何かありえないもの、考え方によっては「歴史的瞬間」を目撃した気すらするのでここに報告しておきたい。その出来事は 2024 年秋に行われたセキュリティカンファレンス「Security Days Fall 2024」で起こった。
『AGC とともに考えるサプライチェーンに対する詐欺メール対策』と題した、日本プルーフポイント株式会社が提供する 10 月 23 日 水曜日に行われた講演は、そのタイトルの通り、板ガラス世界シェア最大級ほかの実績を持つ「素材の会社」AGC株式会社の IT インフラ担当者が登壇し、日本プルーフポイントのチーフエバンジェリスト 増田 幸美(そうた ゆきみ:写真左)と対談形式で、同社の DMARC 対応を中心とした、なりすましメール対策の事例を解説する内容だった。
対談開始から約 11 分後、恐るべき出来事に取材班は遭遇した。
チーフエバンジェリストの増田は会場に向かって「今日は大ニュースがあります」と、ビジネスイベントとしては大げさすぎる言葉で切り出し、そのニュースとやらの報告を始めた。次に続いた言葉に記者は我が耳を疑った。それは「なんと今朝 AGC さんが DMARC の reject に到達されました!」であった。
それだけではない。増田はさらに「皆さん拍手をお願いします!!」と、そびえたつ垂直な壁にハンマーで釘を打ち付けるような迷いのない口調で会場に呼びかけたのだった。失神するほど記者が驚いたのは言うまでもない。
本誌 ScanNetSecurity 読者にとっては基礎の基礎なので改めて書くまでもないのだが、なりすましメール対策などに有効な DMARC の導入は、国際的に日本が猛烈に「遅れ過ぎている」のであり(つい 1~2 年前までは nisc.go.jp も none ですらなかったほど遅れていた/いる)、reject まで対応することは、もちろん業種によって求められる水準の差はあるものの、グローバル基準ではごく当たり前の方法にすぎない。
ちなみに売上高を基準にアメリカの上位 1,000 社(Fortune1000)を抽出すると、Proofpoint 社の調査によれば、1,000 社のうち 96 %が DMARC を導入しており(対する日経225 の DMARC 導入率は 83 %)、さらにその 96 %の約半分の 46 %が、なりすましメールがユーザーのメールボックスに届かない reject の設定にまで対応している(日経225 の reject 設定率は 7 %)。
大きく遅れていたものが普通になっただけで大ニュース? その瞬間、記者の脳裏に去来したのは、素行が悪かった不良少年が更生したことを褒めそやす同僚たちを両津勘吉巡査長が一喝した『こちら葛飾区亀有公園前派出所』のあの名言であった。しかもこの話にはさらにつづきがあるのだ。
それは「拍手をお願いします!」という増田の呼びかけに対して、反射的に「いるのか そんな人」と記者が思った次の瞬間、会場内のあちこちで本当に拍手が沸き起こったのである。椅子に座っていたにも関わらず記者が膝から崩れ落ちたことは言うまでもない。
そればかりか会場は、一種の多幸感にすら包まれていた。なるべく正確に報告したいが、それが「拍手喝采」や「満場の拍手」だったかというと決してそういうことはなかった。しかし「まばらな拍手」よりは明らかに多数の人が手を叩いていたし、手のひらと手のひらをヒットさせる強度は必ずしもおざなりなものではなかった。「Security Days っていいイベントだな」などと不覚にも思ってしまったくらいだ。手を叩くことで AGC がくぐり抜けたであろう困難、そしてそれを経ての reject 設定というゴール到達を、少なくない人が祝福していることが伝わってきた。
なぜこんなことが起こったのか?
もしこれが「○○社が今朝 SASE を導入しました!」となったとしたら、拍手などサクラを仕込まない限り絶対にひとっつも起こらないことは圧倒的に間違いない。「○○社が今朝ゼロトラストネットワークを導入しました!」でも同様。
ここに要点は 3 つ存在するだろう。
ひとつは DMARC 対応とさらに reject などの実効性のある設定は、管理者はみんな、やればいいということはわかっているし、担当者の思いとしてはやりたいのだが、メールが止まるような事態が発生すると現業部門への影響が大きい等々の各社の事情で、本質的なコストはそれほどかからないにも関わらず、やりたくてもやれない。DMARC はそんな対策になっているものと思われる。わざわざこの講演に来た人の多くは、それを打開するヒントを探していた。だから、勇気を持っていろいろなしがらみを整理して理解と協力を得た結果 reject を達成した AGC に対して、素直な称賛の気持ちが起こったのだろう。
もうひとつは、情報セキュリティとサイバーセキュリティの歴史において、DMARC ほどゴールが明確な対策はかつてなかったということだ。ほとんどすべてのセキュリティ対策と運用は良くいえば「終わらないマラソン」であり、的確にいうなら「無理ゲー」である。DMARC における reject 設定のような「明確な終わりのあるセキュリティ対策」は史上数少なかった。だから『ジョン・ウィック:コンセクエンス』のごとく果てしなくつづく戦いを日頃から続けている情報システム部門の担当者たちは、そこにいくばくかの希望を見出したのかもしれない。
最後は DMARC の設計思想から来る「利他性」である。金のある奴だけが安全を享受する/できるという新自由主義経済的な凄惨な世界観とは正反対の、人間社会と「こんな風に」なってしまう前のインターネットが本来持っていた互恵性が DMARC には実装されている。DMARC を reject にすることで直接の恩恵に預かるのはメールの受信者側だ。つまり reject にすることは「被害によって失われるお金を減らす」という点で、前澤社長ではないが、間接的にであれ世界中にお金を配る行為とニアリーイコールである。SASE を導入しても拍手は起こらないが、DMARC を reject にすれば拍手が起こっても良いのはこれが理由だ。そもそもセキュリティの仕事とは利他的な愛の行為なのだが、なかでも DMARC 対応は世界に愛を配るセキュリティ対策である。
「要点は 3 つ」と最初に書いたがここで 4 つめを挙げると、それが「AGC で起こった」ということである。エントランスに三菱グループの偉人 岩崎 俊弥(いわさき としや)の銅像がある会社で起こったということである。同社のような巨大企業がそれを達成したことに、まっすぐな賞賛の拍手が起こったことは不思議なことではない。
一方で、こうした条件や空気を的確に判断して司会進行した、業界きってのプレゼン巧者の増田だからこそできた、超がつく高難易度演技(アスリート的文脈での「演技」)だったとも思う。正直「拍手をお願いします」という会場への呼びかけは増田にとっても大なり小なりリスク、すなわち失敗する可能性がある賭けだったはずだ。最悪の世界線は AGC に恥をかかせてしまうこと。だが賭けに勝った。ハートの強い人物である。
長らくセキュリティ対策とは「経営者が無理解で予算が取れず」「経営者が無理解なだけならまだしもユーザーである一般社員からは煙たがられ」「事故が起こらないのが当たり前で何も起こらない期間が続くと人と予算が減らされ」「予算と人が減ったことでいざ何か起こると待ってましたとばかりに CSO(チーフ・スケープゴート・オフィサー:インシデント発生時の“生贄”役)として責任をなすりつけられる」こんな辛苦の物語が長らく神話のように語り継がれてきた。だが、そんな息苦しい神話だか都市伝説をひっくり返し、セキュリティ対策を実施することが賞賛の対象にもなりうることを、限定的条件のもとにせよ二人の登壇者が証明してみせたことは、間違いなくひとつのエポックな瞬間であった。だから本記事にこうして記した。
--
AGC から登壇したのは、情報システム部 ITコンピテンスセンター グローバルインフラグループリーダー 谷口 達郎(写真右)。同氏は AGC を、30 を超える国に 194 のグループ企業があり、全従業員 6 万人のうち日本人比率が 約 2 割である点を挙げて「本社が日本にあるものの(日本企業というよりは)グローバル企業」と紹介した。
AGC では「各国の支社」vs「本社」という対立軸を作らないために、地球全体を一つの国ととらえて「欧州」「北米」「日本・アジア」各地域の情報システム部門の代表メンバーを「GLOBAL L3」、そして「ヘルプデスク」「保守運用」「SOC とインシデントレスポンス」の能力や機能を担うメンバーを「グローバルパートナー」とそれぞれ名付け組織化し、「GLOBAL L3」と「グローバルパートナー」が共同で AGC グループ全体の IT インフラを運用する体制をとっているという。
ドメイン変更のタイミングで DMARC 対応を実施する企業も多い中で AGC は、2000 年代から同社が利用してきた「agc.com」ドメインでの reject を目指した。すなわち最も厳しい茨(いばら)の道を歩むことを選択した。
当初プロジェクトチームは、DMARC レポートの解析と、メールサーバやメールと関連する各サービスの洗い出しに約 9 ヶ月の期間を見込んでいたという。だがその予定は変更することを余儀なくされた。
「出るわ出るわ、次から次に出てくる(谷口)」という状況のもと、reject 移行の当初予定だった 7 月から 10 月 22 日に 3ヶ月延期したが、さらに 1 日ずらし、本来予備日に充てていた、講演が行われる当日の 10 月 23 日 水曜日の午前に reject 設定を完了したという。
よりにもよって reject 本番移行予定日の翌日に、DMARC に関する講演の登壇を引き受けるとは、こちらもかなりのハートの強さと意志を感じる。あるいはそういう追い込みができるからこそ達成できたのか。
1 年近く継続的に行われた DMARC レポートの分析の仔細について具体的なことはあまり語られなかったが(あたりまえです)、レポート解析の結果出てきた様々なメールサーバやサービスを扱う部署に対して、DMARC 対応の「方針を伝える」でも「指示を出す」でも「スケジュール調整を行う」でもなく、“各部署と関係性を作るところから始めた” と語った谷口の言葉が強く印象に残った。メールは顧客や取引先との繋がりの生命線となる場合も多い。単に「ガバナンスを効かせる」等々の腕力を用いる手段ではなく、敬意を持ったコミュニケーションプロセスだったことが推察される。だからうまくいった。
AGC は、これまで利用していたメールセキュリティ製品のサポート品質の変化や、BEC の脅威の高まりなどをきっかけに、メールセキュリティの軸を Proofpoint 製品で構成することで、セキュリティ強化を図った。
谷口は Proofpoint 製品を選んだことについて「ワンストップ運用と BEC 対策機能」「世界のメール流量の何割かを扱うシェアの高さ」「共有ではなく個社ごとの IP アドレスを運用できること」と大きく三つ理由を挙げた。
Proofpoint にリプレイスした効果として谷口は、DMARC 対応を実現し reject に移行できたこと、そしてこれまで月に数件あった同社役員の名をかたる BEC が目に見えて減少したことを挙げた。
対談終了後の質疑応答で、大手金融機関の担当者から具体的かつ実務的な質問があった際に、マイクを手渡す役の運営事務局の担当者の距離が遠いのを見てとった谷口が、白いスニーカーを履いた自らの足で躊躇無く壇上をおりて、質問者にマイクを渡しに速足で向かった姿の謙虚さが忘れられない。業界の重鎮的存在である元 MBSD のO河内さんには見習ってほしいものだ。
導入事例紹介での登壇など、ユーザー企業にとってそれほど得があるものではないし、それどころか会社によっては、どんな対策をしているか外に知らしめることになると考え、敬遠することの方が圧倒的に多いと思う。にもかかわらず AGC クラスの製造業系グローバル大企業がこうした場に出てきてくれたことは、日本企業や日本経済全体の「何かのお役に立つのなら」という利他の精神、すなわち愛以外の何物でもないと思う。
DMARC プロジェクトを通じて、AGC 情報システム部の若手スタッフはめきめきと成長したという。そう語ったときの谷口はこぼれるような笑顔を見せていた。こんな上司の下で働きたいものだ。2024 年に reject に到達したことが国際的には周回遅れのゴールであることなど谷口はとっくに承知のことだった。他社の何かのきっかけになるならと、率先して自分がさらしものになる覚悟で登壇したはずだ。部下には花を持たせ自分はさらしもの。こんな上司の下で(以下略)。講演開始 11 分で拍手が起こったときの彼は、はにかむように下を向いて微笑を浮かべていた。
講演の最後に谷口がこんなメッセージを残しているので、最後に全文をそのまま掲載して本稿を終わりにしたい。
「DMARC はぜひ前向きにご検討いただけたらいいんじゃないかなと思っています。やっぱりメールを起点とした攻撃は今後も増えていくので脆弱なんですよね。我々が DMARC を reject にしたように、今後、取引先みんなが DMARC を reject していくと、飛び交うメールの安全性は圧倒的に高まっていきます。そこを起点とした攻撃がしづらくなる。サイバー攻撃を行う人は合理的に考えるので、そこ(編集部註:DMARC を reject にしている企業やその取引先)を狙ってこなくなる可能性もあるということです。ここはみんなで集団で本当にそこに取り組んでいく必要があるんじゃないか、その価値があるんじゃないかなと思うので、参考になったかどうかはわかりませんが、ぜひご検討いただければと思います」
