詐欺メール対策DMARCを「Reject」に
実現までの集英社の取り組み

　1926年創業の総合出版社であり、漫画やファッション、文芸などの雑誌を世界中に届けるとともに、近年はコンテンツビジネスなども展開している集英社。同社のIT戦略企画部では、SaaSの管理やパブリッククラウドの統合、ゼロトラスト環境の構築、データ利活用プロジェクトなどを積極的に推進している。その一環として進められてきたのが、メールの安全性を担保するためのDMARC（Domain-based Message Authentication, Reporting and Conformance）の取り組みだ。

　「DMARC対策に着手するきっかけになったのは2023年夏、あるセキュリティーカンファレンスに参加したことでした」と話すのは、集英社の須藤 明洋氏。それまではDMARCという言葉も知らなかったが、Googleや米Yahooなどが相次いて送信ドメイン認証への対応を求める「メール送信者ガイドライン」を発表する中で、DMARCについて真剣に調べるようになったと語る。

　「当初は『喫緊の課題ではない』と思っていましたが、エンタメを届ける企業としては、いち早く取り組むべきだと考えました。メールという社会基盤を維持することへの貢献になる、という思いもありました」と須藤氏は振り返る。

　ただし、まだDMARCの仕組みやそれによって実現できることが分かっていた程度で、具体的にどのように進めていくべきなのか、皆目検討がつかなかったという。そこで、既に複数製品の導入パートナーになっていたソフトバンクに相談し、日本プルーフポイントの「Proofpoint Email Fraud Defense（EFD)」と、インテグレータのテクマトリックスのサポートを組み合わせた提案を受けることになる。

　「当社としてもグローバルな製品を導入したいという思いがあり、そこに丁寧な日本語のサポートが付くのは非常にありがたい話でした。そこで即決に近い形で採用が決まりました」（須藤氏）

　まずは無料アセスメントを行った上で、2024年1月にプロジェクトをスタート。「shueisha.co.jp」ドメインと、約40あるサブドメインが対象となった。

　「Proofpoint EFDでアセスメントを行うと、DMARCで認証されていないサブドメインや、DMARCが設定されていながらも問題があるサブドメイン、メール送信が観測されていないサブドメインなど、様々な状況が可視化されていきました。このようなアセスメント結果を基に、テクマトリックスとのミーティングの中でアドバイスをいただきながら、認証できなかったメールの受信を拒否する『p=reject』の設定を目指して、プロジェクトを進めていくことになりました」と須藤氏は語る。

　DMARCの設定を行うには、該当メールサービスを運営している担当部門を特定する必要があるが、ここでもProofpoint EFDで可視化された情報が活用されている。メールの送信元やホスト名、IPアドレスのほか、メールのサンプルも取得できるため、その内容を基に担当部門の割り出しが行ったのだ。

　その上で担当部門に聞き込みを行い、送信ドメイン認証技術である「SPF（Sender Policy Framework）」やDKIM（Domain Keys Identified Mail）、DMARCについて説明した上で、DMARCの設定を依頼。ほとんどの場合はメール送信サービスを管理するエンジニアとの話し合いになったが、既に多くのエンジニアは前述のメール送信者ポリシー変更を知っており、DMARC対応は必須という課題認識を持っていたという。

　「DMARC設定が完了すると、その直後からDMARCをパスしたメールが飛ぶようになり、翌々日くらいからその数がみるみるうちに増えていくことが、Proofpoint EFDの管理画面で把握できます。やっていることはまるで探偵のような推理であり、その結果もデータとして分かるため、手応えの感じられる実に楽しい仕事でした（図1）」（須藤氏） 　その一方で、注意すべきこともあったという。集英社ではマーケティングを外部の人と行うケースが多く、依頼先を変えるとその裏側で使っているメールサービスも変更されてしまうことが多い。そのためメールサービスを変更した場合には、その都度DMARCに対応するよう、継続的に伝えておく必要があるのだ。

　「当初は1年くらいかけてプロジェクトを進めていく計画でしたが、楽しくなって頑張って取り組んだ結果、半年で作業が終わりました」と須藤氏。2024年6月まではポリシー設定を「p=quarantine」にしていたが、7月からは「p=reject」へ変更。「8月の1週目にはrejectへの設定変更も完了しています。Proofpoint EFDの画面で全メールの認証状態を把握した上で行ったので、この作業も大きな混乱なく進められました（図2）」と須藤氏は話す。 　これによって、DMARCを活用した最も安心なメール環境を整備した集英社。しかし効果はそれだけではなかったという。

　「p=rejectに設定した後は、迷惑メールがメールボックスに届かなくなるだけではなく、迷惑メールの流通量そのものが激減しました。以前は1日に1万件くらい謎のメールが流れていたのですが、それらがそもそも配信されなくなったのです。テクマトリックスからは、IPレピュテーションの低下を恐れてp=rejectのところには配信しなくなるのではないか、と説明を受けています。いずれにしても狙った以上の効果がありました」（須藤氏）

　現在はshueisha.co.jpだけではなく、作品名や雑誌名で取得されているドメインへも対象を拡大中。このようなドメインは約200あるが、すべて内製でDMARCに対応させていく予定だ。

　また、送信メールに自社ロゴを付加するBIMI（Brand Indicators for Message Identification）への対応も計画している。そのためにはロゴの商標登録が必要になるが、既にDMARCプロジェクト開始と同時に申請しており、2025年初頭には対応できる見込みだという。

　「DMARC対応はすべての企業にとって必須の課題であり、p=rejectまで持っていくべきです」と須藤氏。メールが多くのインシデントの起点になっている現状では、安定したメール基盤の維持には使う側の努力も欠かせないと語る。Proofpoint EFDならばサブドメインの可視化も容易で、社内人材だけでの自走も視野に入る。集英社における今後の安全なメール環境整備に、Proofpoint EFDはさらに大きな力となりそうだ。