DMARCの導入率は意外と低い？日経225企業のDMARC導入率を調査

なりすましメールの脅威が高まる中、企業がどのように対策を講じているかは重要な関心事となっています。特に、ドメインを悪用したフィッシング詐欺は、企業ブランドや顧客の信頼に直接影響を及ぼしかねません。
こうしたリスクを抑える手段の一つが「DMARC（Domain-based Message Authentication, Reporting & Conformance）」の導入ですが、日本の大手企業ではどの程度活用されているのでしょうか？

本記事では、日本を代表する上場企業225社（通称：日経225銘柄）を対象に、DMARCの導入率を調査しました。設定状況やポリシーの傾向を比較。日本企業のメールセキュリティ対策の現状を探ります。

🌐ドメインの役割とは？

企業の公式ドメインは、単なる識別子ではなく、ブランドの信頼性を示す重要な資産です。しかし、そのドメインが悪用され、フィッシングメールの送信元として利用されるケースも後を絶ちません。

送信ドメイン認証技術「DMARC」は、こうしたリスクに対応するための仕組みの一つですが、導入には一定のハードルがあるため、企業によって対応状況には差があると考えられます。

今回は、日経225に選定されている企業のDMARC設定状況を分析し、導入状況やポリシーの傾向を具体的なデータとともに紹介します。

DMARCとは
DMARC（Domain-based Message Authentication, Reporting & Conformance）は、なりすましメールを防ぐ仕組みです。メールが本当に送信者からのものかを確認し、不正なメールをブロックできます。

DMARCのポリシーには3種類あります。

• • none（何もしない）：メールを監視するだけでブロックしません。
  • quarantine（隔離）：不正なメールを迷惑メールフォルダに入れます。
  • reject（拒否）：不正なメールを受信しません。

DMARCを設定すると、フィッシング対策になり、ブランドの信頼性も向上します。

DMARCの仕組みについて、詳しい情報をご覧になりたい方は、こちらのリンクをご参照ください。

［Google/メール送信者ガイドライン厳格化による企業の取り組みは？DMARCレコード設定の実態調査をしてみた。］

📊データで見るDMARC導入率の現状

DMARC設定の全体傾向

今回調査した日経225企業のドメインにおいて、DMARCを設定している企業は90％を超えているものの、その多くは「none」ポリシーの適用に留まっていることが分かりました。

「none」ポリシーはDMARCのレポート収集を目的としたテスト段階に使用されることが多い設定であり、実際のメールブロックにはつながらないため、セキュリティ強化の観点では「quarantine」や「reject」の設定が求められます。

「quarantine」や「reject」を適用している企業の特徴

DMARCの「quarantine」または「reject」ポリシーを適用している企業は、比較的セキュリティ意識の高い業種に多く見られました。特に金融、電機・精密、情報通信などの業界では、企業の信用や顧客データを守るため、より厳格なセキュリティ対策を講じる必要があると考えられます。

以下に「quarantine」や「reject」を適用している企業の業種別ランキングを示します。

電機・精密業界では、製造業向けの取引や海外展開も多く、高いセキュリティ基準を求められるため、DMARCの厳格な設定が進んでいると考えられます。また、情報通信業界では、顧客データやクラウドサービスを提供している企業が多く、不正アクセスやフィッシング攻撃のリスクを抑えるために、積極的にDMARCを活用している傾向が見られます。

銀行や金融業界でも、顧客の資産や個人情報を扱う関係上、メールセキュリティの強化が不可欠であり、DMARCの「quarantine」や「reject」を設定している割合が高いです。一方、運輸・物流や一部の小売業では、まだ厳格なDMARCポリシーを適用している企業が少なく、今後の強化が求められる分野となります。

BtoB企業とBtoC企業の比較

DMARCの「quarantine」や「reject」を設定している企業のうち、BtoB企業とBtoC企業の割合を比較すると、BtoC企業のほうが多くなっています。

• • BtoC企業（消費者向けビジネスを展開）: 約51％
  • BtoB企業（法人向けビジネスを展開）: 約49％

BtoC企業では、顧客への直接的なブランドイメージが重要視されます。特に、小売業や金融業では、フィッシング詐欺の被害を防ぐためにDMARCの強化が求められます。

一方、BtoB企業では、取引先企業との信頼関係が重要であり、メールの信頼性を確保することがビジネスに直結します。そのため、DMARCの厳格なポリシーを採用するケースが多いと考えられます。特に、製造業や化学・素材業界では、サプライチェーン全体のセキュリティを考慮し、なりすましメールのリスクを低減するために「quarantine」や「reject」の設定が進んでいます。

🔍DMARC導入の考察

今回の調査結果から、多くの企業がDMARCを導入しているものの、実際にメールの不正利用を防ぐ「quarantine」や「reject」を設定している企業は少ないことが分かりました。その背景として、いくつかの要因が考えられます。

DMARC導入に影響する要因

1. 1. DMARCの認知度や優先度の違い
      セキュリティ担当者の間ではDMARCの重要性が認識されていますが、経営層の理解が進んでいない企業もあるかもしれません。
      また、他のサイバーセキュリティ対策と比較して、DMARCの優先度が低くなっている可能性もあります。
   2. 導入・運用のハードル
      DMARCを適切に機能させるには、SPFやDKIMと組み合わせて設定する必要があります。しかし、これらの設定には専門知識が求められるため、誤設定による影響を懸念して「none」の状態で運用を続ける企業も多いと考えられます。
      また、DMARCのレポートを分析する負担もあり、専任の担当者がいない企業では導入が進みにくい状況が見受けられます。
      
      
   3. 業種による違い
      情報通信業界や金融業界では、比較的セキュリティ意識が高く、DMARCの設定が進んでいる傾向があります。
      特に金融業界では、クレジットカード情報の不正利用を防ぐため、総務省、警察庁及び経済産業省がDMARCの導入を推進している背景もあり、導入率が高いと考えられます。
      一方で、製造業や小売業などでは、DMARCの優先度が低いことが多く、導入状況にばらつきがあります。
      

DMARCの厳格な設定が必要な理由

企業のブランド価値や顧客の信頼を守るためには、「none」から「quarantine」や「reject」へ移行することが望ましいです。特に、フィッシング詐欺の増加により、なりすましメールによる被害が拡大しているため、より強固なセキュリティ対策が求められています。

しかし、ポリシーを厳しくすると、正規のメールが誤ってブロックされるリスクがあるため、慎重な導入が必要です。また、社内の情報システム部門、マーケティング部門、経営層の間で合意を取りながら、段階的に設定を強化していくことが理想的です。

DMARCの設定は企業の信頼性向上だけでなく、取引先や顧客をフィッシング攻撃から守る重要な施策の一つです。今後、より多くの企業が「quarantine」や「reject」の設定を適用し、実際のなりすましメール対策に踏み込んでいくことが期待されます。

📝まとめ

日経225企業の調査から、DMARCの導入率は高いものの、多くの企業が「none」のままであることが分かりました。
DMARCの厳格なポリシーを適用するためには、経営層の理解促進や専門的な運用サポートの確立が重要です。
今後は、企業がより積極的にDMARCの適切な運用を進め、なりすましメール対策を強化することが求められます。

🔷GMOなりすましZERO
ドメインネームを入力するだけで、なりすましのリスクを診断する無料診断サービスも提供しています！　ぜひお試しください✨

👉公式サイトはこちら

DMARCポリシーの設定や引き上げについてお悩みの場合は、ぜひGMOブランドセキュリティまでお問い合わせください！　また、VMCの発行も承っております 🛡️🔐

ーーーーーーーー
【調査方法】
本調査は、日経225に選定されている企業のドメインを対象に、DMARCの設定状況を確認しました。

【調査対象】
日経225に含まれる企業

【調査時期】
2025年2月下旬

【調査項目】
DMARCの設定有無（設定済み or 未設定）
DMARCポリシーの種類（none / quarantine / reject）

｜参考｜
・総務省,クレジットカード会社等に対するフィッシング対策強化の要請,令和5年2月1日
｜関連記事｜
・SPFレコードとDMARCレコードの設定でドメイン保護レベルを上げよう！ドメインマネジメントの新基準
・メールの信頼性を守るために：DMARCだけではなぜ不十分なのか？
・【VMCニュース】シリーズ総集編：国内企業のDMARC設定＆BIMI導入率の状況