導入の背景や課題
「後手」ではなく「先手」のなりすましメール対策としてDMARCに着目
ソニーフィナンシャルグループの一員であるソニー銀行は、2001年6月の開業以来、インターネット専業銀行として住宅ローンや外貨預金、投資信託など個人向けのさまざまな金融サービスを提供してきました。早い時期からIT基盤にAWSを採用するなど、先進的な取り組みも進めています。
金融業界は常にサイバー攻撃の対象となってきました。
特に近年、銀行をかたるフィッシング詐欺の被害は高止まりの状況となっています。
対策の一つとして、自社をかたるフィッシングサイトを検知し、即座にテイクダウンにつなげる仕組みを導入していましたが、テイクダウンまでの間にタイムラグが生じ、どうしても後手に回ってしまう点は否めません。先手を打って、なりすましメールを防止できないかと考え、情報収集を進める中でDMARCやBIMIといった技術に着目しました。
選定のポイント
社内のノウハウだけでは限界、高い専門性とノウハウを期待し支援を依頼
DMARCでは、自社ドメインをかたったなりすましメールの扱いを「ポリシー」という形態で示します。まずはメールを拒否などはしない「none」という段階に始まり、送信元が正規か否かの検証に失敗したメールを隔離する「quarantine」、そして拒否または破棄するように要求する「reject」まで、任意でポリシーを設定できます。また、受信メールサーバから処理結果が送信元にフィードバックされる「DMARCレポート」で最適化を進めます。ただ不用意にquarantineやrejectを設定してしまうと、自社が送信した正規のメールまで届かなくなる恐れがあります。このためnoneの段階でDMARCレポートを読み解いてメールサーバやDNSサーバに適切な設定を加えていく必要があります。
ソニー銀行はまず、他の金融機関のDMARC対応状況から調査しました。すると、複雑なDMARCレポートを読み解いてDMARCの設定を適切にする運用が重要でありながら、自社でレポートの内容を読み解いて対応しているケースはほとんどないことがわかりました。
こうした観点から、各種ツールの中でも導入実績があり、わかりやすいDMARCレポートが提供されDMARCの導入・運用を効率化する「Proofpoint EFD」を選定。さらに、DMARCの専門家として導入・運用をサポートするNRIセキュアをパートナーに選択しました。
ソニー銀行はさらに、DMARC対応の次のステップとして、DMARC認証に成功したメールにブランドロゴを表示させ、受信者が一目で正しいメールを把握できるように、BIMIの導入も見据えていました。このBIMIの設定に関するアドバイスやメールセキュリティの最新動向を得られることもNRIセキュアをパートナーに選定したポイントでした。
導入の効果
DMARCおよびBIMIの初期対応を3ヶ月で進め、一気に対策を強化
ソニー銀行は保有する5つのドメインを対象に、まずnoneポリシーでDMARCを導入しました。その後前提条件を整えてrejectポリシーに移行、さらにはBIMIにも対応しました。この一連のプロセスを、3ヶ月で進めるスケジュールを立て、その通りに導入プロジェクトを実行していきました。
今後の展望
「取り組みに終わりはない」、引き続きフォローを得ながら対策を推進
経済産業省らが連名で公表した文書の後押しもあり、この一年でDMARCの認知度は一気に向上しています。そんな中、ソニー銀行は、世の中の動きを先取りする形で、後手に回っていたなりすましメール対策を一気に強化し、金融機関の中でもトップレベルに達しました。経営層もシステム管理部の一連の対応を高く評価しています。
今後もDMARCレポートを見ながら運用を続けるとともに、各メールソフト独自の仕様にも対応していく計画です。
※本文中の組織名、職名は2024年4月時点のものです