DMARCは情シス・マーケ・営業などの企業の様々な部門関連する話です。そのため、プロジェクトを進める際はエラい人のサポートが不可欠です。今回はそのポイントを解説します。
DMARCによるビジネスインパクト
DMARC防ぐべき3つの攻撃
- 自組織に届くなりすましメール: 従業員に成り変わって、給与や通勤手当の送金先変更の依頼が届くケースが報告されています。被害額は大きくないものの、社内でインシデント対応が必要になりますので非常に厄介です。
- 取引先に届くなりすましメール: 近年のサプライチェーン攻撃で問題になっているのはこのタイプです。被害額が数億円規模にもなり、決算にも影響します。普段のやり取りのように見せながらも、「今回の送金先はこちらで」といった形で送金先の変更を依頼してきます。
IPAのビジネスメール詐欺のページが図付きでわかりやすいです - 一般顧客になりすましメール: 対象にバラまかれるので、SNSやメディアで話題にあがってしまったらブランドを大きく毀損します。有名企業のドメインを悪用するケースが多く、不審なメールが大量にバラまかれています。フィッシング・詐欺・アダルトなど様々なケースがあります。
続々とDMARCがガイドラインや規制への対応
- Google送信者ガイドライン: 2024年よりGmail宛に送るメールに対してDMARCが条件に入っています。特に大規模に送信するドメインでは注意が必要です。
- 取引先との契約条件: サプライチェーン攻撃の増加を背景に、DMARCを取引条件に入れる企業が増えています。最近では半導体関連企業やブランドイメージを重視している企業が条件にいれています。取引取引条件に入れているという話を聞いています。
- 規制対応の一環でDMARC対応が必要な組織や企業も:
- クレジットカード: 経済産業省よりカード運営企業にDMARC導入を要請(2023年1月)
- 官公庁や自治体: 政府統一基準で1年以内にquaratine/rejectへ(2024年6月)
DMARCはマーケティングに有効
- メールの到達率向上がDMARC対応で見込める: マーケティングではメールが相手に届くかどうかは重要な指標ですが、なりすましメールが横行しているドメインは到達率が低下している可能性があります。
大手のメールプロバイダーやメールゲートウェイはドメインの信頼性も不正メールブロックの判断材料にしており、なりすましメールが多い場合はそのドメインの信頼性が低下していることがあります。DMARCで第3者による余計なメールを防ぐことで自然と信頼性が向上し、メールの到達率が向上します。 - BIMI対応でメールの開封率が向上する: マーケティングではメールの到達率だけでなく、実際に開封されて読まれることも重要です。BIMI対応でメールにロゴマークを表示することで、メール受信者がメールを開くことに繋がります。
DMARC対応の運用リソースとコスト
DMARC運用の人的コスト
セキュリティ投資の価値: DMARCの導入は初期投資が必要ですが、長期的にはセキュリティの強化とリスク軽減につながります。エグゼクティブ層に、費用対効果の観点からDMARCの価値を説明しましょう。人的コスト費用対効果の説明
セキュリティ投資の価値: DMARCの導入は初期投資が必要ですが、長期的にはセキュリティの強化とリスク軽減につながります。エグゼクティブ層に、費用対効果の観点からDMARCの価値を説明しましょう。
外部の技術支援コスト
ツール導入のコスト
ツール導入コスト
経営層に見せるべき資料・判断材料
「ビジネスインパクト」「運用リソースやコスト」をベースにして経営層向けの資料に仕立てることでDMARCの重要性に理解を得られて、プロジェクトのサポートや予算を得られることが多いです。
費用対効果の説明
- セキュリティ投資の価値: DMARCの導入は初期投資が必要ですが、長期的にはセキュリティの強化とリスク軽減につながります。エグゼクティブ層に、費用対効果の観点からDMARCの価値を説明しましょう。
業界標準やベストプラクティスの紹介
- 業界トレンドの把握: DMARCは現在のセキュリティ業界での標準となっており、多くの企業が導入しています。エグゼクティブ層に、業界でのDMARCのトレンドやベストプラクティスを紹介しましょう。
実際の事例や成功事例の共有
- 成功事例の紹介: 同業他社や類似業界でのDMARC導入による成功事例を紹介し、その効果や成果を具体的に示します。
エグゼクティブ向けのレポートやダッシュボードの提供
- 定期的なレポート: DMARCの導入状況や効果をエグゼクティブ層に報告するための定期的なレポートやダッシュボードを提供します。数字やデータによって、DMARCの重要性と効果を示しましょう。
コメント