Proofpoint EFD導入事例:みずほフィナンシャルグループ様
金融機関に求められる 重要なセキュリティ要件 DMARCを導入
トップダウンとボトムアップの合わせ技で社内の理解を得ながらDMARC導入を推進
導入前の課題
- みずほを騙るなりすましメールを観測しておりフィッシングメール対策の必要性を感じていた
- DMARCを導入することでメール到達性への影響を懸念する関係者をいかに説得するかが課題に
導入製品・サービス
DMARCを用いたなりすましメール対策、類似ドメインの可視化
- Proofpoint EFD (Email Fraud Defense)
導入後の効果
- DMARC導入によりメールの送信状況を可視化し正しく現状把握
- なりすましメールをブロックする、より厳しいポリシーへ移行するにあたりレポートや技術仕様をもとにトップダウンとボトムアップで社内を説得実施
株式会社みずほフィナンシャルグループ
設 立: 2003年1月8日
資本金: 2兆2,567億円
従業員数: 52,307人
(連結、2024年3月31日現在
設 立: 2003年1月8日
資本金: 2兆2,567億円
従業員数: 52,307人
(連結、2024年3月31日現在
受け身の対策から脱却し、能動的なフィッシング対策を模索
みずほフィナンシャルグループは、S/MIMEやフィッシングサイトのテイクダウンなど多面的な対策を講じてきましたが、それらは基本的に受け身の対応でした。急増するフィッシングメールに対し、より能動的に顧客を守る“攻めのセキュリティ”が求められていました。そこで注目したのが、世界的に導入が進むDMARC技術でした。実効性と他社の導入実績を重視し、2022年より本格的な検討を開始しました。
“DMARCのポリシーがnoneであることが原因でメールが届かなくなることはありませんが、DMARCについてまだ十分に理解されていなかったことから、実態のない不安だけが、まるで「お化け」のように漂っていたのです。”
サイバーセキュリティ統括部 リスク管理室 ディレクター
蝦名 英樹 氏
※所属・役職などは取材当時のものです
実績と支援体制を評価し、Proofpoint EFDを選定・導入へ
DMARC導入にあたり、実績豊富で国内金融機関でも信頼される2製品を候補とし、最終的にポリシー強化の実績が多い「Proofpoint EFD」を採用。可視化から段階的に導入を進め、各部門の不安を払拭しつつ、トップダウンとボトムアップを組み合わせて社内の合意形成を図りました。日本語によるサポートや、他社事例に基づく助言も導入を後押ししました。
多層防御の一環としての定着と、今後のBIMI導入を見据えた展開へ
DMARC導入により、不正送信の可視化が進み、社内の理解も深まりました。ポリシーの「reject」移行時には、Googleの新ガイドライン対応も追い風となり、着実に進捗。販売協力会社の現実的な提案と支援により、適切な仕様理解と柔軟な対応が可能となりました。今後はBIMI導入を検討し、金融機関に求められるレベルのセキュリティ対策を継続的に強化していく方針です。
