以下を見てくれ、コイツをどう思う?
DKIM「そうです、私が変なおじさんです(証明済み)」
SPF「変じゃないオジさんリストをすべて洗い出せ。そして全員に通達せよ」
DMARC「変なおじさんは駆逐する!!心臓を捧げよ!!!」
DKIMはまぁ導入しやすいけどあんま意味ない
SPFは運用困難
DMARCは社内にエレン・イェーガーが必要
「DKIM『そうです、私が変なおじさんです(証明済み)』」—— DKIMは送信者の身元を暗号学的に証明する技術だが、結局のところ「このメールは確かに私が送りました」と証明するだけで、その「私」が信頼できるかどうかは全く別問題だ。spam.example.comから来たメールにDKIMが付いていて署名が有効でも、それは単に「このメールは確かにspam.example.comから送られました(証明済み)」という意味でしかない。
「SPF『変じゃないオジさんリストをすべて洗い出せ。そして全員に通達せよ』」—— これは現実の運用における悪夢を完璧に表現している。SPFは送信を許可するIPアドレスをすべて事前にリストアップする必要があるが、現代のメール環境では到底現実的ではない。Office 365、Google Workspace、各種SaaSサービス、外部委託先のシステム。新しいサービスを導入するたびにSPFレコードを更新し、各サービスのIP変更に追従し続けなければならない。まさに「変じゃないオジさんリスト」の管理は、組織の成長とともに破綻していく。
「DMARC『変なおじさんは駆逐する!!心臓を捧げよ!!!』」—— エレン・イェーガーの決め台詞を借りたこの表現が、DMARCの現実を見事に皮肉っている。DMARCポリシーを「reject」に設定するには、本当にエレン級の覚悟と組織全体を巻き込む強いリーダーシップが必要だ。しかし現実には、ほとんどの組織がp=noneで止まっている。
郵便ポストに求めるエントランスのセキュリティ
メール認証技術の根本的な問題は、メールの本質を無視していることにある。メールはエントランスではなく郵便ポストだ。エントランスなら受付の人が来訪者と対話し、身分証明書を確認し、怪しければ断ることができる。しかし郵便ポストは一方的に投函され、開封するまで中身がわからず、差出人は簡単に偽装できる。
しかも問題の本質は「コストの低さ」にある。物理的な郵便なら用紙代、印刷代、郵送料がかかるが、メールは1億通送っても追加コストはほぼゼロだ。だから適当に詐欺メールを送りまくることができる。
そんな状況で「認めた住所からしか受け付けません」というのは、郵便ポストの利便性を完全に殺している。友人が新しいメールアドレスに変えた時に「SPFレコードに追加するまで待ってて」とか、初回取引の会社から「まずうちのドメインをホワイトリストに登録してください」とか、完全に本末転倒だ。メールの根本的な価値である「誰にでも届く」という特性を制限してしまったら、それはもうメールではない。
セキュリティという名の責任回避システム
皮肉なことに、実際のセキュリティ事故が起きた時の対応を見ると、みんなどれほど本気でセキュリティを重視しているかが露呈する。ベネッセの3500万件漏洩事故では、補償は500円の金券だった。KADOKAWAの「日本のインターネット史上最悪」とまで言われた漏洩事故も、特損20億円で済み、サービスは継続している。つまり、実際の被害はその程度なのだ。
しかし一方で、現場では「セキュリティインシデントが起きたら大変だ」「個人情報漏洩は企業にとって致命的」という前提で、無数の面倒な仕組みを導入させられている。実際には漏洩が起きても「すみませんでした、気をつけます」で終わりなのに、予防策だけは異常に複雑で高コスト。この温度差が、セキュリティ業界の「良いピラミッド」を支えている。
セキュリティという錦の御旗の下では、どんな要求でも正当化できてしまう。「何かあったら大変だから」という大義名分で、現実的でない運用を強制し、ユーザーの利便性を犠牲にし、「セキュリティ専門家」のポジションを確立できる。完璧な対策なんて存在しないから、いくらでも「まだ足りない」と言える。実際に被害が出れば「だから言ったでしょ」と言え、被害が出なければ「対策が効いた」と言える。
技術的権威による政治の隠蔽
DKIM/SPF/DMARCの話も、技術的には「メール認証の仕組み」だが、実質的にはIT部門と他部署の権力関係、セキュリティベンダーの営業戦略、「やってる感」を出すための政治的パフォーマンス、責任回避のための免罪符という政治的な話だ。セキュリティの本質は技術ではなく政治なのに、「技術的に正しい」という権威を使って政治的議論を封じ込めている。
結局、企業の「セキュリティ事故が起きても俺のせいじゃない」「ちゃんと対策してたって言えるようにしたい」「でも実際には面倒なことはしたくない」というニーズを、エンジニアが技術という権威で拾っただけなのではないか。実際には運用は現実的じゃなく、効果も限定的だが、「業界標準の対策をしてます」と言える完璧な責任回避システムが完成する。
事故が起きても「DMARC設定してました、でも技術的限界があって...」と言えるし、何も起きなければ「我々の対策が効果的でした」と言える。技術的に正しいという権威を使って、政治的に都合の良い仕組みを正当化する構造がここにある。
結局は全通しという現実
実際のところ、多くの組織は結局「全通し」に近い状態になっている。SPFやDKIMの設定ミスで正当なメールが弾かれるリスク、「お客様からの重要なメールが届かない」クレームの怖さ、新しいサービスや取引先からのメール送信への対応コストを考えると、「迷惑メール対策はやってる感じにしつつ、でも基本的には通す」という運用になりがちだ。
DMARCもp=noneで放置、p=quarantineにしても隔離されたメールは結局手動で確認して通す、p=rejectは怖すぎて設定できないという状況で、「技術的には対策してるけど、実質的には昔とあまり変わらない」状態の組織が多い。
皮肉なことに、これらのセキュリティ対策を真面目にやるのは、スパマーや詐欺業者、金に目がくらんだサイト運営者だったりする。彼らは信頼性演出のため、騙すため、捕まらないために、SSL証明書を当然のように取得し、HTTPS対応を完璧にし、セキュリティ対策もプロ仕様だ。結果として「安全なサイト」扱いを受ける。
一方、善良な個人の手作りサイトは「危険です!」と警告される。セキュリティ対策が、悪い人ほどちゃんとやる仕組みになっていて、善良な個人ほど排除される構造ができあがっている。
変なおじさんの正体
結局のところ、メール認証技術が皮肉られるのは、理想と現実のギャップがあまりにも大きすぎるからだ。技術的には「正しい」ことをやっているつもりでも、実際の運用は破綻し、本来の目的は達成されず、新たな複雑さだけが追加される。
「変なおじさん(証明済み)」という表現は、身元ははっきりしているけれど、だからといって信頼できるわけではないという微妙なポジションを完璧に言い表している。セキュリティ技術の多くが、実はこの「変なおじさん」なのかもしれない。やってる感は十分だが、実際の効果は疑問で、むしろ面倒さだけが増えている。
技術者が「技術で解決」に逃げることで、組織の根本的な問題から目を逸らし続ける構造。その結果として、誰も幸せにしない高性能なシステムが完成する。これこそが、現代の技術的解決主義の病理なのではないだろうか。