヶ月で進めるスケジュールを立て、その通りに導入プロジェクトを実行していきました。

別所氏:グループ全体でドメインの統制が取れており、システム部門がしっかり管理し、事業部門が勝手にドメインを取得できない状態を保っていたのが大きな要因だったと思います。DMARCレポートを見て初めて「あれ、こんなドメインが使われていただろうか」と気付くような事態もなく、スピーディに対応を進めることができました。
田中氏:NRIセキュアと毎週ミーティングを行ってDMARCレポートを詳細に分析し、パス率やリジェクト率の推移を見ることで、rejectポリシーへの移行を安心して進めることができました。最終的に役員に説明する際にも、データの裏付けがあることで説得力が持てました。
別所氏:次のステップであるBIMI対応もNRIセキュアの支援とともに乗り切りました。なりすましメールが出回ると、お客様からの問い合わせも増えてしまいます。そんな場合に、「このロゴマークが表示されていればソニー銀行からのメールです」とわかりやすく伝えられる環境が実現できました。
田中氏:Googleが2023年10月に表明したメール送信者のガイドラインも、体制を整えた上で受け入れることができました。その後、ガイドラインにTLS対応の必須化といった新たな要件が追加された際も、NRIセキュアからつぶさに情報をいただいたため早めに手を打つことができました。

DMARCとBIMI導入の流れDMARCとBIMI導入の流れ

今後の展望

「取り組みに終わりはない」、引き続きフォローを得ながら対策を推進

fig-9603

経済産業省らが連名で公表した文書の後押しもあり、この一年でDMARCの認知度は一気に向上しています。そんな中、ソニー銀行は、世の中の動きを先取りする形で、後手に回っていたなりすましメール対策を一気に強化し、金融機関の中でもトップレベルに達しました。経営層もシステム管理部の一連の対応を高く評価しています。 

今後もDMARCレポートを見ながら運用を続けるとともに、各メールソフト独自の仕様にも対応していく計画です。

別所氏:現時点で打てる手は全て打ったつもりですが、取り組みに終わりはないのも事実です。BIMIの周知を図りつつ、その延長線上にある技術についてNRIセキュアにフォローをいただきながら、システム部門全体で引き続きセキュリティ対策を進めていきます。

※本文中の組織名、職名は2024年4月時点のものです