なりすましメール対策として、SPF/DKIMと合わせて差出元ドメイン検証技術「DMARC」の重要性が高まっています。
- クレジットカード会社等に対するフィッシング対策の強化を要請しました
- 送信ドメイン認証技術「DMARC」の導入状況と必要性について
- ドコモメールに「迷惑メールフォルダ」を追加 ~準拠する「DMARC」ポリシーも拡充~
今後、企業や組織の規模やビジネス形態によらずDMARCは将来的に必須となることは避けられません。ECサイト有無等には関係なく、メールの差出人に使うドメイン全てで求められるようになるでしょう。対応の遅れは、取引先へのメール送信に失敗する、潜在顧客へのリーチ率低下などビジネス上の問題を引き起こしかねません。
本サービス「DMARC導入アドバイザリー」は、
- DMARCを導入したいがよくわからない : 必要性は理解できるが時間もなく手をつけられない
- 技術的な知識が不足している : SPF/DKIM/DMARCの動作原理や意味よくわからない
- DMARCレポートを分析できない : レポートを受け取っても何を見れば良いのかわからない
- 途中で挫折してしまった : p=noneまでは設定できたが、そこから先に進めない
- 月額費用が気になる : レポート可視化ツールの月額料金を継続的に支払うのを負担に感じる
こうした課題感をお持ちの企業/組織/団体/個人様が保有するドメインで、理想的なDMARCの導入と設定完了(p=reject)までの作業をご支援する伴走型サービスです。月額費用不要を一つの特徴としています。
国内DMARC導入割合は依然として低く、導入済みであっても「p=noneのまま」「レポート受信用メールアドレスが未設定」といった形だけのDMARC導入に留まっているケースが少なくありません。これは、DMARCレポートを読み解く難易度が高いことに起因しています。
DMARC導入のプロセスは、一般的に以下とされています。
- [STEP1] DMARCとその関連技術であるSPF/DKIMの理解
- [STEP2] DMARCレポート可視化ツールの導入
- [STEP3] DMARCレポートの分析と適切な設定
これらのハードルは非常に高く、余程の大手企業でなければ費用/時間の両コストをかけるのは困難です。
敷居の高さが適切なDMARC導入が期待する程には広がらない遠因になっていることを誰も否定できないでしょう。これはWebサイトのサーバ証明書対応(https対応)の広がりが比較的スピーディであったのと対照的です。(参照 → 常時SSL化 調査レポート (過去8年に渡り毎月実施してきた弊社調査))
実は、中小企業のドメインや小規模事業ドメインにおいては、現状に則した適切な設定が一度行えば十分な例が多くあります。(※企業により年1程度の診断は推奨。常時監視までは不要)
月額負担がなく適切なDMARC設定を支援することが可能になれば、時間/費用の両コストは軽減され、国内でDMARCを適切に導入した企業数が増加する筈です。ひいては、なりすましメールによる被害の減滅に繋がることが期待されるのです。
もちろん、上記のSTEP1-3が可能であれば、シャドーITを早期検出&対応できるメリットもあるため、一般的な進め方を否定するものではありません。弊社もDMARCレポートツールを導入しているほか、可視化を希望されるお客様にはツールをご紹介する例もあります。
しかし、なりすましのフィッシングメールによる被害が絶えない今、悠長なことは言っていられません。STEP1/2をすっ飛ばし、STEP3を裾野広く展開することが何より急務でしょう。
本サービス「DMARC導入アドバイザリー」は、こうした考えに基づき開発されたサービスです。DMARCレポート読み解きをお客様の代わりに行ったうえで設定をご支援し、適切なDMARC導入の敷居を下げ、導入ドメイン数の増加を底上げしたいと考えています。
理想的なDMARCの設定である p=reject に到達することを目指して、以下の5ステップを順に実施させて頂きます。
1. ヒアリング
お客様のメール環境(SPF/DKIM設定、メールサーバ構成、メール送信システム等)をヒアリングし、DMARCの理想的な設定(p=reject)への到達に向けたタスクを洗い出します。
これには、お客様がご利用中のSaaSや独自に開発した社内システムの開発ベンダーから収集すべき情報や依頼すべき内容についてのアドバイスも含まれます。
(効率UPのため事前にヒアリングを実施。ヒアリング後にビデオ会議を実施)
2. レポート収集
DMARCレポートを共有いただき、弊社が現状を分析します。共有方法は以下2種類からお選び頂きます。
- お客様にDMARCレポートを取得頂き、定期的にレポートファイルを共有頂く
- 弊社指定メールアドレスをレポート送信先として指定したDMARC設定を行って頂く
弊社が解析を行います。お客様がレポートを読み解く必要はありませんが、レポートの可視化を希望されるお客様には推奨ツールをご紹介させて頂きます。
(独自開発ツールでDMARCレポートを解析する様子)
3. 計画の策定
ヒアリング結果とレポート分析に基づき、段階的なDMARC設定移行計画を策定します。既存のメール配信に影響を与えないよう、適切な移行手順をご提案いたします。
4. 設定の実施
DNSレコード設定、DMARCポリシーを段階的に適用します。DMARCレポートを弊社が読み解いて、お客様が社内/組織内に確認すべき事項をお伝えします。また、契約期間中に、システムやサービスからのメールが届かない等の報告があがった場合には、SPF/DKIM/DMARCの視点からアドバイスをさせて頂き、安心してDMARCの導入ができるよう伴走いたします。
実施にはSPFやDKIMの新規設定や変更が必要になりますが、オプションでご希望により設定作業を当社が代行します。
5. レポート提出
理想的なDMARC設定に到達した後、設定内容や設定前後の状況変化についてレポートを提示致します。(お客様社内でご利用のサービスやシステム等の都合により期間中に理想の設定に到達できない場合、その後の移行計画のご提示・ご説明をもってレポート提出とさせて頂きます。ご支援期間の延長も可能です)
| 基本費用 | ¥198,000 | |
|---|---|---|
| 月額費用 | ¥0 | |
| ご支援期間(*1) | 3ヶ月 | |
| ご支援期間 3ヶ月延長(*2) | ¥33,000 | |
| DMARC設定 定期診断(*3) | ¥55,000/回 | |
| 価格適用条件 | メールアドレス | 50個まで (受信専用のエイリアス・MLを除く) |
| サブドメイン | 1つまで | |
| 社内システム/SaaS数(*4) | 3つまで | |
※ 料金は全て税込です。お申し込み頂くドメイン(主ドメイン)1つあたりです。主ドメインでの利用状況が価格適用条件を超える場合は別途お見積もりとなります。主ドメイン以外にサブドメインでもメール運用がある場合、追加料金が発生します。複雑なメール送信環境が観測された場合、追加調査・設定費用が発生する場合があります。
(*1) 3ヶ月で完了しない場合、その後の導入手順のご提示を持って契約終了となります。お申し込みを頂いた翌々月末を契約終了期限とします。
(*2) 3ヶ月で完了しない場合に、契約を3ヶ月間継続していただくことができます。延長は原則1回のみとなります。
(*3) 契約完了後にDMARCのレポート再分析と診断を実施するオプションです。1回あたりの料金です。本オプションの契約には本サービスの契約終了後、最低6ヶ月を空けて頂く必要があります。
(*4) Fromに主ドメインを指定したメール送信があるSaaS/社内システム等の数です。メール送信を伴わないものは含まれません。
弊社は静的Web事業 espar において、静的ページ向けの JavaScript だけで動作する問い合わせフォーム実装ツール epsar form を提供しています。
同ツールで実装されたフォームから送信されるメールの到達性を高めるため、SPFはもちろんのこと、フォーム系ツールとしては珍しく無償で独自ドメインDKIM署名にも対応しています。(以下、オンラインマニュアルの解説)
お客様がDMARCを導入する際に、Webサイトのフォームが p=reject に進める阻害要因になることを避ける ため、独自ドメインDKIM署名を標準機能としてご提供しています。
epsar form の導入企業様からご依頼で DMARC 導入を伴走支援させて頂くことも増え、多くのケースでお客様がDMARCの動作原理を理解してレポートを読み解くのは不可能に近いと実感するに至りました。
DMARC導入ドメインが増えれば増えるほど、なりすましによるフィッシングメールの減滅に繋がる筈という考えから、メールやDNSに関する技術的知見を裏付けにお客様負担の少ないDMARC導入支援サービスを展開することとしました。