Google/メール送信者ガイドライン厳格化による企業の取り組みは?DMARCレコード設定の実態調査をしてみた。

2023年10月にGoogleは「メール送信者のガイドライン」(以下、Gmail規制)を更新し、2024年2月1日以降、Gmail宛にメールを配信するための新たな送信者要件を適用すると発表しました。

Gmailの新しい送信者要件の概要

2024年2月までに新たな送信者要件に対応していない場合、末尾が「@gmail.com」または「@googlemail.com」のアドレス宛のメールは拒否されるか、迷惑メールボックスに配信される可能性があるとGoogleはアナウンスしています。顧客や取引先が上記のアドレスを使用している場合、対応しなければメールが宛先に届かなくなる可能性が高まりますので、ビジネスに大きな影響を与えます。Googleの発表があってから、周りでも対策に乗り出していると聞いていますが、実態はどのような状況なのでしょうか。

■DMARCを設定している企業の実態調査

今回、Gmail規制をきっかけとした各企業のDMARC設定対応は、以下の通りです。(インターブランドジャパン[https://www.interbrandjapan.com/]が発表するブランド価値ランキングの対象企業を基に確認をしています。https://www.interbrandjapan.com/best_japan_brands/japan_brands_2024/ およびhttps://interbrand.com/best-global-brands/

Best Japan Brands 2024 Rankings掲載企業のDMARC設定状況

Best Global Brands 2023掲載企業のDMARC設定状況

GMOブランドセキュリティ/顧客100社ランダムピックアップ調査

インターブランドのランキングは、基本的に大企業が対象となりますが、Best Japan Brands 2024 Rankings(国内企業)では、DMARC設定率は75%に達しています。日経企業225を対象とした2022年のDMARC設定率は35.1%(出典:https://japan.zdnet.com/article/35211156/) でしたので、Gmail規制がいかに後押しになっているかが分かります。

また、Best Global Brands 2023(海外企業)は、93%に達しています。海外企業の意識は国内企業以上に高いことが見て取れます。なお、GMOブランドセキュリティの顧客(大企業~中小企業)のコーポレートドメインをピックアップ調査しましたが、65.6%に留まりました。中小企業について、Gmail規制の対応がされてないケースが多く見られましたので、対応意識や技術的なサポートの不足が原因なのかもしれません。

■DMARC設定値の実態調査

続いて、DMARC設定値を確認してみましょう。既知であるかと思いますが、DMARCの設定値は、3つ存在します。具体的に、none(何もしない)、quarantine(隔離)、reject(拒否)です。DMARCの仕組みについては、後半で説明をしていますので、仕組みが分からない方は是非参照してください。

さて、Best Japan Brands 2024 Rankings/Best Global Brands 2023/GMOブランドセキュリティ顧客100社ランダムピックアップの結果を見てみましょう。

Best Japan Brands 2024 Rankings掲載企業のDMARC設定状況

Best Global Brands 2023掲載企業のDMARC設定状況

GMOブランドセキュリティ/顧客100社ランダムピックアップ調査

Best Japan Brands 2024 Rankings(国内企業)では、none(何もしない)が大半を占めています。none(何もしない)を設定することで、DMARCレポートを受け取ることができますので、フィッシングメールの有無は確認ができます。

一方で、メールは送信されてしまいますので、これだけではDMARCの効果を十分に果たしているわけではありません。(GMOブランドセキュリティ顧客100社ランダムピックアップの結果も同様。)一方、Best Global Brands 2023(海外企業)では、none(何もしない)は、29%であり、国内企業の1/2以下です。多くの企業がreject(拒否)まで設定値を上げており、フィッシングメールをエンドユーザーに送信させない徹底した姿勢を垣間見ます。

■そもそもDMARCとは?

DMARCは、電子メールにおけるドメイン名の偽造を防ぐための技術基準です。SPFやDKIMといった既存のメール認証技術を基に構築されており、これらの技術に加えて、送信者のドメインが正当なものかどうかを確認し、フィッシングメールを適切に処理するためのポリシーをドメインの所有者が公開できるようにします。DMARCはメール送信者と受信者の双方にメリットをもたらし、メール認証結果に基づくレポートを提供することで、認証プロセスの透明性を高めます。

DMARCの効果ってなに?

DMARCを導入することで、以下のような多くの効果が期待できます。

reject(拒否)を目指す理由

メールは、今も変わらずエンドユーザーとの重要なタッチポイントです。企業が積極的な姿勢を取る事で、エンドユーザーはフィッシングメールを受け取る可能性を下げることができます。企業のブランドイメージを維持向上させるためにも、DMARCの設定値を上げることは企業にとって必要不可欠な対応と言えます。

■まとめ

DMARCは、メールのセキュリティを強化し、フィッシングメールや情報漏洩のリスクを減らすための有効なツールです。reject(拒否)ポリシーを目指すことで、エンドユーザーに対し最大限の配慮を実現することが、ブランドセキュリティにつながります。

DMARCの設定値を引き上げることは急にはできません。Gmail規制を契機として、設定値引き上げのスケジュールを立てることを推奨します。企業規模にもよりますが、一般的には、半年から一年と言われています。DMARCを引き上げることで、BIMI/VMCといった視覚的なセキュリティを採用することも可能です。

インターネットは段々と複雑化してきており、本当にネットの情報を信頼してよいかの判断は難しくなってきています。企業姿勢として、できる限りのセキュリティを施しておくことが求められています。エンドユーザーにコミュニケーションを取っているブランドが安心・安全であることを知らせるためにも、Gmail規制を機にもう一歩先のセキュリティ強化に努めることをお薦めします。

GMOブランドセキュリティでは、本サービスはもちろん、不正ドメイン対策やドメイン             ネーム管理など、ドメインネームマネジメントに関するご相談も承っております。
 お問い合わせやご相談は、GMOブランドセキュリティまでご連絡ください。

【お問い合わせ】
GMOブランドセキュリティ株式会社
TEL:03-5784-1069