まずは社内での合意形成が大事
エグゼクティブのサポートとコミットメント
- エグゼクティブの関与: プロジェクトの成功には、エグゼクティブの支援が不可欠です。というのも、DMARC対応では他部門との調整、専門企業への支援依頼(お金)、人員増強など企業の役員クラスの協力がないと勧められません。
- エグゼクティブの理解: 経営陣や重要な関係者からのプロジェクトにコミット得るためには、DMARCの理解が欠かせません。ただし、DMARCの技術的な観点での理解ではなく、ビジネスリスク・法規制・顧客との信頼関係・費用対効果・業界標準の観点で理解です。企業におけるリスク管理の観点でも正確に把握しておく必要があります。
(詳しくは「経営層が理解すべきDMARCのポイント」を参照)
チームの形成とトレーニング
- 専門チームの組織作り: DMARCプロジェクトの専門チームを組織作りが必要です。セキュリティ部門や情シスから、メールシステムとセキュリティなどの適切なスキルを持ったメンバーが含まれることが重要です。(詳しくは「DMARCプロジェクトの人的リソースとスキルセット」を参照)
- チーム内のトレーニング: チームメンバーや関係者にDMARCの基本や運用方法を理解させるためのトレーニングや教育が必要です。
- 社内の啓蒙活動: DMARC対応の重要性や進捗をチームだけでなく社内に通知します。というのも、大企業では情報システム部門が関与していないメール送信環境が存在することが多く、加えて事業部門でドメインを所有しているということもあります。他部門からの情報を収集して対応を進めるためにも、広く知ってもらう必要があります。
技術的課題の整理
ドメインの評価と設定
- ドメインの評価: すべての企業ドメインを評価し、どのドメインがDMARCを実装する必要があるかを決定します。
- DMARCレコードの設定: ドメインのDNSレコードにDMARCポリシーを追加し、適切に設定します。
テストと段階的な展開
- 段階的な展開: すべてのドメインに一度にDMARCを適用するのではなく、段階的に展開していきます。テスト環境での確認や、影響を最小限に抑えながらの展開が重要です。
- テストとモニタリング: DMARC設定のテストと定期的なモニタリングを行い、問題を早期に検出し修正することが大切です。
運用上の課題の解決
レポーティングと分析
- DMARCレポーティングの設定: DMARCレポートを受信し、メールの送信状況や認証結果を定期的に監視します。
- 分析と改善: レポートから得られるデータを分析し、DMARCのポリシーを改善するための情報を得ます。
パートナーシップとコラボレーション
- セキュリティパートナーの利用: DMARCプロジェクトの成功には、セキュリティパートナーとの協力が不可欠です。専門家の助言を得ることで、プロジェクトのスムーズな推進が可能です。
- 業界標準の遵守: DMARCの導入において、業界のベストプラクティスや標準に従うことが重要です。
ポリシーの強化と改善
- ポリシーの強化: DMARCポリシーを段階的に強化し、不正なメールの防止を強化していきます。
- 定期的なレビュー: ポリシーやプロセスの定期的なレビューを行い、新たな脅威に対応するために改善を継続的に行います。
大企業のDMARC促進プロジェクトでは、これらの要素を総合的に考慮し、適切な戦略を策定して実行することが重要です。また、プロジェクトの成功には時間とリソースがかかることを理解し、長期的な視野で取り組むことが必要です。
コメント