「遠くから見れば大抵のものは綺麗に見える」本誌が好きな言葉です(シン・ウルトラマンのメフィラス風に読んでください)。
なるべく近付いて綺麗でないものも取材する、という反語的な意味で心に留めている。
ところでセキュリティの情報発信において遠くから見て小奇麗にまとめた最たるもののひとつが導入事例であると思う。セキュリティ企業側としては引き受けてくれるだけでも尊いから、内容はユーザー企業の言いなりにならざるを得ないのが現状だし、ユーザー企業にしたら、直近あるいは将来的に少しでもリスクとなりうる情報は周到に原稿確認時に削除せざるを得ないのが現状。
つまりセキュリティベンダーは「忖度」、ユーザー企業は「保身」、それを書くライターは「忖度」と「保身」の二丁拳銃の手練れ(てだれ)。かくして世に数多(あまた)ある導入事例が出来上がる。
と、ここまで書いてしまってから言うのもなんだが、これが悪いことと言うわけでは決してない。むしろそうでないとリスクがありますって。要は今回お届けする記事が、そういう忖度や保身から可能な限り自由になろうとして行われた勇気と愛にあふれるパネルディスカッションのレポートである、ということを言いたい。
5 月 31 日、日本プルーフポイント株式会社は「DMARC Conference 2024」を東京大手町で開催した。このイベント最大の目玉が、DMARC 対応を完了あるいは対応中のユーザー企業 4 社によるパネルディスカッションである。
まずパネルに参加した 4 社には、登壇しただけで猛烈な拍手を送りたい。たいしたトクがあるわけでもなし、利他の精神がなければ絶対にできない行動だからである。記者なら多分「製品を買わせたあげくそのうえ登壇しろだと?」と考える。
「Security Information Wants to be Shared(セキュリティ情報は共有されたい)」とは、本誌が創刊以来大事にしているもうひとつのコンセプトだが、当事者が行うセキュリティに関わる情報共有とは、そもそもが他者への思いやりと愛の行為以外のなにものでもない。たとえ徳丸さん的な業界の重鎮が X などで何らかの問題点をときに少々厳しい言葉で指摘したとしても、そこには揺るぎない愛が存在する。
しかも登壇した 4 社のうち 2 社は、社名と登壇者氏名の公開も OK。いますぐ椅子を立ち上がって拍手を送るべきだ。この 4 社 4 名の快男児(かいだんじ)を誇りを持って以下の通り紹介しよう。
・ AGC株式会社
情報システム部 ITコンピテンスセンター
グローバルインフラグループリーダー
谷口 達郎 氏
・ 株式会社集英社
情報システム部 情報マネジメント室
須藤 明洋 氏
・ 国内金融機関A社
西牟田 和俊(にしむた かずとし)氏(仮名)
・ 国内製造業B社
見崎 慶一郎(けんざき けいいちろう)氏(仮名)
ディスカッションのモデレーターは、日本プルーフポイント チーフ エバンジェリストの増田 幸美(そうたゆきみ)氏。パネルディスカッションは、増田氏の印象的な言葉で幕を開けた。
--
【質問 1】DMARC を始めたきっかけ
増田氏は最初に「本日、パネリストの皆様には日本プルーフポイントに忖度することなく、洗いざらい正直にお話ししてくださいとお伝えしています。日本プルーフポイントに厳しい意見が出るかもしれませんが、それが現実です。皆様のお役に立つ知見を学ばせていただきたいと思います」と述べた。
一つ目の質問として、DMARC を始めたきっかけについて増田氏が聞いた。
谷口氏は、AGC は素材のメーカーであるため様々なサプライチェーンに組み込まれているとした。そしてサイバー攻撃やサプライチェーンリスクへの関心の高まりから、AGC のセキュリティ対策状況を聞かれる機会が増えたという。
「その中で『DMARC はいつ入れるんだ、来週か?』というまじめなやり取りがあり、最優先課題の一つとして DMARC に取り組んだ経緯があります(谷口氏)」
AGC としては、そうした外圧がある前から DMARC への対応を考えていたが、施策の優先順位で後回しになってしまうことが多かった。そのため、お客様からの要望が大いにモチベーションになったと谷口氏は語った。
国内製造業B社の見崎氏は、DMARC だけでなくメールセキュリティの観点で全体的対策を考えていた。特に、企業の知名度が上がったことでメールを使った脅威が増えており、2024 年からは同社の CEO を名乗るビジネスメール詐欺もたびたび確認されているという。しかも日本語のメールは、以前のような不自然さがなくなっているという。
谷口氏と同様に見崎氏も、サプライチェーンからメールセキュリティの対応状況を聞かれることが増えた。「そうしたアンケートや調査に対して何も答えられないのは困るということで、DMARC を含め日本プルーフポイントのメールセキュリティを導入しました(見崎氏)」
集英社の須藤氏は自社を「規模としては小さな会社ですが、おかげさまで知名度だけはある」と表現した。コンテンツを通して夢や希望をユーザーに届ける会社として、ドメインの悪用は率先して防ぐ必要があり、それが DMARC 対応の大きな動機の一つだった。
雑誌名や作品名のドメインも多く運用しているが、集英社はドメインに関しては制限をしていない。「サブドメインで運用するケースが多いと思うのですが、クリエイターの方にとっては独自ドメインで運用したいだろうなと考えています。細かいことですが、それでモチベーションが変わると思います(須藤氏)」
国内金融機関A社の西牟田氏は、自社を名乗るフィッシングメールが大量に届き始めたことが DMARC 対応のきっかけだった。「築き上げた信頼を悪用された形となってしまったため、DMARC 対応を開始しました、年単位の時間がかかりましたが、結果的には 2020 年という早い段階で実装しています(西牟田氏)」
【質問 2】経営層にいかに説得して DMARC 導入にこぎつけたか
続いて増田氏は、DMARC を推進する際に経営陣などにどう説明、説得したかについて尋ねた。
国内製造業の見崎氏は経営陣に対して、フィッシングメールに騙されてしまったお客様がどのような被害に遭っているのかを、正確な数字とともに報告したという。「何が起こっているのかがわからないと、どのような対策がどこまで必要になるのかも見えてきません(見崎氏)」
その後、具体的な対策を取るにあたり各関係部署の部長を集めて対策を説明し、合意を取った。その上で各部長に、自分たちの部署でどのようなメールをどこから送っているかを調べて、報告してもらった。その調査を一気にできたことが良かったと見崎氏は振り返った。
見崎氏は、日本プルーフポイントが提供している、1 カ月間のフィッシングメールのモニタリング無償サービスを実施し、その結果を経営陣に示したという。「経営陣が実際にビジネスメール詐欺に引っかかりそうになったことも影響していました。中国支社に届いた海外の企業になりすましたメールでしたが、ドメインの『w』が『vv』になっていました。それに誰も気づかず、金銭を振り込む少し前まで行きました(見崎氏)」
モニタリングの結果、数千通のフィッシングメールが確認されたことから、DMARC だけでなく総合的なメールセキュリティ対策を実施しないと防げないという認識に至り導入が決まったという。また見崎氏は、日本プルーフポイントの営業担当者の優秀さも導入の決め手のひとつとして挙げた。
DMARC を進めた体制について集英社の須藤氏は、日本プルーフポイントの製品を導入し、テクマトリックスのコンサルタントの支援を受けたと語った。同社は須藤氏を含めて 3 名の体制だったという。
谷口氏は AGC グループとして、29 歳のリーダーと、欧米担当 3 名、アジア担当 3 名の 計 7 名という DMARC 推進チームを組織した。
【質問 3】DMARC の対象、進める上で発生したトラブル
DMARC を適用させる対象については、いずれのパネリストも「社名」のドメインから始めていった。集英社も「shueisha.co.jp」から始めた。「運用しているドメインは多いものの、メールを送信しているドメインは少ないため、それらは一気に Reject にもっていきました。(須藤氏)」
西牟田氏は数年かけて 100 近いドメインを Reject にした。同社ではメールを送信する際にドメインの社名の前にアルファベット n 文字とドットを加えていたが、犯罪者側もそれを把握して攻撃を行っていたという。件数の多い順から Reject にしたが、Reject されたメールは最初の月だけで 2,000 万通、2023 年の 6 ~ 8 月の 3 カ月では 2 億 7,000 万通に上った。
これには「日本の人口の倍ですね」とモデレーターの増田氏も驚いていた。フィッシングメールに引っかかってしまう人は確率論的に一定の割合で存在するため、2 億 7,000 万通のフィッシングメールを Reject できたことは効果も大きいとした。
DMARC を進める上でのトラブルについて AGC の谷口氏は、いくつかの部門が IT 担当を介さずに外部のメールサービスを使っており、解析でそれが判明することがたびたびあったという。
「それについて我々は丁重にコンタクトを取るのですがどうしても現場がパニックになってしまうんですね。そしてそれがクレームにつながってしまう」と語り、DMARC 対応はトラブル前提で進めた方がいいと語った。
国内製造業の見崎氏も、「外部のベンダーの方に説明するのは難しいので、直接(問題の発生した現場に)行っていました。そうすることで例えば 3 回の説明が 1 回で済んだりします。これは DMARC で疑わしいメールを確認することも同じで、何回も会いに行った結果、人間関係ができてその後の進み方が速くなりました(見崎氏)」
【質問 4】EFD 採用理由と良かった点、悪かった点
増田氏は、プルーフポイントの DMARC対応支援サービス「Proofpoint EFD(Email Fraud Defense)」を採用した理由について聞いた。
集英社の須藤氏は、情シスの人数も少ないため製品選定にあまり時間をかけたくないという思いがあり、セキュリティ製品はたとえばマーケティング製品等と異なり機能が明確なので、第三者機関の評価がトップクラスであり、世界展開している日本プルーフポイントに決めたという。
国内製造業の見崎氏もこれに同意した。選定に時間をかけているとその間に攻撃を受ける可能性もあるとし、また同社ではセキュリティ対策を NTTデータに支援依頼している関係で、実質的に経営陣の説得は NTTデータが説得したようなものと語った。「日本プルーフポイントの設定にはテクマトリックスに入ってもらったりと、周囲の方々に助けられています(見崎氏)」
Proofpoint EFD を利用して良かった点について AGC 谷口氏は、画面の見やすさと使いやすさを挙げた。増田氏は、特に DMARC の RUA と RUF の 2 つのレポートを可視化できる点が好評であると付け加えた。
須藤氏も画面の見やすさに言及し、レポートを見ることが楽しくなり、新たに検知したサブドメインについてテクマトリックスに質問して処理を進めていると語った。
類似ドメインは DMARC だけで防ぐことは難しいが、増田氏は Proofpoint EFD のバーチャルテイクダウン機能を紹介した。テイクダウンは ICANN に申請するが、通常 3 ~ 4 カ月かかる。申請が通る頃には攻撃キャンペーンが終わっていることもあり得る。しかし、日本プルーフポイントのレピュテーションは多くの企業に提供されているため、バーチャルテイクダウンを適用すれば 24 時間以内にプルーフポイントのブロックリストに登録される。
【質問 5】Proofpoint への要望とダメ出し
増田氏は最後の質問として、日本プルーフポイントへの要望を尋ねた。国内製造業の見崎氏は、DMARC で検知したメールに対し、対応の優先順位をつけやすくする機能があると便利と語った。見崎氏は、管理画面は使いやすいが英語表記があること、そして Web版と UI が統一された”新しい Outlook” では、Phish Alarmという通報ボタンを追加するアドインが対応していないことを挙げた。
これはユーザーが怪しいメールを受信したときにボタンを押すことで、Proofpoint がメールを自動で分析し、必要であれば自動で隔離、さらに分析結果をユーザーに返すという、従業員訓練の一環、またメールSOAR ともなる機能である。見崎氏の会社ではこのボタンを押すことが社内文化として浸透してきているので、”新しいOutlook”に対応して欲しいとした。増田氏は開発に伝えると語った。(なお、この日本からの要望が通り、対応バージョンはすでにリリースされている。)
BIMI の導入予定について各社は、国内製造業の見崎氏、国内金融機関の西牟田氏はすでに導入済み、AGC 谷口氏は正式な決定はまだだが導入予定、集英社 須藤氏も導入予定で、DMARC 対応プロジェクトの開始に合わせて会社のロゴの商標登録を進めているという。
増田氏は、BIMI の対応には通常、DMARC の他に、商標登録された企業のロゴマークと証明書が必要になるため、商標登録をまだとっていないロゴを使う場合は合わせて商標登録も進める必要があると付け加えた。
●各社の今後のセキュリティ対策
パネルディスカッションの締めとして増田氏は今後のセキュリティ対策で取り組みたいことを尋ねた。
見崎氏は、製造業なので転職の際に情報を持ち出す内部不正対策の必要性を挙げ、そのために相関分析が可能な次世代 SIEM の導入が必要とした。
集英社 須藤氏は、出版業界のサプライチェーンには少人数の会社が多く、DMARC はおろか SPF や DKIM も導入してままならず、業界全体でのセキュリティ向上が必要であるとした。
AGC 谷口氏は、メールというシステムが古く脆弱であるため、電子メール自体をなくしたいという本質的なコメントをした。そしてセキュリティ運用は外部のベンダーだけに任せていては難しいため、一部内製化を目指していくという。メールを完全には無くせないかもしれないが、内製化は人材の育成とモチベーション、そして称賛と待遇が重要なため、時間はかかると思うが、日本プルーフポイントなどとタッグを組んで、オペレーションの品質を高めていきたいとした。
●来場者へのメッセージ
増田氏は最後に、パネリストに会場の参加者に向けたメッセージを求めた。
国内製造業の見崎氏は「BIMI がもっと広がるといいと思っています。そのためには日本プルーフポイントの力もお借りしたい。ただ、例えば iPhone のネイティブアプリで Gmail を受信すると BIMI が反映されません。こうしたことが抜け道になる可能性があり、同じようなことが IT のサービスに多くあると感じています。そういったことが変わっていけばいいと思っています」と語った。
集英社の須藤氏は「私たちも、自社のセキュリティを高めることでクリエイターの創作活動を後押しできればいいと考えて取り組んでいます。皆さんに面白い作品を安定的に届けることを実現するために、セキュリティの向上に引き続き努めたいと考えています」と述べた。
AGC 谷口氏は「サイバー攻撃を自分の会社一社で守れるとは思う者はもうあまりおらず、集団防衛に意識を変えていく必要があると考えています。また、サイバー空間に国境はないですが、その中で如実に日本企業が狙われています。サイバー空間の中の日本として、みんなで力を合わせてそうした状況を乗り切っていきたいと思います」と俯瞰的な認識を示した。
--
DMARC 導入に関して行われたこのパネルディスカッションは、実務情報共有の側面もさることながら、積極的に新しいセキュリティ対策を実装していくうえで必要となる勇気やハートも来場者に伝えることに成功していたと思う。
最後に、監督官庁による規制業種である理由から記事には書けないことがあり、相対的にコメントの量が少なくなってしまった国内金融機関A社の西牟田氏(仮名)について言及しておきたい。氏の口調や発言内容が忘れられないからだ。「一兵たりとも傷ひとつ負わせることなく帰還させる」そんな信念を持った戦場のリーダーのようなダンディズムが漂い、優先順位を吟味した対策を網羅的に実施し続けていくことで、エンドユーザーを命がけで守るという強い執念にしびれた。
さすが金融インフラのセキュリティ担当。生き様が垣間見える人物に出会えるのは取材の醍醐味である。こういう金融機関のエンドユーザーになりたいと思った。社長で製品を選ぶ消費行動は存在するが、セキュリティ担当者でサービス選ぶ将来も近いかもしれない。
さて、こんな調子で 4 名の登壇者の方全員を順に丁寧に上げていってもいいし、書くことは各人たくさんあるのだが、しかしそれこそ冒頭で述べた忖度と読者の目には映るかもしれない。だから今回のところは本稿をこのへんで終わりにしておこうと思う。
参考書籍「1973年のピンボール」村上春樹
