【IT担当者向け】DMARC設定ガイド：GDPRとサイバー攻撃から会社を守る必須対策

「メールセキュリティ？うちは迷惑メールフィルター（スパムフィルター）も入ってるし、大丈夫でしょ。」

もしあなたがそう考えているなら、それは大きな見落としです。

特に、欧州とのビジネスがある日本の企業にとって、メールセキュリティは単なる迷惑メール対策を超えた、GDPR（一般データ保護規則）コンプライアンスの最重要課題です。

そして、その中心にあるのが「DMARC」という技術。

今回は、なぜDMARCがあなたの会社のメールセキュリティにおいて最優先事項であるべきか、そして日本のIT担当者が具体的に何をすべきか解説いたします。

迷惑メールフィルターだけでは不十分な理由

多くの企業が導入している迷惑メールに対するフィルターは、主に受信メールを分析し、既知のスパムやウイルスをブロックするものです。

一方で、サイバー犯罪者が使う最も巧妙な手口の一つである「なりすましメール」には、これだけでは対応できません。

なりすましメールとは、あなたの会社のドメイン（例：@primoposto.co.jp）を偽装して送られる詐欺メールのことです。

• 取引先へのなりすまし：偽の請求書を送りつけ、金銭をだまし取る。
• お客さまへのなりすまし：「アカウント情報更新」と称して、お客さまの個人情報やクレジットカード情報を盗む。
• 従業員へのなりすまし：役員になりすまして、機密情報や個人情報をだまし取る「BEC（ビジネスメール詐欺）」。

ビジネス詐欺メールは、リンクなどが何もなく完全に出張中などの上司になりすましてメールが送られてくるため、その指示に従い情報を開示したり、振込をしてしまう事件が発生してしまいます。

日本航空社が2017年12月に、ビジネスメール詐欺で約3億8000万円の被害を受けた事件は、迷惑メールフィルターだけでは防ぎようがないことを示す事案となりました。

これらの攻撃は、迷惑メールフィルターをすり抜けることが多く、ひとたび成功すれば、

• 会社の評判失墜
• 多額の金銭的損失
• 法的リスク

につながります。

特に、欧州のお客さまの個人情報が漏洩した場合は、GDPR違反として数億円から数十億円の罰金が科される可能性があります。

DMARCが解決する根本的な課題

DMARC（Domain-based Message Authentication, Reporting, and Conformance）は、SPFとDKIMという二つのメール認証技術を補完し、その能力を最大限に引き出すための言わば「ルールブック」です。

SPFとは

「このIPアドレスからのメールは、ウチのドメインから送っても大丈夫だよ」と許可リストを公開する技術。

DKIMとは

「このメールは、我々の秘密鍵で署名されているから、改ざんされていない本物だよ」と証明する技術。

これら２つの技術だけでは不十分な場合があります。例えば、SPFやDKIMの認証チェックに失敗したメールをどう扱うか、というルールがありませんでした。

受信側のメールサーバーは、怪しいメールを受け取っても、どうすべきか判断に迷ってしまうのです。ここでDMARCの出番です。

DMARCは、DNSに公開されたレコードを通じて、SPFとDKIMの認証に失敗したメールに対して、受信側サーバーに次のいずれかの指示を出します。

• 何もしない（p=none）: DMARCのレポートだけを送信元に送る。最初の導入段階で利用し、現状分析を行います。
• 隔離する（p=quarantine）: 迷惑メールフォルダに入れるなどして、隔離します。
• 拒否する（p=reject）: 受信拒否し、メールボックスに届かせません。

DMARCの真の力は、この「拒否（reject）」ポリシーにあります。DMARCの設定におけるGOALはこの「拒否（reject）」です。

あなたのドメインを装ったなりすましメールは、受信トレイに到達する前にブロックされるため、フィッシング詐欺の成功率をゼロに近づけることができるのです。

なぜDMARCがGDPRコンプライアンスに直結するのか

GDPRの条文には「DMARC」という単語は一切出てきません。しかし、GDPRは企業に「適切な技術的・組織的措置を講じて個人データを保護せよ」（Article 32）と明確に要求しています。

DMARCを導入しないことは、この「適切な技術的措置」を怠っていると見なされる可能性があります。

もし、なりすましメールによって欧州のお客さまの個人データが漏洩した場合、規制当局はこう問うでしょう。

「なぜ、なりすましメールを防ぐための、広く普及している技術的対策（DMARC）を導入していなかったのですか？」

これが「予防できたはずの侵害」と判断されれば、GDPR違反として高額な罰金が科せられるだけでなく、企業の評判は地に落ち、せっかく開拓した欧州市場でのビジネス継続が困難になるかもしれません。

DMARCの導入は、GDPRへの「積極的な対応」を外部に示すことでもあります。

DMARCレポートを通じて、ドメインの利用状況を常に監視していることを証明できれば、規制当局やお客さまからの信頼を獲得する上でも有利に働きます。

IT担当者が今すぐ取り組むべき5つのステップ

DMARCの導入は、次の5つのステップで、段階的に、そして確実に進めていきましょう。

ステップ1：現状分析（監視モードの設定）

まず、DMARCレコードを監視モード（p=none）でDNSに設定します。

v=DMARC1; p=none; rua=mailto:ｙｍ@primoposto.co.jp

これにより、あなたのドメインを装ったメールが送られるたびに、DMARCレポートが指定したメールアドレスに送られてきます。

このレポートはXML形式で、最初は読みにくいかもしれませんが、解析ツールを使えば、誰が、どのIPアドレスから、あなたのドメインを使ってメールを送信しているかが一目瞭然になります。

こちらのページにDMARCの管理ツールを紹介しておりますのでご覧ください。

https://primoposto.co.jp/products/

この段階で、正規のメール送信元と、不正な送信元の両方を把握します。

ステップ2：SPFとDKIMの整備

DMARCレポートを分析すると、正規のメール送信元なのに、SPFやDKIM認証に失敗しているケースが見つかるかもしれません。

これは、あなたの会社のメールシステムや設定に問題があることを示しています。

DMARCポリシーを厳格化する前に、まず正規のメールがすべて認証をパスするように、SPFレコードとDKIM署名を正確に設定し直しましょう。

ステップ3：隔離モードへの移行

正規のメール送信元がすべて認証をパスしていることを確認できたら、DMARCポリシーを隔離モード（p=quarantine）に移行します。

v=DMARC1; p=quarantine; rua=mailto:ｙｍ@primoposto.co.jp

これにより、なりすましメールは受信者の迷惑メールフォルダに振り分けられるようになります。ユーザーへの影響を最小限に抑えつつ、DMARCの効果を試すことができる重要なステップです。

この段階でも、継続的にレポートを監視し、予期せぬ問題が発生しないか確認します。

ステップ4：拒否モードへの移行

隔離モードで問題がなければ、いよいよ最終目標である拒否モード（p=reject）へ移行します。

v=DMARC1; p=reject; rua=mailto:ｙｍ@primoposto.co.jp

あなたのドメインを偽装したメールは、受信者に届くことなく、完全に拒否されるようになります。あなたの会社のドメインは、なりすましから強力に守られることになります。

ステップ5：継続的な監視と管理

DMARC導入は一度設定して終わりではありません。

新しいクラウドサービスを導入したり、外部ベンダーと連携したりするたびに、そのメール送信元が正しく認証されるように設定を更新する必要があります。

DMARCレポートの継続的な監視は、健全なメールエコシステムを維持するために不可欠です。

最後に

DMARCは、日本のIT担当者が取り組むべき課題の中でも、最も緊急性が高いものの一つです。

これは、単にメールが届くかどうかという話ではありません。DMARCは、会社の信頼性、お客さまの安全、そしてGDPRコンプライアンスを、技術的に保証するための鍵です。

欧州とのビジネスにおけるGDPRの罰金リスク、そしてサイバー攻撃による会社の評判失墜リスクを考えれば、DMARCの導入はもはや選択肢ではなく、必須の経営課題です。

IT担当者であるあなたの手腕が、会社の未来を左右すると言っても過言ではありません。今日からDMARCの導入を始め、あなたの会社を次のレベルのセキュリティへと引き上げる準備を進めてください。