横浜銀行、国内地銀で先進的な詐称メール対策を構築--DMARCとBIMIを併用
次に同行は、DMARCによる正規のメールであることを受信者が容易に認識できるよう、2024年6月にデジサートのVMCを導入した。デジサートは、VMCの発行に際して申請をした組織の実在を登記内容やドメイン運用状況なども含めて確認し、ロゴが登録商標などであるかも調査した上で認定している。デジサート・ジャパンによれば、国内地方銀行のVMC認定は、横浜銀行が初になる。 VMCの導入について五十嵐氏は、「DMARCの取り組みでお客さまに正規のメールを瞬時にご認識いただけるのかという議論があり、ロゴですぐに確認いただけるVMCを活用した。セキュリティ対策では脅威防御などの側面が強いものの、VMCはお客さまの安全と利便性を両立できるポジティブな取り組みになり、担当者にとっても大きなモチベーションにつながった」と明かす。 なお、VMCでは、受信者側に表示するロゴ画像についても要件に基づいて適切に作成する必要があり、デジサート・ジャパンもガイドを用意している。「当行であることを証明するために、画像行内でクリエイティブを担当しているデザイナーに作成してもらった。ITやサイバーセキュリティの所管部門だけでは大変だっただろう」(五十嵐氏) 日本プルーフポイント チーフ エバンジェリストの増田幸美氏によると、2024年10月時点における日米の銀行のDMARC導入率は、米国で97%、日本で86%だが、「reject」ポリシーの適用率では米国が58%、日本が10%と差が大きい。国内銀行の状況は、DMARC導入率では都市銀行/信託銀行が85%、地方銀行/第二地方銀行が86%に上るが、「reject」ポリシーの適用率では都市銀行/信託銀行が23%、地方銀行/第二地方銀行が5%と差がある。ただ、都市銀行/信託銀行でも47%が「none」ポリシーを設定しているなど、米国に比べて慎重な姿勢だという。 国内では、製造や化学、物流、金融、公共、流通小売などで、監督官庁の要請や業界のセキュリティ標準などでDMARC対応の要請が強く求められつつある。特に金融では、2024年10月に金融庁が、サイバーセキュリティガイドラインにDMARC対応を推奨事項で加えた。 デジサート・ジャパン プロダクトマーケティング部 プロダクトマーケティングマネージャーの林正人氏によれば、世界的なDMARC対応の流れを受けて同社がグローバルで2023年に発行したVMCは2021年比で200%増加しており、国内でも2024年9月以降に100組織以上が導入を希望している状況だという。