国家サイバーセキュリティセンター(NCSC)による最近の決定によると、メールチェック・サービスに大幅な変更が適用される見込みである。この変更には、2025年3月24日に実施されるDMARC報告サービスの廃止が含まれます。この変更は、英国の公的機関の電子メール・セキュリティ対策に大きな影響を与えるでしょう。
NCSCメールチェック・アップデートの説明
NCSCは、既存のサービスのコストと複雑さのレベルを損なうことなく、英国に本拠を置くすべての組織にサービスを拡大するよう努めており、そのプロセスを促進するために一連の変更を導入した。
何が変わるのか?
NCSCによると、メールチェックは以下のサービスに対する小切手の提供を継続する:
- ポリシーの強さとエラー DMARCポリシー
- SPFポリシーの有効性と誤り
- 政策の強さとエラー MTA-STS方針
- 暗号化方式、証明書の有効性など、関連するインバウンドTLSの詳細。
しかし、NCSCは同サービスに対するサポートを打ち切ることを確認した:
- DMARCの洞察
- DKIMチェック
- TLSレポート(TLS-RPT)
これらの変化の意味するもの
DMARCの集計報告を手放せば、メールベースの脅威の特定と対応がより困難になり、フィッシング攻撃が成功する可能性が高まる。また、国内外のメールセキュリティに関する推奨事項や規制を遵守することも難しくなります。
例えば サイバーアセスメントフレームワーク(CAF)は、サイバー攻撃の可能性と強度を低減するために、サイバー攻撃検知のための効果的なツールとメカニズムの導入を要求しており、DMARC集計レポートは、そのような効果的な手段の1つでした。したがって、DMARCの集約報告を手放すことは、不正使用の検出を複雑にするだけでなく、組織の関連規制へのコンプライアンスにも悪影響を及ぼすことになる。
DMARCの有効性を維持し、新しいタイプのセキュリティ脅威に対応するためには、継続的な監視と更新が必要です。DMARCのアグリゲートレポートは、このプロセスの不可欠な側面であり、これを犠牲にすることは、メール配信を危険にさらす可能性があります。
英国の公的機関におけるDMARCモニタリングの重要性
電子メールのセキュリティは、機密性の高い市民データを管理し、重要な公共サービスを提供する役割を担っていることから、英国の公的機関にとって喫緊の課題となっています。DMARC(Domain-based Message Authentication, Reporting, and Conformance)の監視は、この目的のために極めて重要です。
1.公共の信頼を守る
公共部門は、市民の信頼を悪用しようとするサイバー犯罪者の頻繁な標的となっています。DMARCの監視は、偽造や悪用から公共機関のドメインを保護するのに役立ちます。
2.フィッシングとなりすまし攻撃の防止
DMARCを実施しないと、攻撃者は公共部門の電子メール・ドメインになりすまし、個人情報や金融情報を盗むフィッシング攻撃につながる可能性があります。モニタリングは、DMARCポリシーの実施を確実にします。
4.プロアクティブな脅威の特定
DMARCレポートは、お客様のドメインに代わって誰がメールを送信しているかについての詳細な洞察を提供します。この可視性により、悪意のある活動を早期に特定し、タイムリーな介入を可能にします。
5.セキュリティ対策の費用対効果
DMARC監視を導入することで、メールベースの攻撃に関連する金銭的および風評的コストを削減することができます。また、ドメイン保護を自動化することで、ITチームの作業負荷を軽減します。
メールチェックの代替手段 組織に追加のDMARCソリューションが必要な理由
予想されるMail Checkの変更による悪影響を避けるため、NCSCは英国の公的機関に対し、PowerDMARCのような代替または追加のDMARCソリューションを選択することを推奨する。これらは以下のような関連機能を提供すべきである:
- DMARC集計(RUA)およびフォレンジック(RUF)レポート
- 潜在的脅威に対する警告(常時監視が必要)
- 高度な分析機能
- DKIMチェック
- TLSレポート
PowerDMARCはどのように新規則に対応できるか
機能性 | 2025年3月変更後のNCSCメールチェック | PowerDMARC |
---|---|---|
DMARC集計レポート(RUA) | いいえ | はい。 |
DMARCフォレンジックレポート(RUF) | いいえ | はい。 |
DKIMチェック | いいえ | はい。 |
TLSレポート | いいえ | はい。 |
リアルタイムのモニタリングとアラート | 限定 | カスタムEメール、ウェブフックアラート |
高度な分析ツール | いいえ | はい。 |
PowerDMARCは、変更や新規制に対応するために必要な郵便小切手の代替手段です。当社のプラットフォームは以下を提供します:
- DMARC集計(RUA)とフォレンジック(RUF)の両方のレポート
- Google、Yahoo、PCI-DSS、その他関連する電子メール認証要件(ローカル、グローバルを問わない)への準拠
- DMARCレポートの簡素化。生のXMLファイルを人間が読める形式に変換し、カスタムPDFレポートとしてエクスポートできます。
- 送信ソースの簡単なフィルタリングと便利な視覚化
- リアルタイムアラート(お好みに応じてメールアラートをカスタマイズできます。)
- 多言語サポート(11ヶ国語以上!)
- SPF、DKIM、その他多数のプロトコルを含むマルチプロトコルをサポートする多層アプローチ
- お客様のあらゆるご質問に即座にお答えできるよう、常にお客様のご要望にお応えするチームです。
- フィッシング攻撃強化における口実詐欺の台頭- 2025年1月15日
- PCI DSS 4.0準拠のためのDMARC - 2025年からの義務化- 2025年1月12日
- NCSCのメールチェックの変更と英国公的機関のメールセキュリティへの影響- 2025年1月11日