クレジットカードやデビットカードの支払いを処理する組織のセキュリティ専門家であれば、おそらく支払いカード業界データセキュリティ基準（PCI DSS）に精通しており、常に変化するコンプライアンス期限に先んじることの課題を理解しているでしょう。最近のPCI DSS v4.0.1の更新は業界で最も重要なものの一つであり、2025年3月までにフィッシング対策メカニズムの明確な要件を導入しています。

このブログでは、これらのフィッシング対策メカニズムが重要である理由、SPF、DKIM、DMARCについて知っておくべきこと、そしてSkysnagが計画から施行までのプロセスをどのように支援できるかを探ります。

PCI DSS v4.0.1がフィッシング対策に重点を置く理由

フィッシング対策メカニズムが今や必須に。

昨年発表されたPCI DSS v4.0.1では、2025年3月までにフィッシング攻撃に対する管理策を導入することが明確に求められています。具体的には、要件5.4.1で「フィッシング攻撃を検出し、従業員を保護するためのプロセスと自動化されたメカニズム」を義務付けており、セキュリティ意識向上トレーニングだけではもはや十分ではありません。

監査人はSPF、DKIM、DMARCを確認します。

要件5.4.1の遵守を証明するために、企業は以下のようななりすまし防止対策を実施していることを示す必要があります。

• 送信者ポリシーフレームワーク (SPF)
• ドメインキー識別メール (DKIM)
• ドメインベースのメッセージ認証、報告、適合性 (DMARC)

これらのプロトコルは、フィッシングやメールのなりすましを軽減するために連携し、これらはデータ漏洩の主な原因であり、支払いカード情報が関与する場合も含まれます。

PCI SSCの要件、テスト手順、およびガイダンスの概要。

メール認証について知っておくべきこと：

1. 送信者ポリシーフレームワーク (SPF)

SPFは、メール認証における最初の防御線です。これは、メールサーバーが特定のドメインを代表してメールを送信する権限があるかどうかを確認します。DNSにSPFレコードを公開することで、どのIPアドレスやサーバーがあなたのドメインのメールを送信できるかを指定します。

SPFに関する主な課題

• SPFレコードの設定と維持は、特に複数のサードパーティサービスやクラウドプラットフォームを使用してメールを送信する組織では複雑になる可能性があります。
• 過度に許容的であるか、適切に管理されていないSPFレコードは、攻撃者が悪用する可能性のある隙間を残すことがあります。

2. ドメインキー識別メール (DKIM)

DKIMは、受信メールサーバーが受信したメッセージが転送中に変更されていないことを確認する方法を提供します。各送信メールに暗号署名を追加します。

DKIMに関する主な課題

• 公開鍵/秘密鍵ペアの生成と管理が必要です。
• 継続的なセキュリティのために定期的な鍵のローテーションが必要です。
• 設定はSPFよりも複雑であることが多く、メールサーバーでの深い設定変更が必要です。

3. ドメインベースのメッセージ認証、報告、適合性 (DMARC)

DMARCは、SPFとDKIMを結びつけ、メールがこれらのチェックに失敗した場合に何が起こるかを指定します（例：何もしない、隔離する、または拒否する）。また、あなたのドメインのメール処理方法についての可視性を提供する報告機能も提供します。

DMARCポリシー

• p=none: SPFとDKIMの両方が失敗した場合、何もしません。（初期段階での監視に便利）
• p=quarantine: メッセージをマークするか、隔離する。
• p=reject: SPFとDKIMの両方のチェックに失敗したメッセージを拒否します。（なりすましメールのブロックに最適で、セキュリティ意識の高い組織の最終目標）

PCI DSS v4.0.1にとってDMARCが重要な理由

• DMARCは、ドメインの悪用の試み、特に許可されていない第三者があなたの名義でメールを送信する場合について、実行可能な洞察を提供します。
• PCI DSS v4.0.1の監査人は、DMARCの設定だけでなく、フィッシングリスクを軽減する適用ポリシー（隔離または拒否）を示すことも期待します。

2025年3月：時間が迫っています – 今すぐ行動を

3月31日の期限が迫る中、SPF、DKIM、DMARCの適切な導入を確実にすることはこれまで以上に急務です。これらの実装には計画、テスト、完全な施行に時間がかかり、最後の瞬間の設定が混乱を引き起こす可能性があります。主な課題には以下が含まれます：

• 複雑なインフラストラクチャ：複数のドメインとサブドメインを管理し、適切な認証を確保する。
• チーム間の調整：メール認証はIT、マーケティング、人事、その他の部門に影響を与え、調整が必要です。
• ビジネスの中断を避ける：適切な設定なしに厳格なDMARCポリシー（拒否など）に急いで導入すると、正当なメールがブロックされる可能性があります。

さらに、予算の承認とステークホルダーの賛同を得るには時間がかかります。今すぐ行動することで、最後の瞬間の問題を防ぎ、コンプライアンスを確保し、メールセキュリティを守ることができます。

SkysnagがどのようにPCI DSS v4.0.1の要件を満たすのを支援するか

SPF、DKIM、DMARCの設定は特にメール認証の専門家が社内にいない場合、難しいことがあります。そこでSkysnagが役立ちます：

• 包括的なメール認証スイート

Skysnagのプラットフォームは、既存の設定の評価から、すべての認可された送信元に対するSPF、DKIM、DMARCの実装まで、各ステップを簡素化します。

• 中央集約型レポートおよび分析

私たちの直感的なダッシュボードは、DMARCの集計およびフォレンジックレポートを統合し、誰があなたの名義でメールを送信しているか、そしてそれが認証されているかについてのリアルタイムの洞察を提供します。

• シームレスな展開のための専門的なガイダンス

Skysnagの専門家は、あなたのメール認証戦略の計画、実装、監視をサポートします。私たちはあなたのチームと共に働き、各レコードが正しく設定されていることを確認し、配信に関する問題を迅速に解決します。

• 段階的なポリシーの適用

私たちは、監視のみのDMARCポリシー（p=none）から、正当なメールを誤ってブロックすることなく、完全に適用された拒否ポリシーへ自信を持って移行できるようサポートします。

• 攻撃に対して将来にわたって防御する

Skysnagを使えば、送信メールが保護されていることを確信できます。私たちのソリューションは進化する脅威に適応し、初期の導入後も長期間にわたってセキュリティ体制が強化されます。

要件を満たす準備はできましたか？こちらがあなたのアクションプランです

1. 現在の状態を評価する

• すべての送信サービスとドメインを棚卸しする
• 既存のSPF、DKIM、DMARCレコード（あれば）を確認する

2. 実装してテストする

• SPFとDKIMから始める
• 最初にp=noneモードでDMARCを実装し、不一致や不正な送信者に関するデータを収集します。

3. 強制へ移行する

正当な送信元が適切に認証されていることを確認したら、DMARCに失敗したメールを隔離または拒否します。

4. 専門家のサポートを活用する

Skysnagのコンサルタントと提携して、展開を加速し、複雑な問題に迅速に対処します。

待たずに、今すぐメールチャネルを保護しましょう

PCI DSS v4.0.1は単なるチェックボックス以上のものであり、フィッシング、データ漏洩、詐欺に対して組織を強化するための重要なステップです。2025年3月の期限が迫る中、SPF、DKIM、DMARCへのアプローチを微調整し、コンプライアンスを確保し、カード保持者データの保護準備を整える時が来ました。

Skysnagは、既存のメールストリームの初期監査から、完全に適用されたDMARCポリシーの実現まで、すべてのステップでサポートする準備ができています。

今すぐご連絡いただき、SkysnagがシームレスなPCI DSS準拠とより安全で強靭なメール環境に向けてご案内いたします。今すぐご連絡いただき、PCI DSS v4.0.1のアンチフィッシング要件を満たし、さらには超える方法についてご説明します。

次の記事もおすすめです：

PCI DSS v4.0準拠のためのDMARCの義務化 9月 4, 2024

個人を特定できる情報の特定と保護 10月 11, 2023