[調査・レポート]
日経225企業のDMARC導入率が91.6%に、1年間で29.4ポイント増─TwoFive調査
2024年5月22日(水)日川 佳三(IT Leaders編集部)
TwoFiveは2024年5月22日、なりすましメール対策に用いる送信ドメイン認証技術「DMARC」の導入状況を調査した結果を発表した。毎年5月と11月に公開している調査結果の最新版に当たる。2024年5月時点で、日経225企業の206社(91.6%)が少なくとも1つのドメインでDMARCを導入している。グーグル(Gmail)とヤフー(Yahoo!メール)のメール送信者ガイドライン改訂を受けて、昨年同月(140社/62.2%)から1年間で29.4ポイント増となった。
メールセキュリティベンダーのTwoFiveは、なりすましメール対策に用いる送信ドメイン認証技術「DMARC(Domain-based Message Authentication, Reporting & Conformance、ディーマーク)」の導入状況を調査した。調査対象は、日経225企業が管理・運用する5873ドメインなどである。
DMARCは、SPFとDKIMによる認証結果を基に、認証に失敗したメールのアクセスを制御し、認証結果をメール送信者と共有することで送信ドメイン認証を行う(関連記事:対応急務!なりすまし/迷惑メール対策「DMARC」の仕組みと効果[前編])。
TwoFiveは、DNSレコードから、(1)DMARCの導入有無、(2)DMARCのポリシー設定状況(none:何もしないで受け取る、quarantine:隔離、reject:拒否)、(3)DMARC集約レポートのモニタリング状況の3項目について調査した。
TwoFiveは、毎年5月と11月に調査結果を公開している。直近では、2023年10月に発表されたグーグル(Gmail)とヤフー(Yahoo!メール)のメール送信者ガイドライン改訂を受けて、2024年2月に臨時調査結果を報告している(関連記事:日経225企業のDMARC導入率が急増、Gmailなどの送信ガイドライン変更が影響─TwoFive調査)。
メール送信者ガイドライン対応の動きが継続して進行
2024年5月時点で、日経225企業の206社(91.6%)が、少なくとも1つのドメインでDMARCを導入している。昨年同月(140社 / 62.2%)と比べると、1年間で29.4ポイント増加している(図1)。
図1:日経225企業 DMARC導入状況(n=225)(出典:TwoFive)拡大画像表示
以下は、直近の1年間におけるDMARC導入率の推移である。
- 2023年5月(140社 / 62.2%)
- 2023年11月(153社 / 68.0%)
- 2024年2月 臨時調査(193社 / 85.8%):3カ月間で17.8ポイント増加
- 2024年5月(206社 / 91.6%):3カ月間で5.8ポイント増加
グーグル(Gmail)とヤフー(Yahoo!メール)の送信者向け新ガイドライン発表(2023年10月)後の変化として、2023年11月調査から3カ月間でDMARC導入率は17.8ポイント急増した。今回調査でも3カ月間で5.8ポイント増加しており、新ガイドライン対応の動きが継続して進行していると同社は指摘する。
日経225企業の206社が運用するDMARC導入済み1861ドメインを対象に、認証失敗時の取り扱いを指定するDMARCポリシーの設定状況を調べたところ、強制力のあるquarantine(隔離)またはreject(拒否)に設定しているのは、現時点で全体の26.8%で、依然としてnone(何もしない)設定が大半である。
これは、現状のGmailの新ガイドラインにおいて、まずは「p=none」のポリシー設定でもよいとされているため、「p=none」での導入が増加していることを示している(図2)。
図2:日経225企業 DMARC導入ドメインのポリシー設定状況(出典:TwoFive)拡大画像表示
なお、DMARC認証を使ったなりすましメール対策の1つに、正規の送信者が所有するブランドロゴをメールアプリケーションの受信トレイに表示するBIMI(Brand Indicators for Message Identification)がある。BIMIを利用するには、quarantineまたはrejectのポリシー設定が必要になる。
