関西電力株式会社

重要インフラを担う企業として、「信頼されるメール」をどう守るか

なりすまし（ドメイン詐称）やメール詐欺は、受信者側の見分けが難しく、組織の信用や取引先への影響にも直結します。特に、公共性の高い事業を担う企業では、攻撃そのものを防ぐだけでなく、「自社を装った不正メールが出回らない状態」を作ることが重要です。
関西電力は、送信ドメインを守る仕組みとしてDMARCに注目し、現実的な運用を前提に、段階的に対策を推進しました。本資料では、その進め方と意思決定のポイントを紹介します。

課題

“自社を名乗る不正メール”は、受信側対策だけでは防ぎ切れない

標的型攻撃や詐欺メールの巧妙化により、受信側での検知・注意喚起だけでは限界があります。加えて、なりすましメールは社外の受信者にも届くため、影響範囲は組織の外へ広がります。
一方で、DMARCは「設定すれば終わり」ではなく、正規送信の把握、関連部門や委託先との調整、運用設計など、導入のハードルになり得る要素が複数あります。
関西電力が直面していたのは、セキュリティ強化の必要性を踏まえつつ、業務影響を最小化しながら確実に前へ進める進め方をどう構築するか、という点でした。

ソリューション

DMARCの「可視化→整理→強化」を、運用に落とし込む

関西電力はDMARCを軸に、送信ドメインの正当性を担保するための取り組みを進めました。ポイントは、いきなり強いポリシーを適用するのではなく、現状把握と関係整理を踏まえて段階的に強化していくこと。
Proofpointを活用することで、DMARCレポートをもとにした状況の可視化や、運用の判断を支える情報整理を行い、関係者が合意しやすい形で対策を進められるように設計していきます。

※本資料では、DMARC推進にあたり「どの情報を見て」「どう判断し」「どの順序で進めたのか」といった実務観点の要点を紹介しています（具体的な運用設計・判断基準・適用の進め方はダウンロード後にご確認いただけます）。

成果

なりすまし対策を前進させ、「信頼される送信元」を守る基盤へ

取り組みの結果、関西電力は、送信ドメイン保護の観点から、なりすまし・メール詐欺対策を前進させました。社外の受信者に対しても、「関西電力を名乗るメールの信頼性」を高める方向へ取り組みを進められたことが特徴です。
また、対策を“点の施策”として終わらせず、関係者調整や運用を含めた継続的な取り組みとして整理し、今後の改善へつながる基盤を整えています。