リーテックス株式会社特別企画（河原淳平特別顧問インタビュー）

Part03フィッシング被害、企業側の防衛手段

昨今、問題視されているフィッシングサイトへのアクセスを防ぐために、企業として講じるべきセキュリティ対策とは？その鍵を握る「DMARC（ディーマーク）」、そして「パスキー」について、警察庁で初代サイバー警察局長を務めた河原淳平氏が詳しく解説。「幅広い分野の事業者に導入を働きかけることが重要」と河原氏は強く訴える。

フィッシングサイトへのアクセスを防ぐため、企業が講じるべきセキュリティ対策

橘:フィッシングサイトへのアクセスを防止するために、企業として講じるべきセキュリティ対策はありますか？

河原:企業側もフィッシングメールを見破る対策やID・パスワードをだまし取られないような対策を講じる上で協力していただきたいです。現在、警察庁では金融庁や経済産業省、総務省と連携し、全国銀行協会や日本クレジット協会など業界団体を通じて、幅広い分野の事業者に送信ドメイン認証技術である「DMARC（ディーマーク）」の導入を要請しています。
橘:送信ドメインを認証する技術ですね？
河原:メールに送信元のドメインが表示され、送信元のドメインが信用できるものかを確認する技術です。これについては「キャッシュレス社会の安全安心の確保に向けた検討会」報告書にも記載されているので、ぜひ参考にしていただければと思います。これは警察庁のWEBサイトからダウンロード可能です。「DMARC」の運用はメールを送信する側だけでなく、受信側のメールサーバーにも実装することが必要であり、電気通信事業者が提供するメールサービスにも「DMARC」機能が提供されるよう働きかけることが重要です。

認証技術「パスキー」とは

橘:「DMARC」以外にも技術はありますか？
河原:個人認証にID・パスワードを使わない「パスキー」という認証技術があります。サービスを提供する事業者の手元にはサービス利用者の公開暗号鍵があり、秘密暗号鍵は利用者の認証デバイスに保存されています。この認証デバイスは普段ロックされていますが、利用者がサービスにアクセスする際、手元にある認証デバイスのロックを生体認証で解除し、サービス提供事業者が都度発行するランダムな文字列に秘密鍵で署名して送り返します。署名のあるランダムな文字列を手元の公開鍵で検証し、正規の利用者として認証するという手順です。

幅広い事業者に導入を促すことが重要

橘:私も使ってみたところ、正直面倒ではありますが… ID・パスワードをだまし取られてしまった被害事例を聞くと、どれだけ価値のあることかわかりました。

河原:現在のフィッシングはID・パスワードをだまし取る手口なので、この手口に対しては有効な対策です。大手プラットフォーム事業者では導入が進んでいますが、全体としてはまだまだ十分な普及状況とは言えません。引き続き、業界団体や経済団体、関係省庁が連携し、幅広い分野の事業者に導入を働きかけていくことが重要だと考えています。