自社になりすました攻撃メールを発見したSmartHR。メール脇のロゴ表示で自身を裏付け。被害が拡大しないよう、自社のブランドが棄損しないように取った対策とは。

協力:TwoFive・デジサート・ジャパン

ブランドを傷つけ、信用を失墜させるリスクは看過できない

――SmartHRは、最近、メールセキュリティーの強化に取り組んでいるそうですね。

岩田 SmartHRは、人事・労務管理を支援するクラウドサービスを提供しています。不正なURLに誘導するフィッシングメールや、マルウエアを仕込んだ添付ファイル付きのメールなど、メールはサイバー攻撃で悪用される主要な侵入ルートの1つです。以前より継続的に防御の強化に取り組んでいます。

 しかし、自社の防御力を上げるだけでは対応できない問題もありました。当社のドメインをかたり、SmartHRになりすまして詐欺行為などを働こうとする攻撃メールの存在です。

 お客様や取引先とのやり取り、メールマガジン、そして、クラウドサービスからの通知など、多くの企業と同様、当社もメールを主要なコミュニケーションツールとして利用しています。それら正規のメールに混ざった、なりすましメールが実際に被害につながってしまったら、当社が加害者ではないにも関わらずブランドは大きく傷つくことになります。被害が発生していなくても、そうしたメールが流通していることで、もしかしたら既に信用を失っているかもしれません。

 サービスの性質上、当社はお客様から多くの個人情報をお預かりすることになります。ブランドの棄損、信用の失墜のリスクがある、当社をかたるなりすましメールは決して看過できない問題なのです。

SmartHR セキュリティグループ セキュリティエンジニア 岩田 季之氏
SmartHR セキュリティグループ セキュリティエンジニア 岩田 季之氏

――具体的には、どのような対策を講じたのでしょうか。

岩田 「DMARC(ディーマーク)」および「BIMI(ビミ)」の導入を決めました。

※DMARC:Domain-based Message Authentication Reporting and Conformance
 BIMI:Brand Indicators for Message Identification

ロゴマークを表示して安心してメールを開いてもらう

――まずDMARCとは、どのような仕組みでしょうか。

TwoFive 開発マネージャー 加瀬 正樹氏
TwoFive 開発マネージャー 加瀬 正樹氏

加瀬 メールセキュリティーには、受信したメールが正規の送信者から送信されたものかをチェックする送信ドメイン認証という技術があります。送信元メールサーバーのIPアドレスや電子署名を認証し、受信側に正規の送信元から送られてきたメールであることを示します。

 企業の視点で見ると自社のメールがなりすましメールに誤認されることを防ぐことができる仕組みといえるわけですが、DMARCは、その送信ドメイン認証の仕組みをさらに強化します。

 具体的には、認証の結果、なりすましメールが疑われた場合に、そのメールをどう処理するかを送信側、つまりドメインを持つ企業側が設定できるのです。「none(何もせずそのまま受信する)」「quarantine(隔離する)」「reject(受信拒否する)」という3つの挙動を指定できようになっています。

 さらにレポート機能を備えていることも特長です。このレポートを通じて、企業は自社が送信したメールの認証状況、なりすましの状況を把握し、対策に役立てることができます。例えば、なりすましメールが急増しているようなら、被害が出ないように設定を「reject」にする。なりすましメールに誤認されて、正規メールが届いてないようなら配信システムの設定を変更するなど、適切な対処が可能になります。

――BIMIについてもご説明ください。

デジサート・ジャパン合同会社 プロダクトマーケティング部 プロダクトマーケティングマネージャー 林 正人氏
デジサート・ジャパン合同会社 プロダクトマーケティング部 プロダクトマーケティングマネージャー 林 正人氏

 Gmailを利用している方なら分かると思いますが、受信トレイを開くと、各メールの左側に丸い窓があると思います。A、M、Iなど、送信者のイニシャルが表示されていることがほとんどだと思いますが、その中に企業のロゴが表示されているメールがないでしょうか。端的にいえば、これがBIMIです。送信メールに第三者が認証した組織のロゴを表示できるようにし、前述のDMARCと同時に機能することでメールの信頼性を仕組み的にも視覚的にも証明できる仕組みです。日本企業の間でも徐々に導入が進んでいます。

BIMI導入後の受信トレイイメージ BIMIを導入するとイニシャルではなくロゴが表示される
BIMI導入後の受信トレイイメージ
BIMIを導入するとイニシャルではなくロゴが表示される
BIMIの仕組み ロゴマークによって正規のメールであることを分かりやすく表示できる
BIMIの仕組み
ロゴマークによって正規のメールであることを分かりやすく表示できる

適切な支援でDMARCとBIMI導入をトータルにサポート

――DMARC やBIMIは、どのような手順で導入すればよいのでしょうか。

岩田 BIMIは、前提としてDMARCに対応している必要があります。DMARCは、新たな機器を導入したりする必要はありませんが、自社のメールの状況を分析して、「none」「quarantine」「reject」の設定をどうするかなどの判断が必要です。そのための準備は、ある程度の時間をかけて、綿密に行なう必要があります。当社は、約半年をかけて準備を進めました。

 準備期間を経て、現在は最も厳しい「reject」に設定しています。こうしてDMARCの運用を開始しておけば、後はロゴの商標登録、認証局への申請などを行えばBIMIを導入できます。ロゴの商標登録の状況やデータの整備状況などによって準備期間は前後するかもしれませんが、手順そのものは比較的シンプルです。

二宮 岩田さんが説明されたとおり、BIMIはシステム的な設定などが複雑なわけではありません。ただ、表示するロゴがドメインを運用する企業自身のものであることを証明する必要があります。その条件として、商標登録されたロゴであること、第三者認証局(CA)に申請し、申請組織の実在とドメインやロゴの利用について認証を得ていることが定められています。その認証を証明するのが「VMC(Verified Mark Certificates)」という電子証明書ですが、デジサートは、全世界でこのVMCを発行できる2社のうちの1社です。

デジサート・ジャパン合同会社 エンタープライズ営業部 兼 パートナー営業部 シニアダイレクター 二宮 要氏
デジサート・ジャパン合同会社 エンタープライズ営業部 兼 パートナー営業部 シニアダイレクター 二宮 要氏

加瀬 TwoFiveは、国内大手インターネットプロバイダー様や携帯事業者様など、数百万規模のユーザーを有するお客様のメールシステムの構築をサポートしてきたメール分野のプロフェッショナル集団です。その経験を生かしながら、デジサートとも連携して、DMARCからBIMIの導入までをトータルにサポートしています。

環境が整うことでBIMIの真価がさらに発揮される

――SmartHRはBIMIの成果をどのように評価していますか。

岩田 ロゴマークをメールの脇に表示するという、分かりやすい方法で正規のメールを安心して開いていただける。なりすましメールを「reject」することでブランド棄損、信用低下を抑止できる。対策が難しかった「なりすまされる」リスクに対応できたことを高く評価しています。今後、BIMIに対応するメールサービスが広がり、「ロゴがあるから安心」という認識が社会に広がっていけば、今回の取り組みの成果はさらに大きくなると期待しています。

二宮 BIMIについては、現在、対応しているGoogleのメールサービスに加え、Yahoo! JAPANも対応予定を表明。さらにAppleも2022年秋にリリース予定のiOS、iPadOS、macOSなどのメールアプリをBIMI対応にする旨を明らかにしています。環境が追いつくことで、いち早く対応したSmartHRの先進性も評価されるものと考えています。

岩田 当社がセキュリティー対策や先進技術活用に積極的に取り組んでいる企業だと受け止めていただければ、なりすまされるリスクが減るとともに、この取り組み自体がブランドの向上にもつながることになります。大いに期待しています。

加瀬 TwoFive が観測した範囲では BIMI対応のメールドメインは、2022年3月にはグローバルで約400でしたが、6月には1000超とわずか3カ月で倍増しています。今後、メール受信者がBIMIによるロゴ表示を安心の証と考えるのが一般的になると、送信者としては、BIMIに対応していないと信頼できるメールだと思ってもらえない時代が来るかもしれません。TwoFiveは、デジサートと連携し、送信者にも受信者にも、安心してメールを利用してもらえる環境を実現するべく尽力してまいります。

【お問い合わせ】(クリックで別ページへ):
株式会社TwoFive
お問い合わせ

デジサート・ジャパン合同会社
お問い合わせ
5
この記事をいいね!する