お世話になります。 現在、DMARCレポート分析ツールの導入に向けた情報収集を行っております。dmarcianを利用するにあたり、収集・保持されるデータの範囲について具体的に教えてください。
1. RUA(集計レポート)について
通常のRUAを受信・解析する場合、dmarcianのプラットフォーム上にはどの程度の情報が収集されますか?特に、個人情報や機密情報に該当しうるデータ(送信元IP以外にメールアドレスや件名など)が含まれる可能性があるのか伺いたいです。
2. RUF(失敗レポート)について
RUFも収集対象とする場合、具体的にどのような情報がdmarcianへ送信され、保持されるのでしょうか?フォレンジックレポートの性質上、メール本文の一部やヘッダー情報が含まれると認識していますが、その保持期間やマスキング機能などの有無についても併せて教えていただけますと幸いです。
以上、よろしくお願いいたします。
ご質問ありがとうございます。
DMARC運用において、データのプライバシーとセキュリティは非常に重要なトピックです。ご質問いただいた2点について、具体的に解説いたします。
結論から申し上げますと、RUA(集計レポート)には、メール本文、件名、個人のメールアドレスといった「個人情報」や「機密情報」は一切含まれません。
RUAはあくまで「統計データ」であり、XML形式のファイルには以下の情報のみが記載されています。
送信元の情報: 送信元IPアドレス、逆引きホスト名。
認証結果: SPF、DKIM、DMARCのパス/失敗の結果。
ドメイン情報: ヘッダーFromドメイン。
メール通数: 特定のIPから特定の期間内に何通送信されたかの通数。
dmarcianのプラットフォーム上で可視化されるのもこれらのデータに限定されるため、メールの内容が漏洩する心配はありません。
RUF(失敗レポート/フォレンジックレポート)は、認証に失敗した個別のメールに関する詳細な情報を送信する仕組みです。
送信される情報: ご認識の通り、メールのヘッダー情報(宛先・送信先アドレス、件名など)や、場合によってはメール本文の一部が含まれることがあります。
dmarcianでの取り扱い:
デフォルト設定: プライバシー保護の観点から、dmarcianではRUFの受信・保持はデフォルトでは無効になっています。
マスキングとプライバシー: 多くの受信側メールサーバー(GmailやMicrosoft 365など)は、プライバシー上の懸念からそもそもRUFを送信しない仕様になっています。
保持期間: もしRUFを明示的に有効化して受信した場合でも、dmarcian側では一時的なデバッグ用途として扱われ、RUAよりも短い期間で自動削除される仕組みになっています。
実務上の運用としては、まずはRUA(集計レポート)のみを利用することを強くお勧めします。RUAだけで送信ドメインの正規・不正の判断やDMARCポリシーの引き上げ(reject化)には十分な情報を得ることが可能です。
RUFについては、機密情報の漏洩リスクを考慮し、多くの企業が設定を空(有効化しない)にするか、プライバシーポリシーに基づき厳格に管理する運用をとっています。
dmarcianはGDPRを含む国際的なプライバシー基準に準拠して設計されていますので、安心してRUAの分析から始めていただければ幸いです。他にも不明な点があれば、お気軽にご相談ください。
