一般財団法人日本情報経済社会推進協会
セキュリティマネジメント推進室　主幹　佐藤　桂史郎

2023年10月にGoogle社がGmailに係る「メール送信者のガイドライン」を公表し、メール送信者（メール配信事業者等）は、DMARC等の送信元のなりすまし対策等への対応が必要となりました。2024年2月1日以降、当該ガイドラインに準拠しないメール送信者は、送信レートが制限されたり、メールがブロックされたりし、Gmailアカウントにメールが届かないような措置を取るとGoogle社が発表しています。また2024年5月に同じくGoogle社がGmailにおいて、送信ドメイン認証技術とは別の仕組みであるS/MIME（メール送信者のなりすまし防止／メールの改ざん検知／メールの暗号化技術）に必要な電子証明書の発行者（ルートCA）情報リストのアップデートが行われています。

DMARC等の送信ドメイン認証技術については、総務省のサイバーセキュリティタスクフォースのICTサイバーセキュリティ政策分科会の中でも議論がなされ、送信ドメイン認証技術導入に係るガイドラインが公表される予定です。当該ガイドラインは、メールの送信者側と受信者側のそれぞれで導入対応をするための、最低限必要な知識と設定にフォーカスした内容となっています。第5回ICTサイバーセキュリティ政策分科会¹のWebサイトにガイドラインの案が公表されています。

内閣官房 内閣サイバーセキュリティセンターでは「政府機関等の対策基準策定のためのガイドライン（令和5年度版）」²を2023年7月4日付けで公表しています。こちらのガイドラインは、国の行政機関、独立行政法人および指定法人がサイバーセキュリティ対策のための統一基準の規定を遵守するための対策基準を策定する際に参照されるもので、当該統一基準の遵守事項を満たすためにとるべき基本的な対策事項が規定されています。電子メールのセキュリティ対策事項としては、DMARC等の送信ドメイン認証技術や、S/MIMEによる対策が示されています。特に、DMARC等の送信ドメイン認証技術については、前回令和3年度版のガイドラインでは電子メールのセキュリティ対策例の一つとして示されているだけでしたが、令和5年度版では、当該技術を導入する必要があるという表現に変わり、各政府機関に対して強く導入を求める内容となっています。

DMARCやS/MIME等のメールのセキュリティに対する取り組みを強化することで、なりすましメールによるサイバー犯罪による被害が軽減される効果が期待できます。政府機関や企業が安全で信頼性の高いメール環境を整備することは、国民の安心・安全な生活を支える重要な対策と言えるでしょう。

• 1　ICTサイバーセキュリティ政策分科会（第5回：2024年4月5日開催）別ウインドウで開く
• 2　政府機関等のサイバーセキュリティ対策のための統一基準群別ウインドウで開く

• 「IT-Report2024 Spring」全文はこちらから