インターネットのインフラを支えるプロフェッショナル達の「オフ会」こと Internet Week 2024 が、11月19日(火)から11月27日(水)の期間開催される。
前半はオンラインで、後半の 3 日間はリアル会場(今年は浅草橋ヒューリックホール&カンファレンス)開催。
本稿では開催5日目の11月26日 (火) に行われるプログラム「2024年のメール運用とDMARC」について、プログラム委員の平塚 伸世氏(フィッシング対策協議会)、登壇者の古賀 勇氏(株式会社インターネットイニシアティブ)、加瀬 正樹氏(株式会社TwoFive)に見どころをうかがった。
―― 今年は、国際的に非常に遅れていたDMARC導入が国内で進んだ年だったと思います。とはいえ導入してもほとんどがnone設定で、rejectまで進めていいのかどうか、いまだにドキドキしている会社がほとんどだと思います。
平塚:2023年10月、GoogleはGmail送信者ガイドラインの要件を満たしていないメールは2024年2月以降、受信拒否したり迷惑メールに分類する可能性がある、と発表しました。その中にはDMARC対応やTLS接続など、海外では普及しているメールセキュリティ技術への対応が含まれており、日本ではその対応が著しく遅れていたため、自ドメインの設定不備でメールが届かない状況も、Gmailのこの対策が原因とされるなど、非常な混乱が発生しました。
また、2024年現在、フィッシングメールなど不正メールの配信量が急激に増えており、無関係のブランドのフィッシングメール配信に自ドメイン名がなりすましで使用され、ブランド名や正規メールへの信用度低下などの問題も発生しています。正規メールを確実に配送し、不正メールを排除するために必要なメールセキュリティー技術やマナー、そして正しいトラブルシュートができるよう「イマドキのメール運用」について、ぜひ皆様にも知っていただきたいと思い、このプログラムを企画しました。
―― どのような点を特に重視してプログラムを作りましたか?
平塚:本プログラムでのトピックは2つ、DMARCと、それ以外に必要なメール運用のためのノウハウとしました。DMARCはGmailガイドライン対応で急激に国内でも普及が進んでいますが、DMARCが効果を発揮する reject ポリシーで運用するドメインはまだ少ないです。その原因は「ポリシー変更して大丈夫か判断ができない」ことであり、その運用や見極めポイントについて、国内ではDMARC普及啓発に尽力されているTwoFive 加瀬氏に講師をお願いしました。また、それ以外のメール運用ノウハウについては、メールサービスの実運用で培った豊富な経験と知識をもち、今までも多くのメール運用やメールセキュリティに関する講演を行っているIIJ古賀氏にお願いしました。
―― 見どころ、特に聴いてほしいポイントはどこですか?
平塚:メールシステムの運用は、送信側の立場と受信側の立場とでマナーや対策が表裏一体になっています。特にオンプレミスでサーバ運用していたり、個人でサーバ管理をしていたりする場合は両方の立場にもなり得るかと思います。そういった運用者にとっては、送信側がまずは押さえておきたいセキュリティ対策や送信マナーを知ってもらい、受信側としても送信側の認証設定を踏まえた防御を実装し、届けたいメールだけを安全に届けられるようなサーバ設定を知ってもらえればと思います。また、Google ガイドラインでは DMARC や TLS といったキーワードが登場します。このセッションでもそれらについて詳しく解説しますので、ポイントとして押さえてほしいです。
―― 今年のInternet Weekのテーマは「つなげて、広げて、楽しもう」ですが、そのテーマを受けて、皆さんと一緒に考えていきたいことはなんですか?
平塚:安定的なメールコミュニケーションを維持するためには、セキュリティ対策や安全なメッセージ配信処理など、送信側と受信側とが協働することが非常に重要です。お互いの立場を理解した上で、適切な設定や防御ができるエコシステム = インターネットワーキングを作っていけたら良いと思っています。
―― この「メール運用とDMARC」、特にどんな方に聴いてもらいたいでしょうか?
平塚:すでにクラウドサービスを使ったメールシステム運用をされている方も多くなりましたが、このプログラムでは、小規模なメールシステムを個人で管理されているような担当者に聞いていただきたいです。もちろん、セキュリティ対策やステークホルダーとなる組織の経営層にも押さえてもらいたいポイントもあるかと思っています。
―― 最後にメッセージをお願いします。
古賀:正直なところ、私が社会人になった 2007年の頃、「電子メール」は廃れると思っていました。確かに個人間のやり取りは、LINE を代表するアプリに代わっていますが、企業間のコミュニケーションは、やはりまだ電子メールが主流です。また、ID としての「メールアドレス」に着目すると、様々なサービスがクラウド上で利用できるようになった現代では、むしろメールアドレスの重要性は増していると言えるのではないでしょうか。本セッションで、今一度「電子メール」の常識を見直していただき、自組織のインフラを見直しの一助になれば嬉しく思います。
加瀬:メールシステム運用は、昔から丁稚奉公のような形でしか、スキルの伝承ができていなかったように思います。Internet Week のような開かれた場で、運用ノウハウやよりよいセキュリティ対策が少しでも広まることを期待しています。
―― 古賀さんが言ったように少し前まで電子メールはオワコンの代表選手とみなされている風があったと思います。サイボウズが自社製品を売るために、メールの問題点を丁寧にリストアップというかあげつらって、マンガで面白おかしく揶揄し解説するサイトを運営していたのを思い出します。当時本誌ScanNetSecurityはサイボウズの子会社だったので覚えています。しかし2024年現在それが一周して、メールは現在セキュリティの重要課題のひとつになっています。だがそのわりには、メールに通暁している人が少ないというギャップがあります。そのギャップを埋めて、メール運用を近代化しようとしている志を加瀬さんの言葉からハッキリ感じました。
前半はオンラインで、後半の 3 日間はリアル会場(今年は浅草橋ヒューリックホール&カンファレンス)開催。
主催は一般社団法人日本ネットワークインフォメーションセンター(JPNIC)。
本稿では開催5日目の11月26日 (火) に行われるプログラム「2024年のメール運用とDMARC」について、プログラム委員の平塚 伸世氏(フィッシング対策協議会)、登壇者の古賀 勇氏(株式会社インターネットイニシアティブ)、加瀬 正樹氏(株式会社TwoFive)に見どころをうかがった。
―― 今年は、国際的に非常に遅れていたDMARC導入が国内で進んだ年だったと思います。とはいえ導入してもほとんどがnone設定で、rejectまで進めていいのかどうか、いまだにドキドキしている会社がほとんどだと思います。
平塚:2023年10月、GoogleはGmail送信者ガイドラインの要件を満たしていないメールは2024年2月以降、受信拒否したり迷惑メールに分類する可能性がある、と発表しました。その中にはDMARC対応やTLS接続など、海外では普及しているメールセキュリティ技術への対応が含まれており、日本ではその対応が著しく遅れていたため、自ドメインの設定不備でメールが届かない状況も、Gmailのこの対策が原因とされるなど、非常な混乱が発生しました。
また、2024年現在、フィッシングメールなど不正メールの配信量が急激に増えており、無関係のブランドのフィッシングメール配信に自ドメイン名がなりすましで使用され、ブランド名や正規メールへの信用度低下などの問題も発生しています。正規メールを確実に配送し、不正メールを排除するために必要なメールセキュリティー技術やマナー、そして正しいトラブルシュートができるよう「イマドキのメール運用」について、ぜひ皆様にも知っていただきたいと思い、このプログラムを企画しました。
―― どのような点を特に重視してプログラムを作りましたか?
平塚:本プログラムでのトピックは2つ、DMARCと、それ以外に必要なメール運用のためのノウハウとしました。DMARCはGmailガイドライン対応で急激に国内でも普及が進んでいますが、DMARCが効果を発揮する reject ポリシーで運用するドメインはまだ少ないです。その原因は「ポリシー変更して大丈夫か判断ができない」ことであり、その運用や見極めポイントについて、国内ではDMARC普及啓発に尽力されているTwoFive 加瀬氏に講師をお願いしました。また、それ以外のメール運用ノウハウについては、メールサービスの実運用で培った豊富な経験と知識をもち、今までも多くのメール運用やメールセキュリティに関する講演を行っているIIJ古賀氏にお願いしました。
メールセキュリティの世界は進化しています。それらの状況をよく知るお二人の講演は、今そしてこれからメール運用を行う皆様のお役にたつと思います。
―― 見どころ、特に聴いてほしいポイントはどこですか?
平塚:メールシステムの運用は、送信側の立場と受信側の立場とでマナーや対策が表裏一体になっています。特にオンプレミスでサーバ運用していたり、個人でサーバ管理をしていたりする場合は両方の立場にもなり得るかと思います。そういった運用者にとっては、送信側がまずは押さえておきたいセキュリティ対策や送信マナーを知ってもらい、受信側としても送信側の認証設定を踏まえた防御を実装し、届けたいメールだけを安全に届けられるようなサーバ設定を知ってもらえればと思います。また、Google ガイドラインでは DMARC や TLS といったキーワードが登場します。このセッションでもそれらについて詳しく解説しますので、ポイントとして押さえてほしいです。
―― 今年のInternet Weekのテーマは「つなげて、広げて、楽しもう」ですが、そのテーマを受けて、皆さんと一緒に考えていきたいことはなんですか?
平塚:安定的なメールコミュニケーションを維持するためには、セキュリティ対策や安全なメッセージ配信処理など、送信側と受信側とが協働することが非常に重要です。お互いの立場を理解した上で、適切な設定や防御ができるエコシステム = インターネットワーキングを作っていけたら良いと思っています。
―― この「メール運用とDMARC」、特にどんな方に聴いてもらいたいでしょうか?
平塚:すでにクラウドサービスを使ったメールシステム運用をされている方も多くなりましたが、このプログラムでは、小規模なメールシステムを個人で管理されているような担当者に聞いていただきたいです。もちろん、セキュリティ対策やステークホルダーとなる組織の経営層にも押さえてもらいたいポイントもあるかと思っています。
―― 最後にメッセージをお願いします。
古賀:正直なところ、私が社会人になった 2007年の頃、「電子メール」は廃れると思っていました。確かに個人間のやり取りは、LINE を代表するアプリに代わっていますが、企業間のコミュニケーションは、やはりまだ電子メールが主流です。また、ID としての「メールアドレス」に着目すると、様々なサービスがクラウド上で利用できるようになった現代では、むしろメールアドレスの重要性は増していると言えるのではないでしょうか。本セッションで、今一度「電子メール」の常識を見直していただき、自組織のインフラを見直しの一助になれば嬉しく思います。
加瀬:メールシステム運用は、昔から丁稚奉公のような形でしか、スキルの伝承ができていなかったように思います。Internet Week のような開かれた場で、運用ノウハウやよりよいセキュリティ対策が少しでも広まることを期待しています。
―― 古賀さんが言ったように少し前まで電子メールはオワコンの代表選手とみなされている風があったと思います。サイボウズが自社製品を売るために、メールの問題点を丁寧にリストアップというかあげつらって、マンガで面白おかしく揶揄し解説するサイトを運営していたのを思い出します。当時本誌ScanNetSecurityはサイボウズの子会社だったので覚えています。しかし2024年現在それが一周して、メールは現在セキュリティの重要課題のひとつになっています。だがそのわりには、メールに通暁している人が少ないというギャップがあります。そのギャップを埋めて、メール運用を近代化しようとしている志を加瀬さんの言葉からハッキリ感じました。
講演がもたらす効果に期待します。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)