- 詳細
- 参照数: 6856
*このサービスは、2022年2月より一般社団法人医療ISACにて行うことになりました。
(本ページはスマートフォンなどのモバイル機器での閲覧に適していない書式になっておりますことを、予めご了承下さい。)
1. 医療ISACがDMARCを推進する背景
近年の個人端末としてのスマートデバイスやIoT技術の普及・向上、さらに国外プラットフォーマーによる情報の「囲い込み」は、国としてのサイバーセキュリティ対策の策定と実行を複雑化しています。
医療ISAC及び当社(AHIL)が主にモニタリングしている医療・福祉業界でも、情報セキュリティ被害が発生した際の患者様に対する被害並びに発生した施設や関連企業自体の存続への多大なる影響を避けるため、日々新情報を、国内外の連携先とともにサイバーセキュリティの脅威情報の収集・対策情報の提言と共有に努めております。
今ページでは、増大する脅威の中で様々な用途に転用されやすく、対策が進んでいないメール「なりすまし」対策を中心に、今後取り組むべきポイントを提案します。
【主なサイバーセキュリティ対策と特徴】
![]() |
|
![]() |
|
![]() |
|
ウィルス「Emotet(エモテット)による、メール「なりすまし」の被害例
(出所:JPCERTコーディネーションセンター)
特に最近はメール「なりすまし」による技術も多様化しており、医療ISAC/AHILでは被害・効果ともに社会的インパクトが大きく現状普及率(19.66%*程度)が低い、メールなりすまし対策「DMARC(ディーマーク) 」導入推進を提案しています。
*総務省、「送信ドメイン認証技術等の導入に関する法的解釈について(2018) 」
(http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail/legal.htm)
2. メールなりすまし対策「DMARC」の概要
DMARCは単体ではなく、大きく分けて下記3つ要素技術を満たして効果を生みます。(もちろん、他にも次々と技術は開発され実装が進んでいます)
いずれも、送信元のサーバ、電子証明書、ドメインサーバによる連携で送信者の正当性を確認する複雑な仕組みですが、プラットフォーマーやインターネットプロバイダを中心に導入が進んでいます。
![]() |
|
![]() |
|
![]() |
|
【メール送信・検証の流れ】
|
|
3. 対策のステップと今後の課題
対応を要する側と優先度 |
対応内容と施策 |
現状の課題 |
1.メール送信者 |
各社・施設等のメール作成・送信時に、自社独自ドメインと電子証明書を装備し、関連3要素の検証に対応可能なメール送信システムを構築する。 政府としてこれを支援することで情報産業の活性化も狙う。 |
SNS等の普及により簡易なメッセージ交換が業務用途にも広がっているが、送信者の検証を携帯電話会社に任せきっており、組織として情報に責任を持つ体制が推進しにくくなっている。 |
2.メール受信者 |
受信したメールの正当性を確認できる機能を、メールサーバーに実装し、定期的にレポートを送信できるようにする。 前項に合わせて、認証された相手からのメールのみを正当とする仕組みの構築を支援する。 |
現状メールの送信者が一度なりすましの被害に遭うと、スパム送信者としてプラットフォーマー同士が共有し、「社会復帰」が難しくなっている。 |
3.メール管理者/ |
DMARCの枠組みを使って、メールの送受信記録に基づいてメールサーバ同士で正当性を定期的にチェック・報告し合う仕組みを構築する。 右記の課題も含め、政策的な面からもバックアップを推進・普及措置を訴求していく。 |
法的には、認証不可の場合の措置を講ずる点や、通信に関する情報を報告する行為が、通信の秘密を侵害するが(電気通信事業法第4条)、DMARCの運用については一定の条件下に違法性の阻却が可能(総務省「送信ドメイン認証技術等の導入に関する法的解釈について」(2018) ) |
以上のように、DMARC対応の推進を社会全体で推し進める事でメール送信の信頼性が高まり、IT化・情報管理体制の推進策として極めて効果が大きいと考え、医療ISACと当社はこれら対策の推進を提案致し、実際に現場の支援を致します。
このような活動を通じて、私たちは下記のような副次的効果による社会への貢献も目指しています。
- 証明書発行の組織検証、ドメイン検証の推進
- JPドメインの普及加速 → 国内認証機関の需要喚起・市場拡大
- ネットワークの相互監視組織の育成により、「日本発」プラットフォーマーの増加*・活性化
4. お問合せ窓口
現在、医療ISACでは主に前章一覧表中の「1.メール送信者」としての対策を中心に、設定支援コンサルティングサービス、及び設定支援そして承認の枠組みを提供しています。
具体的なお問合せ、相談は医療ISAC Webサイトを通じて受付しております。
- 医療ISAC メールセキュリティ対策支援サービス
- お問合せ窓口はこちら
問合せをお待ちしております!
一般社団法人 医療ISAC
合同会社オークス医療情報ラボ