ここ半年ほど編集部は、丁寧に読む価値のあるプレスリリースであるかどうか/わざわざ出席する価値のある記者会見であるかどうかを判断する際、あのアルファベット二文字(ふたもじ)がプレスリリースやセッションのタイトルにないことを検討基準のひとつとしてきた。
そのアルファベット二文字とは「AI」である。
AI のリスク研究は別として、ずっと見てきているとわかるのだが、AI を実用水準でちゃんと利活用し、かつ製品の差別化にも成功しているところは「Copilot」などと「製品名」を前面に出すのであり、決して「AI」「AI」と薄ぼんやりした言葉をことさらに喧伝することはない。
たとえ AI を技術のひとつとして使っていたとしても、顧客へ提供される価値や結果が重要だと考え、わざわざ表だって「AI」「AI」とわめく必要はないと考えるケースもあるだろう。顧客が求めるのは結果である。
だからそんな風に喧伝せざるを得ないのは、実用レベルに達していないから、さらに言うと「トレンドに遅れていると思われたくない」という恐怖心にかられているだけなのでは、という疑念が出てくる。「遅れていると思われたくない」これほど後ろ向きな動機もほかにあるまい。しかも AI という技術に対するリスペクトなどさらさら無いという点が大事である。心ではバカにしているが体裁をつくろうために知っている風を装う。まさにおじさん的思考以外の何ものでもない。
この基準において信頼できるイベントが 5 月末日、大手町で行われた。イベントタイトルに「A」はかろうじて 1 個含まれていたものの「I」はどこを探しても見つからない。驚くべきことにほかの全講演をなめるようにみても同様だった。これは今日日(きょうび)珍しい。
日本プルーフポイント株式会社は5 月 31 日、都内で「DMARC Conference 2024」を開催した。カンファレンスの内容は「DMARC をいかに reject の設定まで持っていくか」という、すがすがしいほど実践・実務的趣旨で、薄ぼんやりした概念は一言(いちごん)も語られることのない、まさに「実務者レベル会議」とでも呼べる内容だった。
総務省の要請や Gmail 対応等で、多くの企業や組織が DMARC 対応を行っているが、ポリシーを「reject」に設定するところまで実施した企業はまだ少ない。本カンファレンスは、「reject」設定のケース別のポイントや、DMARC 対応後の BIMI への対応、進める上で発生するさまざまな課題を解決する Proofpoint の DMARC対応
支援サービス紹介、そして DMARC 対応を行ったユーザー企業が 4 社集合し、それぞれの課題や対応時に苦労したことなどをディスカッションするという、多角的な視点で考えるものだった。
本稿は、来日した Proofpoint CEO スミット・ダーワン氏の講演にはじまり、総務省による基調講演、DMARC を reject にするためのパターン別解説、Proofpoint 製品の機能紹介などをレポートする。なお、4 社によるパネルディスカッションは「後編」の記事として公開予定である。
--
● 今後も日本市場へ投資を続けていく:Proofpoint Inc., CEO スミット・ダーワン 氏
最初に米 Proofpoint 社 CEO スミット・ダーワン氏が挨拶を行った。スミット氏は家族ともども日本が大好きで、何度も来日しているという。スミット氏はセキュリティチームが守るべきものとして「インフラ」「アプリケーション」「データ」そして「人」を挙げた。
また、次世代サイバーセキュリティアーキテクチャの主要な構成要素として「データセキュリティ」「Eメールセキュリティ」「継続的なリスク管理と意識」を挙げ、プルーフポイントはそれらに焦点を当てており、それら一連の活動を「人々を守る」と呼んでいるとした。なぜなら攻撃の多くが人によるものであり、人によるミスによってリスクが顕在化するためである。
一方で、日本へのビジネスメール侵害は昨年、世界で最も高い増加率を示したことに言及し、生成 AI によって攻撃者が自然な日本語のメールを容易に作成できるようになったからと述べた。Proofpoint の機械学習による言語モデルは、これらの詐欺を検出できるという。
「私たちは『人』中心(Human-Centric)のセキュリティ戦略の構築をお手伝いし、人々を守ることとデータを防御することをお手伝いします」とスミット氏は述べ、日本プルーフポイント株式会社は国内で驚異的な成長と成功を遂げており、今後も日本市場への力強い投資を続けていくとした。
●「DX with Cyber Security」の真の意味とは:総務省 サイバーセキュリティ統括官 山内 智生 氏
基調講演に登壇した総務省の山内氏は、日本政府のセキュリティへの取り組みについて説明した。その中で、2023 年夏に発生した名古屋港へのサイバー攻撃の事案を受け「港湾」が 15番目の重要インフラに追加されたと語った。
名古屋港へのサイバー攻撃により社会経済に大きな影響が発生した。「IT に依存しているので止まると色々なものが止まる」と指摘、総務省ではこれを「相互連環・連鎖」と表現しているという。
一方で、サイバーセキュリティ戦略における政府の考え方は「サイバーセキュリティ至上主義」ではなく、あくまで DX とサイバーセキュリティ両方の推進であるとした。山内氏はサイバーセキュリティに関してバックオフィスのことばかり語る経営者が多いと指摘した。DX とは自社のビジネスの変革であり、バックオフィスだけではなく業務フロントのアイデアや新しい付加価値が重要である。そしてそれをコントロールをするためにセキュリティ対策を考える必要があるが、そこではある程度のリスクを許容することも必要であるとした。
「DX with Cyber Security」の本来の意味は、DX を進める上で、考慮すべきリスクに対してバランス良く対策することであるという。「システム障害や情報漏えいが絶対に起こらないようにガチガチにセキュリティ対策をしようとする心がけは立派ですが、それにかかるコストとのバランスが重要ですし、もし障害が発生してしまった際の損害も試算する必要があります。さぼれと言っているのではなく、そういった心構えが必要なのです」とした。
政府全体の統一基準群と DMARC の関係としては、DMARC は統一基準の第 6 部「情報システム構成要素」にサーバー、DNS、データベースなどとともに電子メールのなりすまし防止策として記載されている。統一基準群が読みづらかったため、山内氏がまとめ直したという。
なお、添付ファイルを開かせようとする非常に巧妙な不正メール(これを山内氏は「素敵なメール」と語った。サイバー攻撃と対峙する一種のダンディズムを感じさせる口調だった)は、山内氏自身も受け取った経験があり、DMARC の必要性を認識しているという。また、DMARC の普及状況のグラフを示し、まだまだ低いと指摘した。総務省の資料には、日本プルーフポイント社が作成したグラフが引用されている。
また、総務省も現在「none」での運用ではあるが、より上のポリシーへの移行に取り組んでいるという。
最後に山内氏はシステム管理者に対して「怒らないでください」とお願いした。従業員にミスがあったときに怒ると、隠すようになってしまう。それを事実として認め、起こらないようにするための気づきにして欲しいとした。「サイバーリスクはゼロにならない(中略)ビジネスとのバランスでリスクをどこまで下げるのかが大切」と語った。また、「頼りになる人(セキュリティ人材)」は育つと巣立ってしまうため、大切にして欲しいとしてセッションを締めくくった。
CEO スミット・ダーワン氏が語った「『人』中心」と響き合う内容だったことが印象に残った。
● DMARC 認証を Reject 導入するための勘所
次の講演から一気に実務と運用に寄った講演になっていく。日本プルーフポイント株式会社 チーフエバンジェリスト 増田 幸美(そうた ゆきみ)氏と、シニアセキュリティコンサルタント 内田 浩一 氏が登壇した。
Google の Gmail ガイドラインをはじめ、業界ガイドライン、あるいは取引先の企業からの依頼で DMARC を導入する企業が増えている。増田氏は、一般的なサイバーセキュリティ対策が「自社を守る」ものであるのに対して、DMARC は顧客や取引先など「自社につながる方々を守る」ためのものであることが大きく異なる点とした。そしてその目的は、メール詐欺に騙される人をなくすためだという。
日本プルーフポイントによる 2023 年 12 月の調査によれば、日経225 企業の DMARC 導入率は 60 %となっており、現在はさらに増えている。しかし、DMARC のポリシーを「quarantine(隔離)」「reject(拒否)」に設定しているのは 13 %に過ぎない。増田氏は「ぜひとも DMARC は reject を目指していただきたい。そしてその先にある BIMI まで対応して欲しい」とした。
Google の要件は細かい変更が行われているが、内田氏は最新の動向として「メールヘッダーの長さに上限を設定するという話が出ているが、そこはあまり意識しなくていいでしょう」と語った。内田氏は 20 社を超える DMARC 支援を行っている。
また増田氏は、「Google の要件に出ているものは非常に的を射たもので Proofpoint のメールセキュリティの考え方とも似ている」と評価した。
しかし、DMARC のポリシーを reject にすることは一朝一夕ではない。DMARC をパスさせるためには SPF と DKIM いずれかの認証とアライメントを取るなど 7 つのパターンがある。
また DMARC を導入すると受信メールの IP アドレスのレポートが届くようになるが、形式が XML であり、しかも企業によっては 1 カ月に 1~2 万件に及ぶ場合もあるという。reject にするためにこれらのデータを分析する必要がある。
レポートの分析には専用のツールとスキルが必要になるが、日本プルーフポイントではその双方を提供している。まず可視化ツールにより、正規と思われる送信元は 日本の一般的な企業でだいたい150~200 の送信環境が検出される傾向にある。さらに専用ツールにより正規の送信元を洗い出し、SPF や DKIM に設定していくという流れとなる。Microsoft 365 や Salesforce の場合はドメインを変更するケースがあるため、これらの管理者と連携する必要もある。
最近では DMARC が none 設定の企業を狙った攻撃を北朝鮮が行っていることが確認されている。また、「@mofa.go.jp」という外務省のドメインを使った攻撃を検知した際に、同事実をブログで発信したところ外務省がわずか 2 カ月で DMARC を reject に設定した事実も紹介された。
さらに増田氏は、使わなくなったメールアドレス等のドメインを乗っ取る攻撃についても説明した。これは「Account Takeover (ATO)」と呼ばれ、Proofpoint はアカウントの乗っ取りを検知しブロックするソリューションを提供しているという。
セッションの最後には、複数のメールセキュリティ製品において特別オファーを実施するという告知があった。FireEye、Symantec からの移行で最長 6 カ月分のライセンスが無料になるというもので、2024 年 11 月 29 日まで実施されるという。
● DMARC の先にある「BIMI」の最新情報:デジサート・ジャパン プロダクトマーケティングマネージャー 林 正人 氏
デジサート・ジャパン合同会社のルーツは日本ベリサイン株式会社であり、認証局として長期にわたり証明書を中心としたビジネスを展開している。近年はデジタルトラスト・プロバイダーを掲げ、ソフトウェアや IoT 向けの証明書管理ソリューションも展開し、BIMI 実装のための認証マーク証明書(VMC)も提供している。
林氏は日本ベリサイン時代からも含めて、これまで実施したウェビナーで最も参加者が多かったのが DMARC に関するものだったと語った。しかも、受付を開始した途端に席が埋まってしまう状況に驚いたと振り返った。DMARC とその先にある BIMI への興味が高まっていることの現れであるとした。
BIMI は DMARC を補完するもので、受信したメールに自社のブランドロゴを表示することで、正規のメールであることを視覚的に判断できるようにする。URLが似ているだけの偽物ドメインでは取得できないのでフィッシングか否かの判断が一般消費者にもしやすい。2023 年から国内で導入件数が増えており、採用業種も以前から多かった金融に加えて、「流通」「建設」「教育」「医療」などでも導入が進んでいるという。
デジサートは日本ベリサイン時代から厳格な認証に定評がある。単に申請企業の登記事項を確認するだけでなく、認証チームが代表電話に架電して問い合わせを行い、申請者の上司にまでたどって申請意思を確認する。BIMI においては、認証マーク証明書申請時に確認されるブランドロゴは「登録商標」であることが求められる。ロゴデータはSVG P/Sという形式で作成し、証明書と同様DNSレコードに参照先を記載することで対応メーラーにロゴが表示される仕組みだ。
なお、BIMI で利用できるブランドロゴには新たなものが加わりつつあるという。すでに官公庁向けの GMC(ガバメントマーク)が追加され、登録商標ではないロゴを登録できるCMC(コモンマーク)も年内リリース予定である。現在、CMCに関してはGmail とともに検証やテストを実施している最中であるという。
また林氏は、VMC の料金体系についても言及した。VMC の料金は年次234,300 円であり、一つのロゴであれば同一ドメインの場合全てのサブドメインに適用することもできる。また、マルチドメイン(SANs)オプションも用意されている。今後さらに BIMI が普及することで、フィッシングにより騙される人を一人でも減らしていくことを実現したいとした。
● Proofpoint SSA(Sender Security & Authentication)プロダクト アップデート
日本プルーフポイントのセールス エンジニア 佐藤 剛 氏からは、ドメインおよび企業のブランドを保護する製品群「Proofpoint SSA(Sender Security & Authentication)」のアップデート情報が提供された。プルーフポイントが重視するセンダーや認証のセキュリティ強化機能が盛り込まれた製品群である。
SSA には、DMARC 対応支援サービス「Proofpoint Email Fraud Defense(EFD)」、類似ドメイン検知可視化サービス「Proofpoint Domain Discover」、不正ドメインの対処サービス「Proofpoint Virtual Takedown(VTD)」、そして単体でも利用可能なクラウド型メールリレーサービス「Proofpoint Secure Email Relay(SER)」が含まれており、今後も機能強化が予定されている。
EFD は、DMARC ポリシーの reject 移行における課題を解決し支援するサービスであり、レポートの可視化と集計を行うほか、マネージドサービスによって次に何をすべきか優先順位を付けてサポートしてくれる。また、DMARC を進めて行く上で必要な SPF や DKIM の設定にまつわる DNS サーバーの設定変更の負荷軽減サービスも提供している。
SSA に含まれる「Hosted SPF Service」を活用すれば、DNS ルックアップが 10 回に制限されている課題を克服できる。また、DNS サーバーに記載されている SPF レコードは公開情報であり、このため攻撃者も参照できることになるのだが、「Hosted SPF Service」を利用することでDNSから確認できる情報がすべて Proofpoint の環境で管理され、実際に使用している 365 や Salesforce が見えなくなることで攻撃の対象範囲を狭めることが可能となる。
佐藤氏はこのほか、SER や VTD の各機能を詳しく紹介した。「プルーフポイントは『人を守る、データを守る』というミッションのもとで様々な製品をご提供しています。セキュリティにおいてもお困りの際は私たちにぜひご相談してください」とセッションを結んだ。
--
約 3 時間に及んだカンファレンスの閉会挨拶に立った日本プルーフポイント株式会社 代表取締役社長 茂木 正之 氏は、「海外の優れたセキュリティ製品を日本市場にうまく適合させることに一貫して取り組んでいる」と謙虚に語っていたが、この簡潔すぎるコメントだけでは趣旨がほぼ伝わらないと思うので、少々長くなるがここで本誌が茂木(ここから呼び捨て)の真意を解説しておきたい。解説する価値がある。
茂木は 2015 年に FireEye 社長、2016 年に Cybereason 社長を経て 2020 年から現職。この経歴だけを見ると、ギャラの良い外資を次々と渡り歩く、新自由主義経済が産んだモンスターにして金の亡者に違いないと、本誌 ScanNetSecurity 読者なら全員確信していただけるに違いないと思うし、ほかならぬ編集部がそうだった。しかし 2021 年に実施した取材で明らかになったのは、全く違う実態だった。
わざわざ日本市場にエンターしてくるような海外製品はそもそも性能機能は優れているものが多いが、日本の商習慣や業務実態に合ったローカル向けのカスタマイズ等がどこまでできるかが「使える製品」「役に立つ製品」になれるかどうかの成否を握ることが多い。しかし日本ローカルの課題への対応には多くの場合本社は及び腰となる。
外資の日本法人のカントリーマネージャーや日本法人代表を、本社に対する姿勢によって分類するとすなわち、「1.イエスマン」「2.英語ができるイエスマン」「3.営業力のあるイエスマン」、99 %がこの三つのどれかあるいは複数に属するしそもそもそれが採用基準である(なお「技術がわかるイエスマン」という範疇は存在しない。技術がわかることとイエスマンという資質は同居しづらい)。
茂木は以上三つのどの範疇にも該当しない。あえて言うなら「4.営業力のあるギャングスター」とでも言おうか。すなわち茂木は、日本のビジネス慣習などに合わせた機能追加等の、日本固有課題の解決のためのリクエストを猛烈に「強腰(つよごし)」で行うことを特徴としている。
2021 年の取材で本誌は「人質交渉」というキーワードを使ってその実態を説明したが、要は US 本社の C レベルでもその名を知っているような日本の大企業との契約内示を獲得し、その後、この大口顧客の契約の条件にはかくかくしかじかの追加カスタマイズが必要、と告げる。そして「だから追加しろ」「さあやれ」「今やれ」「すぐやれ」「客は待っちゃくれないぞ」そう本社に迫るのである。
順番が逆に見えるが待っていても日本法人には容易にその機会が訪れないことを茂木は知っている。「人質交渉」と書くと、今日日(きょうび)人質を解放するネゴシエーターにうっかり聞こえかねないが、そうではなく茂木は「人質を取る方」なのでお間違いなく。これが「ギャングスター」と呼んだゆえんだ。
ちなみに世界のビジネスパーソン人口のおそらく 0.0001 % 程度もユーザーが存在しない日本語ワープロ 一太郎への対応を FireEye が行ったのは茂木のこの強腰外交にして人質交渉の成果のごく一部である。それによってまず政府機関への導入が進んだ。つまり日本にもし茂木正之がいなかったら別の Sandbox が日本で主流となった世界線もあった。
今回のカンファレンスのために来日した Proofpoint CEO スミット・ダーワン氏を載せた飛行機は早朝 5 時に日本に着いたそうである。しかし彼は長いフライトの後にホテルでしばらく休むこともせず、そのまま都内某企業へ直行、なんと午前 9 時から茂木とともに日本の顧客への挨拶回りに励んだ。2024 年採用の日本人の新卒に朝 9 時から営業などさせたらその日のうちに退職しかねない。
「16 時間のフライトだか何だか知らないがホテルで休むなんてぬるいこと言ってんじゃないぞコラ、日本に来たんだったら日本の大切なお客様に俺と一緒に挨拶回りに行かんかいゴラァ」常識ある社会人にして近年円熟味を増しつつある紳士である茂木氏がこんなことを言うことは絶対にない。その証左に茂木は、閉会挨拶の際に自身は決して壇上に上がることなくマイクを持ってずっと舞台袖に立って話をしていた。謙虚さと気配りを感じさせる美しい所作だった。
初来日して空港から直行して 4 時間後に得意先回りとは、観光で来日した際と比較して、戦場にパラシュート降下して鬼軍曹に引き回される気持ちを味わったかもしれない。
茂木は挨拶の中で軽くではあったが Gartner のサイバーセキュリティカテゴリの中に「ヒューマンセントリック」が追加されたことを喜ばしく報告した。ヒューマンセントリックとは、業界に先駆けて Proofpoint が提唱してきた「『人』中心(Human-Centric)」とほぼ同義の言葉である。技術的にやれるだけのことをやって最後に残るのは「人間の脳ミソの脆弱性」。それに初期から気づいて取り組んで来た数少ない企業のひとつが Proofpoint である。
人間の脆弱性もそうだが、今回の DMARC も過去の技術がバベルの塔のように積み上がったメールセキュリティというひときわ難易度の高い領域である。エッヂな技術とは正反対の、足元も足元の課題だ。ただでさえ面倒なセキュリティの中でも最高に面倒くさい領域にばかり手を出す Proofpoint が今後日本に提供していく価値はさらに増していくかもしれない。
