日経225企業のDMARC導入率92%、有効設定は主要18か国で最下位
日本プルーフポイント株式会社は、日本を含む主要18か国の大手上場企業を対象に実施したメール認証に関する調査結果を発表した。日経225企業におけるDMARC(Domain-based Message Authentication, Reporting and Conformance)導入率は92%に達し、前年の83%から上昇した。一方で、詐欺メール対策として実効性の高い「Reject」「Quarantine」ポリシーの採用は36%にとどまり、主要18か国中最下位であることが明らかになった。
DMARC導入は拡大も、設定ポリシーの内訳を見ると、『None』設定が過半数を占めている
メールは依然として攻撃者にとって主要な侵入経路である。DMARCは、送信ドメインの真正性を検証し、なりすましメールの扱いを制御できる認証技術である。
調査によると、日経225企業のDMARC導入率は92%に達し、5年前と比べて大きく進展している。しかし、設定ポリシーの内訳を見ると、実効性に課題が残る。
「Reject」を設定している企業は15%、「Quarantine」は21%にとどまり、過半数にあたる56%が監視のみの「None」設定で運用している。約8%は未導入である。
詐欺メール抑止に有効とされる「Reject」または「Quarantine」を採用している企業は36%であり、前年の20%から増加したものの、国際比較では最下位である。
欧州との差が際立つ国際比較
DMARC導入率自体は世界的に高水準で推移しているが、ポリシー設定の厳格さには地域差が見られる。欧州では導入率が100%の国も存在する。
特に「Reject」設定においては差が大きく、スイスは85%、オランダは80%であるのに対し、日本は15%にとどまっている。
日経225企業の設定内訳
日経225企業におけるDMARC設定の内訳は以下の通りである。
- 15%:Reject
- 21%:Quarantine
- 56%:None
- 約8%:未導入
DMARCとBIMIの組み合わせによる効果
DMARCは送信元ドメインの検証とポリシー制御を可能にする技術である。さらにBIMI(Brand Indicators for Message Identification)を導入すれば、認証に成功したメールに企業ロゴを表示できる。
これにより、受信者は正規メールを視覚的に識別でき、ブランド信頼性の向上にもつながる。BIMI利用にはDMARCの適切な設定が前提となる。
各機関による対応要請の拡大
政府機関、業界団体、メールサービス事業者はDMARC対応を推奨・要請している。なりすまし対策は個社の問題にとどまらず、サプライチェーン全体の信頼性に関わる課題である。
| 時期 | 主体 | 対象者 | DMARC要件 |
|---|---|---|---|
| 2022年3月 | PCI DSS v4.0 | 流通小売企業 | フィッシング対策要件を満たす実装例としてDMARCが記載 |
| 2023年2月 | 経産省/総務省/警察庁 | クレジットカード会社 | DMARC対応を要請 |
| 2023年6月 | 政府統一基準 | 政府/自治体/独立行政法人 | DMARC(RejectあるいはQuarantine)とBIMI設定を推奨 |
| 2024年2月 | Gmailへ1日5000通以上を送信する送信者 | SPF/DKIM/DMARC設定を義務付け | |
| 2024年2月 | Yahoo! | Yahoo!メールへ1日5000通以上を送信する送信者 | SPF/DKIM/DMARC設定を義務付け |
| 2024年10月 | 金融庁 | 金融機関 | SPF/DKIM/DMARCを強く推奨 |
| 2025年4月 | Microsoft | Outlook、Hotmailなどへ1日5000通以上を送信する送信者 | SPF/DKIM/DMARC設定を義務付け |
| 2025年10月 | 日本証券協会 | インターネット取引をおこなう証券会社等 | ガイドラインとしてDMARCのReject導入を強く推奨 |
| 2025年9月 | 総務省 | 電気通信事業者 / ISP事業者等 | DMARC(RejectあるいはQuarantine)とBIMIの導入を要請 |
専門家コメント
日本プルーフポイント株式会社 サイバーセキュリティ チーフ エバンジェリストの増田 幸美 氏は、2025年に確認された新種メール攻撃が前年比5.4倍に増加し、その82.8%が日本を標的としていたと指摘する。生成AIの普及により言語の壁が低下したことも、日本が標的となった一因とみられる。
ランサムウェアの初期侵入はネットワーク機器の脆弱性か詐欺メールが中心であり、DMARCとBIMIは自社だけでなくサプライチェーン全体を守るために重要であると述べている。
実効性確保にはReject運用が不可欠
DMARCは「None」から導入できるが、詐欺メール抑止には「Reject」レベルまでの運用が必要である。「Reject」を設定することで、なりすましメールを受信前に遮断できる。 DMARCはブランド保護や取引先保護にも直結する対策であり、運用強化が求められている。
