企業を騙るなりすましメールやフィッシング詐欺が巧妙化する中、企業には送信メールの信頼性を担保する対策がこれまで以上に求められています。パーソルグループでも、事業活動を支えるメール基盤を守るため、なりすましメール対策プロジェクトを推進してきました。

しかし、なりすましメールを遮断するための拒否設定は、本来届けるべきメールまで届かなくなるリスクと隣り合わせです。そのリスクと向き合いながら、2年かけてメールの信頼性を高める状態を実現しました。

今回は、プロジェクトを主導した志水に、なりすましメールを“届かせない”状態をどのように実現したのか。その過程で向き合った課題や判断、そしてプロジェクトを通じて見えてきたメールセキュリティの本質について話を聞きました。

事業接点を支えるメール基盤を守る。必要なメールを届け続けるために始まった、なりすましメール対策

まずは、志水さんの現在の業務内容について教えてください。

私が所属する室が掲げているのは、従業員がよりはたらきやすい環境を整えることです。メールやチャット、Web会議、ファイル共有といった、日々の業務に欠かせないシステムを支えています。私はその中で、パーソルグループ全体のメール領域やチャット基盤を担当しています。

近年、社内コミュニケーションにおいてチャットの利用が広がっていますが、社外とのやり取りでは、今もメールが重要な役割を担っています。お客さまとの連絡、求職者への案内、各種サービスに関する通知など、パーソルグループの事業活動を支える多くの接点はメールを前提に成り立っているのが実情です。

私たちの仕事は、単なるシステム管理ではありません。ビジネスの根幹を支えるコミュニケーション基盤を預かっている。その意識を持ちながら、日々の業務に向き合っています。

今回の「なりすましメール対策プロジェクト」は、どのような背景から始まったのでしょうか？

きっかけは、メールを取り巻く環境が大きく変化したことです。近年、なりすましメールやフィッシング詐欺などのサイバー攻撃は巧妙化しており、主要なメールサービス事業者も、送信元の信頼性をより厳しく確認する流れになっています。

その中で求められるようになったのが、DMARC（Domain-based Message Authentication, Reporting, and Conformance）と呼ばれる認証技術です。DMARCは、送信されたメールが本当にその企業から送られたものかを検証し、なりすましと判断されたメールを遮断できる仕組みです。

今回の取り組みは、セキュリティ強化だけを目的としたものではなく、必要なメールを確実に届け続けるための重要な取り組みとしてスタートしました。

高い認証率の裏に残るリスク。調査で見えてきた、グループ横断の複雑な実態

なりすましメールを防ぐために、具体的にはどのような対応を進めたのですか？

今回のプロジェクトでは、パーソルグループで広く利用されている「persol.co.jp」ドメインを対象に、なりすましメールを遮断できる状態を目指しました。

DMARCにはいくつかの運用レベルがありますが、最終的なゴールは「拒否（Reject）」と呼ばれる設定です。これは認証に失敗したメールを受信者へ届けない、最も強い設定になります。

ただ、DMARCでは、本当にパーソルグループから送信されたメールであっても、「正規のメールである」と技術的に証明できなければ認証に失敗します。つまり、強力な設定である分、なりすましメールだけでなく、本来届けるべきメールまで届かなくなる可能性があるんです。

パーソルグループでは前例のない取り組みのため、事業への影響をできるだけ出さないことを重視して、まずは認証状況を確認するところから始めました。

認証状況の確認では、どのような状況が見えていたのでしょうか？

配信されているメールのうち、およそ96％は正しく認証されていました。この結果であれば、企業によってはDMARCの拒否設定へ移行するケースもあると思います。しかし、私は数値に頼らず、事業影響を起点に意思決定しました。

パーソルグループでは、毎月膨大な数のメールを送信しています。何千万通という母数の中で考えると、その量は決して少なくありません。

その中には、事業運営に欠かせないメールが含まれている可能性もあります。そのため、次のステップでは、認証できていないメールを詳しく調査していきました。

認証できていないメールを調査するうえで、どのような難しさがありましたか？

特に難しかったのは、配信元の特定です。persol.co.jpは複数のグループ会社が利用しているため、どのグループ会社がどのメールを送信しているのかを把握するだけでも容易ではありませんでした。

persol.co.jpからメールを送信しているシステムが想定以上に多く、月ごとの送信状況によって認証率が変動するため、認証率だけを基準に拒否設定へ移行する判断はできないことも判明したんです。

調査を進めるほど、何をどこまで確認すべきかが見えにくくなっていき、判断基準そのものを自分たちで定める必要がありました。

前例がないなら、自分たちで基準をつくる。正解のない中でたどり着いた拒否設定への道筋

前例のない状況の中で、どのようにプロジェクトを前に進めたのでしょうか？

ベンダーからは、「企業によっては、メール送付数が月1,000通未満のシステムは確認対象外にすることもある」と聞いていました。ただ、月に1回だけ400通送るシステムや、四半期に1回だけ配信するシステムもあります。送信数が少ないという理由だけで対象外にすると、結果的にどこかに影響が出る可能性があります。

そこで、「月間100通以上メール送信しているシステムを確認対象とする」という、かなり厳しい基準を独自に設定しました。

それでも同じサービスを複数のグループ会社が契約していると、分析ツール上では一括りに見えてしまい、私たちだけでは特定できないケースがあります。

そのため、特定できるものは私たちが詳細に調査する。一方で、どうしても判別できないものは、グループ各社に確認してもらう。そうした責任範囲を明確に定めながら、粘り強く進めていきました。

調査していく中で、進め方を見直した部分はありましたか？

通常、グループ全体に関わるプロジェクトでは、各社の担当者に取りまとめをお願いしています。ただ今回は、一部のグループ会社について、担当者を経由するのではなく、私たちが直接該当部門へ確認する形に切り替えました。

というのも、営業やマーケティング、人事など、さまざまな部門がメール配信サービスを利用しているため、担当者だけでは確認しきれなかったんです。結果的に、20以上の部門と直接やり取りを重ねながら調査を進めました。

効率的な方法ではありませんでしたが、メールが届かなくなってから対応するのでは遅いため、影響が出る可能性のある部門にはできる限り直接向き合うようにしました。

拒否設定の適用に向けて、特に悩んだ判断を教えてください。

一番難しかったのは、どこまで調査するのかという判断です。調査を進めれば進めるほど、グループ全体の利用実態を100％把握することは現実的ではないと見えてきました。

そこで、いきなり拒否設定を適用するのではなく、その一段手前にあたる「隔離設定（Quarantine）」を挟むことにしました。これは、なりすましと判定されたメールを通常の受信箱ではなく、迷惑メールフォルダや検疫フォルダに振り分ける設定です。

相手には届くものの、これまで通りには扱われません。そのため、まだ把握し切れていない影響範囲を洗い出せると考えました。

大部分の対応はすでに完了していたものの、一定の業務影響が出ることは覚悟しました。それでも、調査結果だけでは見えない課題を把握し、拒否設定へ進むためには必要なステップだったと捉えています。

影響が出る可能性がある中で、どのようにグループ各社へ理解を求めたのでしょうか？

グループ各社へは、IT施策を周知する会議体などを通じて発信していきました。

伝えていたのは、「ここまでは私たちが調査しました」「ただ、ここから先は各社にも協力してほしい」ということです。そして、隔離設定を適用した際に、メールが隔離された場合はすぐに連絡してほしいことも繰り返し伝えました。

パーソルホールディングスとして無限に調査を続けることはできません。だからこそ、どこまで対応したのかを誠実に伝えたうえで、影響が出た場合にはすぐに拾い上げる体制を整えました。

最後はどのように対応を進めたのでしょうか？

実際に隔離設定を適用すると、10部門以上から問い合わせがありました。ただ、どれも想定内の反応です。施策の背景やこれまでの周知経緯を説明しながら一件ずつ丁寧に向き合い、残された課題も着実に解消していきました。

こうした状況を踏まえ、業務への大きな影響は生じないと判断したうえで、persol.co.jpへの拒否設定を実装し、なりすましメールを抑止する仕組みが、ようやく整いました。

なりすましメール対策の先に見えた、ブランドを守るという使命

プロジェクトを通じて、取り組みに対する捉え方に変化はありましたか？

以前は、DMARCやメール認証の重要性を、メール領域におけるセキュリティ課題として説明していました。しかし今は、パーソルというブランドへの信頼を守るための取り組みとして、グループ全体に意義や必要性を発信できるようになったと感じています。

もしパーソルを騙るメールによって大規模なフィッシング詐欺が発生すれば、影響はメールの送受信だけにとどまりません。お客さまや求職者、取引先にも影響がおよび、パーソルブランドそのものの信頼性が損なわれる可能性があります。

実際、対応を進める中で、外部からのなりすましリスクが現実に存在していることも観測しました。そうした状況を目の当たりにして、これは決して対岸の火事ではなく、グループとして向き合うべきリスクなのだと認識するようになりました。

今回のプロジェクトを通じて、その本質はシステムを守ることではなく、パーソルというブランドへの信頼を守ることにあるのだと強く感じています。

前例のない取り組みを進める中で、志水さん自身はどのような思いで向き合っていたのでしょうか？

メールセキュリティは、正常に機能していることが当たり前で、成果も見えにくい領域です。そのため、正直モチベーションが下がった時期もありました。

ただ、私たちを取り巻く環境が想像以上に厳しいことも実感するようになり、このままでは、いつかパーソルも外部からの脅威にさらされるかもしれないという危機感が強くなっていました。

パーソルを騙るなりすましメールを届きにくくし、ブランドを守りたい。そして、世界標準のセキュリティとして一歩先へ出られる。そうした思いが、このプロジェクトを支える大きな原動力だったと思います。

最後に、今後はどのような取り組みに広げていきたいか教えてください。

今後はグループ各社が事業で利用しているドメインにも、なりすましメール対策を広げていく方針です。

現在、パーソルグループには各社が独自に保有するドメインが100以上あります。persol.co.jpで対策を実現できたとしても、グループ全体で見れば、まだ取り組むべき領域は残っています。

今回の取り組みで得られた知見をグループ全体へ展開し、各社が安心してメールを使える状態を整備していくことが、これからの重要なテーマだと考えています。

ありがとうございました！

取材＝伊藤秋廣（エーアイプロダクション）／文＝嶋田純一／撮影＝鳴嶋由紀（PalmTree）
※所属組織および取材内容は2026年6月時点の情報です。
※略歴内の情報は2026年6月時点での内容です。