ひと昔前、アウトソーシングや ASP(Application Service Provider)が注目されましたが、クラウドの発展に伴い SaaS(Software as a Service)として普及が加速し、さまざまな業態の企業が SaaS によりスピーディーな業務改善や省力化を実現しています。
もちろん、電子メールや DNS においてもさまざまな利用シーンでこの SaaS が一般化したといえます。かつてはオンプレミスでサーバーを構築・運用していた企業が、セキュリティゲートウェイを SaaS で導入して従業員をマルウェアから保護したり、メールボックスも合わせて SaaS にリプレースして、システム運用自体の効率化を図る企業も非常に多くなっています。
この記事では 3 つの視点で企業のメールドメインでの SaaS利用状況をまとめてみました。
●企業のメールドメイン・DNS の SaaS利用
まずは、DNS について SaaS利用状況を考えてみます。企業がメールというツールを利用する際には、「ドメインの取得」「DNS の運用」が必須となります。これまでは、情報システム部門が自社内で管理と運用を担っていることが多かったですが、最近では多くの企業が SaaS を利用することが増えているのです。そこで、日本国内の主要企業として、いわゆる日経225銘柄の企業が管理するメールドメインについて、そのネームサーバとしてどの SaaS を利用しているかを調査しました(調査時期: 2022 年 8 月)。
最も多く利用されているのは Amazon(Route53)で、ほぼ半数の企業が少なくとも 1 ドメインについて Amazon を利用していることがわかります。また、上位 5 つの SaaS を少なくとも 1 ドメインで利用している企業数は 183企業(全体の 81.3 %)にのぼり、特に大企業にとって DNS に関する SaaS利用は非常に増えたと言えます。
また、今後は企業ドメインの DNS においても DNSSEC の対応が求められるかもしれません。このグラフの上位に登場するような SaaS では DNSSEC対応しているものも多く、今後も SaaS利用はますます顕著になるかもしれません。
●企業のメールドメインの DMARC分析SaaS利用
次に、メールドメインに設定することで導入できる DMARC についてです。DMARC(Domain-based Message Authentication, Reporting, and Conformance)とは、送信ドメイン認証の一つで、なりすましメールかどうかをメールサーバで認証して、その処理方法を指定する仕組みです。その DMARC の重要な機能の一つに DMARCレポート機能があります。メールサーバで認証した結果を統計情報として、ドメインオーナーにフィードバックする仕組みです。このデータを分析することはなりすまし対策に非常に有益である一方、担当者が手動でなんとかなるデータ量ではありません。そこで、この DMARCレポート分析に特化した SaaS が広く利用されています。こちらについても日経225銘柄の企業が管理するメールドメインについて、分析してみたいと思います(調査時期: 2022 年 2 月および 8 月)。
半年前の 2022 年 2 月の調査結果と比較すると、新たに 21企業で DMARCレポート分析を SaaS で開始したことがわかります。なお、この期間では DMARC導入企業も急増(79企業から 122企業)していますが、SaaS という選択肢があることによって DMARC導入が促進されたかもしれません。
ちなみに、TwoFive も DMARC レポートを集計・可視化して解析し、Webベースの分かり易いレポートを提供するクラウドサービス「DMARC/25 Analyze」を提供しています。
●企業のメールドメインのメール配信SaaS利用
最後に調査したのが、主にマーケティングなどで利用しているメール配信SaaS についてです。この記事ではメール配信SaaS は、企業から個人向け(B to C)にメールマガジンなどの一斉送信を代行するプラットフォームを指します。このような大規模のメール配信を効率的に実行するには最も適しているのが SaaS ではないでしょうか。
(グレーはメールサービス自体のクラウドサービス)
この調査では、これまでと同様に日経225銘柄企業のメールドメインをもとにして、SPFレコードに記述された includeドメインを集計しました。利用されている SaaS上位には Microsoft や Google、IIJ のようなメールサービス自体のクラウドサービスも含まれていますが、それを除いた場合に最も多い利用は Amazon SES でした。これまでのようにマーケティングツールとして「業務特化型」のメール配信SaaS を利用するだけでなく、業務の SaaS化のパーツとして Amazon SES や Sendgrid のような SaaS が多く利用されている傾向が伺えます。
●メールSaaS利用時のチェックポイント
このようにメール・DNS分野での SaaS利用が広がっており、今後も利用が拡大し続けると予想されますが、SaaS を利用する際に注意してほしいポイントがあります。
・コントロールパネルのセキュリティ
メールだけでなくウェブサイトにおいても DNS管理は重要なセキュリティ対策のポイントでもあります。過去にはコントロールパネルを不正利用されたことで、DNS の書き換えによって中間車攻撃が発生した企業もあります。また、メール配信SaaS では送信先のメールアドレスなどの個人情報を含むデータの漏洩のリスクも考えられます。
利用している SaaS がパスワード以外の認証機能(二要素認証や二段階認証)を利用できるか改めて確認してみてください。
・DNS リソースレコードの制限
最近では DNS の TXTレコードを多用する傾向があります。メールにおいても送信ドメイン認証として SPF、DKIM、そして DMARC の情報を TXTレコードや CNAMEレコードに宣言することになります。特に DKIM や DMARC の設定ではアンダースコア(_)を含む文字列をホスト名に指定するため、文字長や指定可能な文字種類をあらかじめ確認するとよいでしょう。
・DKIM自己署名未対応のメール配信
なりすましメール対策として SPF への対応は進んでいますが、DKIM への対応はあまり進んでいないのが実情です。ここで注意したい点としては、皆さんが利用しているメール配信SaaS が DKIM署名に対応しているかどうかです。特に、第三者署名ではなく自己署名ができるかどうかは DMARC の観点では重要となりますが、オンプレミスではないため、対応したくても SaaS提供側の判断に左右されてしまいます。これからメール配信SaaS を選定する際には、この DKIM の自己署名機能があるかどうかを確認してください。
SaaS を利用することは利便性が高まるだけではなく、新しい技術に容易に迅速に対応することも可能になり、面倒なシステム運用の負荷やコストを軽減するメリットもあります。上で挙げたような注意点をしっかり把握して、皆さんの組織でもメールや DNS の分野でも SaaS を適切に活用してみてください。
著者プロフィール
株式会社TwoFive 加瀬正樹(かせまさき)
2000年、国内大手インターネットサービスプロバイダーに入社。会員向け・法人向けメールサービス開発・運用に従事し、事業者の立場でメールセキュリティを推進。2017年、株式会社TwoFiveに入社。セキュリティベンダーに立場を変えて、事業者や企業に対してなりすましメール対策の啓発活動を実施、クラウドサービスを提供している。
株式会社TwoFive
国内大手 ISP / ASP、携帯事業者、数百万~数千万ユーザー規模の大手企業のメッセージングシステムの構築・サポートに長年携わってきた日本最高水準のメールのスペシャリスト集団。メールシステムの構築、メールセキュリティ、スレットインテリジェンスを事業の柱とし、メールシステムに関するどんな課題にもきめ細かに対応し必ず顧客が求める結果を出す。
