[調査・レポート]

日経225企業の過半数が強制力のあるDMARCポリシーを採用、受信側の対応も進む─TwoFive調査

2024年11月11日(月)日川 佳三(IT Leaders編集部)

TwoFiveは2024年11月11日、なりすましメール対策に用いる送信ドメイン認証技術「DMARC」の導入状況調査の結果を発表した。毎年5月と11月に公開している調査結果の最新版となる。同年11月時点で、日経225企業の207社(92.0%)が少なくとも1つのドメインでDMARCを導入していることが判明した。また、少なくとも1つのドメインで強制力のあるポリシーを設定した組織は114社(50.7%)で、1年前の37.3%から進展が見られる。

 「DMARC(Domain-based Message Authentication Reporting and Conformance、ディーマーク)」は、SPFとDKIMによる認証結果を基に、認証に失敗したメールのアクセスを制御し、認証結果をメール送信者と共有することで送信ドメイン認証を行う技術である(関連記事対応急務!なりすまし/迷惑メール対策「DMARC」の仕組みと効果)。

 メールセキュリティベンダーのTwoFiveは、DMARCの導入状況を定期的に調査し、結果を公開している。調査対象は日経225企業が管理・運用する7615ドメインなどで、DNSレコードを基に、以下の3項目について調査している。

  1. DMARCの導入有無
  2. DMARCのポリシー設定状況(none:何もしないで受け取る、quarantine:隔離、reject:拒否)と、DMARC集約レポートのモニタリング状況
  3. メール受信側によるDMARC対応状況となりすましメールの処理結果

 毎年5月と11月に調査結果を公開している。DMARCの導入率は、前回調査(2024年5月版)で初めて9割を超えた(関連記事日経225企業のDMARC導入率が91.6%に、1年間で29.4ポイント増─TwoFive調査)。

 今回の調査(同年11月)では導入率か92.0%と微増している。図1は、初回調査(2022年2月)からのDMARC導入率の推移である。

図1:日経225企業 DMARC導入状況(n=225)(出典:TwoFive)
拡大画像表示
  • 2022年2月(79社/35.1%)
  • 2022年5月(112社/49.8%):3カ月間で14.7%増加
  • 2022年11月(124社/55.1%):半年間で5.3ポイント増加
  • 2023年5月(140社/62.2%):半年間で7.1ポイント増加
  • 2023年11月(153社/68.0%):半年間で5.8ポイント増加
  • 2024年2月 臨時調査(193社/85.8%):3カ月間で17.8ポイント増加
  • 2024年5月(206社/91.6%):3カ月間で5.8ポイント増加
  • 2024年11月(207社/92.0%):半年間で0.4ポイント増加

 2024年に入ってからDMARC導入率が急増している背景には、グーグル(Gmail)とヤフー(Yahoo!メール)によるメール送信者ガイドラインの改訂がある(関連記事日経225企業のDMARC導入率が急増、Gmailなどの送信ガイドライン変更が影響─TwoFive調査)。

過半数の組織が強制力のあるポリシーを採用

 DMARCポリシーの設定状況については、日経225企業のうち少なくとも1つのドメインで強制力のあるポリシー「quarantine(隔離)」または「reject(拒否)」を設定した組織は114社(50.7%)で、1年前の37.3%から進展が見られる(図2)。

図2:日経225企業 強制力のあるポリシー設定状況(出典:TwoFive)
拡大画像表示

 一方、ドメイン数で見ると、DMARC導入済み2912ドメインのうち強制力のあるポリシーに設定しているのは現時点で622ドメイン(21.4%)。「none(何もしない)」設定によるモニタリング段階が大半で、1年前(24.4%)から全体比率は増えていない(図3)。

図3:日経225企業 DMARC導入ドメインのポリシー設定状況(出典:TwoFive)
拡大画像表示

 しかし、「DMARC集約レポート」を受け取る設定にしてモニタリングを実施しているドメインの割合は88.6%と非常に高いことから(昨年同月は94.4%)、意図しないメール送信を見つけるための可視化についての意識は依然として高い状況である(図4)。

図4:日経225企業 DMARC集約レポートモニタリング状況(出典:TwoFive)
拡大画像表示

 「ポリシーがnoneの設定では、メール送信状況の可視化には有効だが、なりすましメールはメールボックスに届いてしまう。なりすましのリスクを軽減するためには、強制力のあるポリシー設定にステップアップすることが望まれる」(TwoFive)

●Next:メール受信側のDMARC対応状況

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
関連キーワード

TwoFive / DMARC / メールセキュリティ / なりすまし / ユーザー調査 / Gmail

関連記事

トピックス

[Sponsored]

日経225企業の過半数が強制力のあるDMARCポリシーを採用、受信側の対応も進む─TwoFive調査TwoFiveは2024年11月11日、なりすましメール対策に用いる送信ドメイン認証技術「DMARC」の導入状況調査の結果を発表した。毎年5月と11月に公開している調査結果の最新版となる。同年11月時点で、日経225企業の207社(92.0%)が少なくとも1つのドメインでDMARCを導入していることが判明した。また、少なくとも1つのドメインで強制力のあるポリシーを設定した組織は114社(50.7%)で、1年前の37.3%から進展が見られる。

PAGE TOP