サイバー脅威がその数と激しさを増し、さまざまな新しい形態をとるようになるにつれ、企業はますます電子メールのセキュリティに注意を払うようになっている。特に、政府の機密データを扱う組織にとってはそうである。一度のサイバー攻撃は、その大小にかかわらず、その政府の評判に壊滅的な打撃を与えると同時に、国民全体を危険にさらす可能性があります(特に紛争が絶えない国や地域の場合)。
そのため、Federal Risk and Authorization Management Program(FedRAMP)は、特にDomain-based Message Authentication, Reporting, and Conformance(DMARC)に重点を置き、安全な電子メール認証標準とプロトコルの確立に多大な注意と努力を払うようになった。この記事でお伝えします:
- FedRAMPコンプライアンスとは?
- FedRAMPコンプライアンスにおけるDMARCの役割
- FedRAMP準拠システムにDMARCを導入する方法
- 実施と遵守のために必要なステップ
- FedRAMPフレームワーク内でのDMARC実装の課題
FedRAMPコンプライアンスとは?
FedRAMPは、クラウド・サービス・プロバイダーとクラウドベースのプラットフォームに対する厳格な認可認証であり、クラウド製品とサービスのセキュリティ評価、認可、継続的監視に対する標準化されたアプローチを提供します。FedRAMPのコンプライアンス・プログラムは、連邦政府の "Cloud First "イニシアチブを支援するため、2011年の早い時期に設立された。クラウド・ファースト」の目的は、連邦政府機関全体で安全なクラウド・ソリューションの採用を加速させることでした。
FedRAMP 準拠の主な目的は以下の通り:
- 連邦政府機関全体でセキュリティ評価と認可のアプローチを標準化し、異なる利害関係者間で最大限の一貫性を実現する。
- 連邦政府機関の間でクラウド・ソリューションに対する信頼を確立するため、厳格なセキュリティ管理と監視メカニズムを導入する。
- 金銭的・非金銭的リソースを節約するため、重複するセキュリティ評価を最小限にする。
- 日々進化するサイバー脅威に柔軟に対応し、必要な変更をリアルタイムで行う。
FedRAMP準拠の段階
FedRAMP コンプライアンスの主な目的はご理解いただけたと思いますが、FedRAMP コンプライアンスのさまざまな段階について学ぶことも重要です。
- 第一段階では、クラウド・サービス・プロバイダー(CSP)は、必要なセキュリティ管理を実施し、そのシステムを以下のような文書にすることが求められる。 システム・セキュリティ計画(SSP)に文書化することが求められる。
- 第二の評価段階では、第三者評価機関(3PAO)が独立したセキュリティ評価を実施する。
- その後、FedRAMPプログラム管理事務所(PMO)がセキュリティパッケージを慎重に審査し、運用権限(ATO)を付与します。
CSPは、定期的な評価と調整を通じて、要求されるセキュリティ標準への準拠を継続的に確保しなければならないことは重要である。
FedRAMPコンプライアンスにおけるDMARCの役割
DMARCは、FedRAMPフレームワークの範囲内において、電子メール・セキュリティの重要かつ不可欠な要素です。 FedRAMPは、連邦政府に代わって電子メールを送信するすべてのクラウド・サービス・オファリング(CSO)に対して、強制可能なDMARCポリシーを実装するよう求めています。.この要件は 拘束力のある運用指令(BOD)18-01 この要件は、Cybersecurity and Infrastructure Security Agency (CISA)によって発行された数多くのBinding Operational Directive (BOD) 18-01の1つに過ぎない。
DMARCの統合の背景には、数多くの理由がある。まず第一に、DMARCは電子メールによるフィッシング攻撃を検知・防止するプロセスで大いに役立つ。送信者の正当性を確認することで、DMARCは受信者が連邦政府の電子メールの発信元を信頼できるようにします。また、定期的なDMARCレポートから得られる洞察により、機関は重要なセキュリティギャップを特定し、手遅れになる前に対処することができます。これにより、受信者の信頼と信用が高まるだけでなく、連邦政府の電子メールの配信性も向上し、重要なメッセージが意図したターゲットオーディエンスに確実に届くようになります。
関連記事NCSCのメールチェックの変更と英国公的機関のメールセキュリティへの影響
FedRAMP準拠システムにDMARCを導入する方法
以下は、FedRAMP準拠のためのDMARC実装の包括的な内訳です。このプロセスには複数の重要なステップとコンポーネントが含まれます。
- 最初のステップでは、現在の電子メール・インフラを徹底的に評価する。連邦政府を代表して電子メールを送信するために使用されるすべてのドメ インおよびサブドメインについて包括的な監査を実施し、すべての電子メール送信元 (サードパーティ・サービスなど)を特定する。この初期評価には、既存の SPF、DKIM、その他の構成など、現在の電子メール認証設定の概要を含める。
- SPFとDKIMの実装フェーズでは、関連するすべてのドメインのSPFレコードの設定と、送信メールのDKIM署名の設定を行う必要があります。DMARCの実装フェーズに移る前に、SPFとDKIMの設定をテストし、それらが正しく設定されていることを確認する必要があります。
- さて、DMARCの実装段階に移ろう。 DMARCレコードをDNSに公開するには、以下のパラメータに従う必要があります:
- p=reject(つまり、DMARCに失敗したメールは拒否される)
- pct=100 (つまり、100%のメールにポリシーを適用する)
- ruaのEメールアドレスには mailto:[email protected]
- 正確なメールサーバー設定を行うには、すべての送信メールが DMARC、SPF、およびDKIMの設定と 適切に 整合している ことを確認 し、エンベロープのFromアドレスが適切に整合していることを確認してください。
- FedRAMP Rev5に従って、DMARCの実装を必ずシステム・セキュリティ計画(SSP)付録Aに文書化すること。適切なコントロールの下に詳細が含まれていることを確認すること:
- SI-8 高および中程度のベースライン
- SI-5低負荷およびLiSaaS(サービスとしての低負荷ソフトウェア)向け
- いつでも DMARCレコードチェックツールを利用することができます。また、DMARCの実施状況を確認するために、さまざまな送信元からテストメールを送信したり、実際の攻撃時に安全性を確保するために、なりすましの試行を自分で捏造することもできます。
- DMARCアグリゲート(RUA)とフォレンジック(およびフォレンジック( RUF)のレポートを注意深く調べ、潜在的なセキュリティ脅威を特定し、設定に必要な調整を行う。
FedRAMP認定CSOにおけるDMARCの実装の詳細については、以下をクリックしてください。 をクリックしてください。.
FedRAMPフレームワーク内でのDMARC実装の課題
FedRAMPフレームワーク内でのDMARCの実装には、多くの利点がありますが、同時に広範な課題もあります。
1つのドメインとサブドメインを持つ
課題ほとんどの組織は、複数のドメインとサブドメインを持っています。このプロセスをさらに難しくしているのは、これらのドメインやサブドメインがそれぞれ異なるメールサービスを使用している可能性があることです。
解決策すべてのドメインとサブドメインを詳細に俯瞰してエコシステム全体をマッピングし、段階的な導入計画を作成して、それぞれのコンプライアンスを徐々に達成する。
サードパーティ・サービスの利用
課題CSPは、さまざまな電子メール・コミュニケーションの目的でサードパーティ・サービスを利用することが多い。
解決策信頼できるサードパーティプロバイダーのみと協力し、DKIM署名と適切なエンベロープFromアドレスのアライメントを実装するよう依頼する。
古い電子メールシステム
チャレンジ:エンティティの中には、DKIMや最新の認証プロトコルをサポートできないほど古い電子メールシステムを使用している場合がある。
ソリューション:既存の電子メールシステムのインフラを更新したり、完全に変更したりするのは非常にコストがかかるため、電子メールゲートウェイを導入して、古い電子メールシステムからの送信電子メールに認証ヘッダーを追加してみてはいかがでしょうか。
連続モニタリング
課題FedRAMPによってDMARCポリシーを継続的に監視することが求められているため、大量のDMARCレポートを常に処理して分析しなければなりません。これは、多くの時間、財源、人手を消費し、他の重要なタスクに費やす時間を奪う可能性があります。
解決策DMARCレポートの処理と分析に費やす時間とリソースを削減するには、以下のようなツールを使用できます。 PowerDMARCの無料DMARCレポートアナライザーのようなツールを使用することができます。
必要なプロトコルとメカニズムの設定
課題電子メール認証と FedRAMP コンプライアンスのために必要なすべてのプロトコルとメカニズムを設定し、構成することは、特に初期導入段階では非常に難しいかもしれません。
解決策PowerDMARCのような確立された信頼性の高い電子メール認証セキュリティプラットフォームとのコラボレーションを選択することができます。このようなプラットフォームは、オールインワンのソリューションを提供することが多く、セットアップやコンフィギュレーションプロセスをすべて請け負うことができるITエキスパートの専門チームを持っています。
まとめ
FedRAMPフレームワーク内でのDMARC実装には、いくつかの潜在的な課題や困難が伴いますが、信頼できる専門家と協力すれば、すべてではないにせよ、これらの課題のほとんどは容易に克服できることに留意することが重要です。さらに、DMARCやその他のプロトコルの実装に成功すれば、正確な電子メール認証の利点が、課題、コスト、技術的障壁をはるかに凌駕することにすぐに気づくでしょう。
クラウドサービスプロバイダーの電子メールセキュリティを向上させることは、FedRAMPへのコンプライアンスと遵守を確保するのに役立つだけでなく、政府とのコミュニケーションに重要なセキュリティ層を追加し、評判を高め、国民の安全性と安心感を高めることになります。政府レベルで安全な電子メール慣行へのコミットメントを示すことは、より良い健全なデジタルエコシステムとサイバー攻撃成功の可能性を低くするための重要な一歩です。
お問い合わせFedRAMPの範囲内であれ、それ以上の範囲であれ、お客様の組織に適したDMARCの実装について詳しくお知りになりたい場合は、弊社までお問い合わせください!
- SPFチェックに失敗しました。[解決済み]- 2025年 1月 7日
- DNSの脆弱性:トップ5の脅威と緩和策- 2025年1月1日
- DKIM Signature is Not Valid(DKIM署名が有効ではありません)」エラーを修正するには?- 2024年12月24日