官公庁向けDMARC

国民である私たちは、州政府から電子メールを受け取ると、真っ先に行動に移したくなる。災害に関する警告や納税通知、医療予約の確認など、これらは私たちの注意を引く政府主導の通知のほんの一例に過ぎない。では、これらのメッセージを詐称したフィッシング・キャンペーンを想像してみよう。全国的なパニックと混乱を引き起こす可能性がある！これこそが DMARC(Domain-based Message Authentication, Reporting & Conformance）は、まさにこれを防ぐために作られたものなのです。

このガイドでは、なぜ電子メールセキュリティが重要なのか、政府機関においてDMARCの導入が弱いと起こりうるリスクについて、公共機関向けに解説しています。 

電子メールのセキュリティが公的機関にとって重要な理由

民間企業とは異なり、政府は、そのようなことをする必要はない：

• "ユニバーサル・トラスト・ドメイン "を所有する。市民は、怪しげな電子商取引メールを無視することはできるが、政府ドメインからのメッセージを無視することは通常ない。
• 大規模に操作する。なりすましの健康警告や納税警告は、1日で数百万人に影響を与える可能性がある。
• 地政学的な重みがある。なりすましの政府メッセージは、攻撃者が誤った情報を広めたり、偽の危機指示をシミュレートするために武器にすることができる。
• 重要なサービスへの影響医療、税制、防衛、移民、災害対応などにおいて、たった一通の悪意のあるメールが国家の安定を乱す可能性がある。

政府のメールアドレスには重みがあります。市民、企業、その他の政府機関は、.gov、.gov.uk、.eu、または同様のドメインからのメッセージを権威あるものとして扱います。そのため、公式な送信者になりすます攻撃者にとっては、価値の高いターゲットとなります：

• 市民の機密データを盗む 
• 従業員を騙して資金を送金させたり、信用情報を漏らしたりする。
• 公共の安全を損ねたり、信頼の失墜につながる誤った情報を広める。

1通のなりすましメッセージが成功すると、緊急時の混乱、個人情報の盗難、詐欺、風評被害など、連鎖反応が引き起こされる可能性がある。DMARCは SPFおよびDKIMDMARCは、SPFおよびDKIMとともに使用され、受信者は、公式アドレスからのメールであると主張するメールが実際に認可された送信者からのものであるかどうかを検証し、チェックに失敗したメッセージの処理方法を受信メールサーバーに指示することができます。これにより、なりすまし攻撃の影響を軽減することができます。

政府機関におけるDMARCの不十分な導入のリスク

政府機関にDMARCポリシーがなかったり、DMARCの設定を誤ったりすると、以下のような結果を招く：

• フィッシングと詐欺：攻撃者は、受信者に悪意のあるメールが正当なものであると信じ込ませ、クリックスルーやクレデンシャルの盗難を増加させることができます。
• 業務の中断：詐欺メールは、緊急サービス、税金や福利厚生の障害、ヘルプデスクへの大量のリクエストを引き起こす可能性があります。
• 市民の信頼の喪失：スプーフィングが繰り返されることで、市民は徐々に公的なコミュニケーションに対する信頼を失い始め、長期的な影響を及ぼす。
• 規制の影響：現在、多くの公共機関のドメインは、安全な電子メールポリシーを採用するよう国から義務付けられている。DMARCの DMARCの導入を怠ると、コンプライアンス違反につながる可能性があります。
• 兵器化された偽情報：攻撃者は、自然災害、パンデミック、選挙などの際に政府の警報を詐称し、混乱を引き起こす。
• 経済的影響偽の納税要求や政府からの不正な請求書は、業界全体に経済的損害を与える可能性がある。
• 国際的リスク：多くの政府機関が国際的な交流を行っています。危うい政府領域は、対外関係や国際貿易における信頼を損ないかねない。

政府DMARCの要件と推奨事項

国によって、公的機関の電子メール認証に対する義務付けや強力なガイダンスは異なる。以下に注目すべき例を挙げる： 

• 米国DHS拘束的業務指令 (BOD）18-01SPF、DKIM、DMARCを実装し、集合報告を使用するよう連邦政府民間機関に指示。
  
• イギリス英国政府は2016年、なりすましの脅威を抑制するため、ドメイン全体でp=rejectのDMARCポリシーを義務化し、先駆的な一歩を踏み出した。しかし NCSCは2025年3月にMail Checkの集計レポートを廃止したため、電子メール認証活動に関する重要なレイヤーを失い、未検出の誤設定や配信上の問題が発生するリスクが高まっています。
  
• ドイツ:2018年6月より、ドイツは 積極的なマルウェアとスパムの拡散を制限するため、インターネット・サービス・プロバイダーにSPF、DKIM、DMARCを採用するよう促した。
• ニュージーランド:ニュージーランドの セキュアガバメントメール（SGE）フレームワークでは、すべての電子メール対応政府ドメインは、p=rejectのDMARCポリシーを採用し、ハードフェール(-all)でSPFを実装し、すべての送信メールにDKIM署名を保証しなければならない。
• オランダ:オランダ 標準化フォーラム(標準化フォーラム)はDMARCを「オープンスタンダード」の一部とし、「Pas toe of leg uit」(「遵守または説明」)リストに含めた。Joint Ambition Statement "および関連協定によると、オランダのすべての政府機関は2019年末までにアンチフィッシングメール標準（SPF、DKIM、DMARC）およびメールセキュリティ標準（STARTTLSやDANEなど）を実装することが期待されていた。

これ以外にも、金融や医療を含むいくつかの業界では、基本的なセキュリティとしてDMARCや電子メール認証を参照するケースが増えている。 

政府・公共機関向けDMARCの設定方法 

以下は、政府機関のドメインにDMARCを導入するための簡単なステップ・バイ・ステップのアプローチである。ドメイン名やアドレスは適宜置き換えてください。

1.インベントリー：すべての送信者をマップする

• ドメインやサブドメインを使用するクラウドベンダーやサードパーティの送信者を含む、すべてのサービスのインベントリを構築する。
• IPアドレスとDKIM署名元をメモしておく。

2.SPFとDKIMのベースラインの確保

• 許可された送信IP/サービスのみをリストアップし、過剰なインクルードを避ける正確なSPFレコードを発行する。
• 送信メールのDKIM署名が有効になっていることを確認し、DKIM公開鍵（DNS TXT）を公開し、セキュリティを強化するために定期的に鍵をローテーションする。
• SPF/DKIMをテストする SPFチェッカーおよび DKIMチェッカーツールを使用してください。

3.監視されたDMARCレコードを公開する

安全にレポートを収集できるよう、モニタリングから始めましょう：

名前_dmarc.example.gov

タイプTXT

値："v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s; fo=1"

• p=noneは、配信に影響を与えずにレポートを収集する。
• XMLの集計レポートにはruaを使用し、失敗の洞察にはrufを使用する（最初に法的ポリシーを確認すること）。
• デリケートな環境での厳密なアライメントには、adkim=sとaspf=sを使う（これは初期段階ではオプション）。

4.レポートの収集と分析

• 集計レポートの一元化 (rua)を、我々の DMARCレポートアナライザー.レポートには、どのIPがメールを送信したか、合格/不合格の割合、アライメントの失敗などが表示されます。
• 正当な送信元と不正な送信元を分類し、それに応じてSPFインクルードを更新する。転送メールの問題については、DKIMに頼るか、転送サーバーを認証するか、認証ヘッダーを保存するようにARCを設定する。

5.徐々に施行へ

• ドメインの一部に対してp=quarantineに移行する。
• 直帰率や苦情率、配信率を監視する。
• 確信が持てたら、pct=100でp=却下に移行する。実施後も厳しく監視する。

例

初期記録： v=DMARC1; p=quarantine; pct=50; rua=mailto:[email protected]; adkim=s; aspf=s

更新記録： v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]; adkim=s; aspf=s

よくある課題とその回避方法

1. p=noneを信じることで、なりすましを防ぐことができる。:監視モード（p=none）はデータを収集するだけで、なりすましを防ぐことはできない。p=quarantineとp=rejectへの明確なパスとタイムラインを計画すべきである。
   
2. 古いインベントリ：文書化されていないサードパーティの送信者は、ポリシーを適用する際に失敗の原因となります。これを解決するには、サードパーティの送信者がSPFレコードで承認されていることを確認し、新しい送信者を追加するたびにレコードを更新してください。
   
3. 複数のDMARC/SPFレコード：1つのドメインに対して複数のDMARCまたはSPFレコードを発行すると、認証が破られます。常に、送信ドメインごとに正確に1つのレコードが存在するようにしてください。
   
4. 長いSPFレコード/DNSルックアップを超えました：SPFにはルックアップ制限（DNSルックアップを引き起こす10のメカニズム）があります。制限値を下回るようにするには、当社の SPFフラット化ツールまたは SPFマクロを使用することができます。
   
5. 転送はSPFを破壊する：メールの転送は、正当なメールであってもSPFを失敗させる可能性がある。可能な限りDKIMに依存し、ARCを使用してオリジナルの認証ヘッダーを保存する方がよい。
   
6. フォレンジックレポートとプライバシー/法的懸念：フォレンジックレポートには、場合によっては機密データや電子メールの内容が含まれることがあります。rufを有効にする前に法務チームに相談し、PowerDMARCのようなフォレンジックレポートの暗号化を提供するサービスを利用することをお勧めします。
   
7. 集計レポートの誤解：XML集計レポートは非人間的であり、非技術的な読者にとっては複雑である。自動化されたパーサーや DMARCダッシュボードを使用する方がはるかに便利です。

PowerDMARCが公共機関を支援する方法

官公庁は、DMARC の展開を加速させ、かつコンプライアンス上の制約を遵守するために、信頼できるパートナーとの協業を好むことがよくあります。PowerDMARC は、以下のような公共機関に適した機能を提供します：

• レポートの自動解析 お客様の 集計およびフォレンジックレポートは自動的に解析され、明確なフィルターを備えたカラフルで見やすいダッシュボードに表示されます。
  
• SPFとDKIMの展開： SPFレコードの簡素化と最適化、DKIMキーのローテーションを管理するホスティングツールとサービスを提供しています。
  
• アラートと迅速なサポート： 当社のプラットフォームは、なりすましの急増、新たな不正送信者、配信の問題などに関するリアルタイムのアラートをサポートし、サポートチームが迅速な修復を支援します。
  
• 即座のコンプライアンス・チェック:ドメインの健全性分析とコンプライアンスチェックを素早く実行し、メールセキュリティ全体の進捗状況を即座に監視することができます。

PowerDMARCはまた、SOC2 Type2、SOC3、ISO 27001認証、GDPR準拠のベンダーでもあります。 

まとめ

政府機関にとって、DMARCは単なるアクション・アイテムではない。継続的なガバナンスと監視が必要である。その見返りは、公式チャンネルを装ったフィッシング攻撃の減少、ヘルプデスクの負担軽減、市民の信頼向上、コンプライアンス態勢の強化である。

何万件もの報告書を解析したり、未知の送信者を発見したり、あるいは執行機関に安全に連絡したりするために、あなたの機関が助けを必要としているなら、PowerDMARC にご連絡ください、 PowerDMARCにご連絡ください。にご連絡ください！

• について
• 最新記事

Ahona Rudra

ドメインとメールセキュリティのエキスパートPowerDMARC

AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。

最新記事 by Ahona Rudra(全て見る)

• CNAMEとAレコード：どちらのDNSレコードを使うべきか？- 2025年11月18日
• DMARC MSP ケーススタディ：PowerDMARCがアマルフィ・テクノロジー・コンサルティングのクライアント・ドメインをなりすましから守る方法- 2025年11月17日
• メール到達性テスト：メール配信テストとは何か？- 2025年11月17日