セキュリティ
DMARCとは?仕組みやメリット・デメリットなど

近年、Eメールを使ったサイバー攻撃の巧妙化が進み、企業担当者などになりすました「なりすましメール」や、フィッシングメールの危険性が高まっています。そんなサイバー攻撃に対して、注目されている対策手段の一つが「DMARC(ディーマーク)」です。DMARCを用いることでメールの改ざんやなりすましを検知して防げるため、今後のセキュリティ対策としてDMARCは欠かせないものとなるでしょう。
この記事では、DMARCの概要から仕組みやメリット・デメリットについて解説します。
DMARCとは?
DMARC(Domain-based Message Authentication Reporting and Conformance)とは、Eメールの改ざんやなりすましを防ぎ、事前に設定したポリシーに従って処理するための仕組みです。2012年に発表された送信ドメイン認証技術であり、フィッシングメールやなりすましメールなどに対する対策として有効な仕組みの一つです。
ドメインの所有者はDMARCをあらかじめ設定しておくことで、送信されたメールに対して認証を行えるようになります。認証に失敗した場合の挙動(なし、隔離、拒否)が設定でき、送信者に対して認証結果とその理由が記載されたレポートを送信します。
DMARCの仕組み
DMARCはSPFやDKIMといった送信ドメイン認証技術を用いています。ここでは、DMARCとSPF、DKIMとの関係と併せて、仕組みを解説します。
DMARCとほかのメール認証技術(SPFやDKIM)との関係
DMARCを実装するためには、SPFまたはDKIMを用いる必要があります。
- SPF(Sender Policy Framework):送信元のIPアドレスを用いて送信ドメインの正当性をチェックする
- DKIM(Domain Keys Identified Mail):電子署名を用いて送信ドメインの正当性をチェックする
DMARCによる送信メールの認証に合格するためには、SPFまたはDKIMの認証に合格するとともに、SPFアライメントまたはDKIMアライメントに合格する必要があります。
- SPFアライメント:表示送信元アドレス(header-from)とSPFで認証したアドレス(envelop-from)の照合
- DKIMアライメント:表示送信元アドレス(header-from)とDKIMのdタグの照合
このようにDMARCとSPF、DKIMは関係性が深く、DMARCはSPFとDKIMをより強固にするための技術といえるでしょう。
DMARCの技術的仕様
DMARCによる認証の流れを簡単に示すと次のとおりです。
- あらかじめDNSサーバーになりすましメールの取り扱いを宣言
- メールの受信者はDNSサーバーに問い合わせ
- なりすましかどうかをSPFまたはDKIMで確認
- 認証に失敗した場合、DNSサーバーに宣言されているメールの取り扱いに従って処理
送信ドメインの所有者は、あらかじめDNSサーバーに認証が失敗した場合の取り扱いを宣言できます。
- None(なし):メッセージはそのまま配信される
- Quarantine(隔離):メッセージを隔離フォルダに移動
- Reject(拒否):メッセージを配信しない
SPFやDKIMでは認証失敗時の取り扱いは受信者に委ねられていましたが、ドメインの所有者側で取り扱いを指定できる点がDMARCの特徴です。また、認証後には送信者にレポートが送付されるため、IPアドレスなどを知られたくない攻撃者に対して牽制する効果も期待できます。
DMARCのメリット
DMARCを用いる代表的な3つのメリットについて解説します。
メールの偽装やスパムからの保護
DMARCを用いることで、送信元を偽ったフィッシングメールやなりすましメールを防げます。サイバー攻撃を目的としたメールだけでなく、わずらわしいスパムメールに対しても有効です。
メールの送信者と受信者の信頼性向上
DMARCの仕組みを利用していることで、メールの送信者はしっかりと認証に合格したと判断できるため信頼性が向上します。DMARCを利用していることを宣言していれば、受信者側も送信ドメインに対して信頼できるようになるでしょう。
不要なメールに対応するリソースの削減
これまでは受信者側でメールの取り扱いを定めて処理していましたが、DMARCでは送信ドメイン所有者側で取り扱いを定めることができます。そのため、受信者の手元に届く前に処理でき、受信者の不要なメールに対するリソースの削減が可能です。
DMARCのデメリット
さまざまなメリットがある一方で、注意すべきデメリットも存在します。
管理の負担
DMARCでは認証結果のメール(DMARCレポート)が送信側に届きます。大量のメールのやりとりをしている場合、レポートも大量になるため管理負担が増加するデメリットが存在します。
受信側もDMARCに対応している必要がある
DMARCを実現するためには、受信者側もDMARCに対応していなければなりません。日本ではあまりDMARCの普及が進んでおらず、この点はデメリットといえるでしょう。ただし、最近では大手メールサービスプロバイダーでの対応が積極的に進められています。
誤検知への対処
設定ミスなどにより、正規のメールも受信者に届かない、といった事態が発生する可能性があります。DMARCを導入する際には、認証失敗時の取り扱いをNone(なし)に設定しておき、レポートを通じて動作確認を行った上でQuarantine(隔離)やReject(拒否)を設定するようにしましょう。
DMARCは送信ドメイン認証技術の一つで、フィッシングメールやなりすましメールへの対策として有効です。DMARCではSPFやDKIMの技術を利用しているため、これらについての理解も深めておくと良いでしょう。DMARCはさまざまなメリットがある一方でデメリットも存在しているため、これらをしっかりと理解した上で導入を検討してみてはいかがでしょうか。
日立ソリューションズ・クリエイトでは、企業から漏えいした情報を調査し、改善案を提供する「漏えい情報調査サービス」を提供しています。当社のホワイトハットハッカーが漏えい情報の報告や、リスクに対する改善案を提案し、企業におけるサイバーセキュリティインシデントへの対応力を強化するサービスです。事故発生後だけでなく、サイバーセキュリティインシデントの発生を予防し、より安全な事業を継続したいと考えるお客さまにも適しています。
日立ソリューションズ・クリエイトについて
日立ソリューションズ・クリエイトは、お客さまとの協創をベースに、豊富な経験とモノづくり力、ソリューション提供でお客さまのビジネスのDX加速や社会課題解決に貢献します。
メールマガジンのご案内(無料)
本ビジネスコラムのほか、当社の製品・サービス情報、セミナー・展示会、ニュースリリースなど、お客さまのビジネスに役立つ情報を不定期でお届けしています。登録は無料です。是非、ご登録ください。
関連記事はこちら

プロンプトインジェクションとは? 攻撃の仕組みや対策など
AIが急速に普及する中で、新たなセキュリティリスクとして聞かれるようになったものが「プロンプトインジェクション」です。大規模言語モデル(LLM)を活用したシステ...
詳細はこちら

EDRとは? EPPやXDRとの違いも解説
EDRは、企業のセキュリティ対策の要となる存在です。しかし、EDRが何か、なぜ必要なのか、などがよく分からないという方も多いのではないでしょうか。サイバー攻撃の...
詳細はこちら

サプライチェーンリスクとは? セキュリティ対策のポイントを解説
近年、企業間の取引がますますグローバル化し、複雑化する中で、サプライチェーンリスクが大きな注目を集めています。サイバー攻撃や自然災害、政治的混乱など、さまざまな...
詳細はこちら

サプライチェーンとは? マネジメントの重要性と注意点など
ビジネス環境のグローバル化が加速する中、サプライチェーンの重要性はますます高まっています。原材料の調達から製品が消費者の手に届くまでの一連の流れを最適化すること...
詳細はこちら

OSコマンドインジェクションとは? 仕組みや企業に必要な対策など
WebサイトやWebアプリケーションを運営する企業にとって、サイバー攻撃による情報漏えいやシステムダウンは大きな脅威です。その中でも「OSコマンドインジェクショ...
詳細はこちら

DASTとは? 必要性やSASTとの違いなど
アプリケーションソフト(以下、アプリケーション)のセキュリティ対策として、近年注目を集めているものが「DAST」です。DASTは実際に動作しているアプリケーショ...
詳細はこちら

SQLインジェクションとは? 仕組みや企業に必要な対策など
近年、企業のWebサイトやWebアプリケーションを狙ったサイバー攻撃が増加しています。その中でも「SQLインジェクション」は、代表的な攻撃の一つです。SQLイン...
詳細はこちら

SAST(静的アプリケーションセキュリティテスト)とは?
アプリケーションソフト(以下、アプリケーション)のセキュリティ対策として、SAST(StaticApplicationSecurityTesting)という手法...
詳細はこちら

サイバーセキュリティ経営ガイドラインについて分かりやすく解説
近年、サイバー攻撃の脅威が高まり、企業経営者にとってサイバーセキュリティ対策の推進が急務となっています。このような中、経済産業省と独立行政法人情報処理推進機構(...
詳細はこちら

中小企業の情報セキュリティ対策ガイドラインについて分かりやすく解説
中小企業においても、情報セキュリティ対策は重要です。しかし、どのように取り組めばよいのか悩んでいる経営者も多いのではないでしょうか。そんな中小企業の経営者必見の...
詳細はこちら