叡智の三猿

~情報セキュリティで森羅万象を捉える~

SPFから考える「恕」

「なりすまし」対策のSPF

電子メールの「なりすまり」が横行しています。電子メールは送信元メールアドレスが自由に設定が出来るためです。「なりすまし」のような迷惑メールが増えると、メールの信頼性がさがります。この課題を解決する方法のひとつに、SPF (Sender Policy Framework)があります。SPFDNSサーバーを使うことで、電子メールの送信元ドメインが詐称されていないかを検査する仕組みです。 DNSSPFレコードを設定することで、送信されてきたメールがDNSに記載があるサーバーからのメールかを判断することができます。

SPFのイメージを書きます。

下図の青線はB社の社員がA社の社員にメールを送った場合の動きです。メールを受信したA社のメールサーバーは、B社のDNSサーバーに対して、B社のメールサーバーについて問い合わせをします。B社のDNSサーバーは、自社のメールサーバーに関する情報を返します。その結果をA社のメールサーバーが確認し、ドメインが詐称されていないとなれば、A社の社員にメールを配信します。赤線は逆にA社の社員がB社の社員にメールを送った場合の動きとなります。

f:id:slowtrain2013:20210711235421p:plain
SPF対応

SPFの仕組みは、メールのやり取りをする双方が、SPFを導入していなければ効果がありません。仮にB社がSPFに未対応であれば、メールを受信するA社のメールサーバーは、B社のDNSサーバーに対して、B社のメールサーバーについての問い合わせをしても、B社は自社のメールサーバーに関する情報を返しません。そうすると、A社は受信したメールの真正性(情報セキュリティの特性のひとつ。利用者、プロセス、システム、情報などが、主張どおりであることを確実する特性のこと。)は確認出来ません。その結果「なりすまし」をブロックすることが出来なくなります。

このようなSPFの特徴を考えると、SPFが社会に普及するか否かは、他社への気配りが出来る組織なのか、そうでない組織なのかと思います。SPFは気配りによって、社会全体としてのメールの信頼性を高めようとする考え方だと思います。

インターネット接続サービスなどを提供するインターネットイニシアティブIIJ)が、2020年6月に公表した調査結果によると、自社受信メールにおけるSPFの普及率は87.9%です。この数値は高そうですが、10%以上の企業が未だに導入していないことを考えると、社会全体でメールを健全化させる取り組みが浸透しているとは言えません。
www.cloud-security.jp

其れ恕(じょ)か

孔子論語に有名な「其れ恕(じょ)か。己の欲せざる所は、人に施すこと勿れ」というのがあります。恕というのは、他人の心を汲み取る心です。他人の心が読み取れれば、されたくないことも予測できます。

相手の会社は、自分の会社を詐称した「なりすまりメール」なんて、間違っても受信したくないよな。「SPFレコードを対応して欲しい」ときっと望んでいるだろうな。だから、事前に設定しておこう

恕を持ち続けることで、賢い選択が出来ると思います。

NHK大河ドラマ「青天を衝け」で描かれる「日本資本主義の父」渋沢栄一「経済活動は道徳的であるべきだ」と主張します。利益のみを追求すると、経済活動は道徳が失わます。最大限の利益を追求するには、他者の利益も考えたものでなければならないのです。

本当に「経済活動が道徳的」であれば、いろんなモノゴトは、他者への気配りをした全体最適の状態が実現できそうです。

ただ経済活動は弱肉強食です。企業は誰からも、好かれたいと考えているので、表向きは道徳心にあふれているように振舞います。しかし、内心は自分だけが利益を得ればいいと思っている一種のサイコパスのような存在です。

結局のところ、少数の強者が多数の弱者を支配することで、全体最適になる可能性が高いと思います。