強制力のあるDMARCポリシーを日経225企業の55％が適用、ただし適用ドメインは19％─TwoFive調査

2025年5月21日(水)IT Leaders編集部、日川佳三

リスト

TwoFiveは2025年5月21日、なりすましメール対策に用いる送信ドメイン認証技術「DMARC」の導入状況調査の結果を発表した。毎年5月と11月に公開している調査結果の最新版となる。同年5月時点で、日経225企業の208社（92.4％）が少なくとも1つのドメインでDMARCを導入。1つ以上のドメインで強制力のあるポリシーを設定した組織は124社（55.1%）に上り、1年前の109社（48.4%）から6.7ポイント増加している。

　「DMARC（Domain-based Message Authentication Reporting and Conformance、ディーマーク）」は、SPFとDKIMによる認証結果を基に、認証に失敗したメールのアクセスを制御し、認証結果をメール送信者と共有することで送信ドメイン認証を行う技術である（関連記事：対応急務！なりすまし/迷惑メール対策「DMARC」の仕組みと効果）。

　メールセキュリティベンダーのTwoFiveは、DMARCの導入状況を定期的に調査し、結果を公開している。調査対象は日経225企業が管理・運用する8889ドメインなどで、DNSレコードを基に、主に以下の2項目を調査している。

DMARCの導入有無
DMARCのポリシー設定状況（none：何もしないで受け取る、quarantine：隔離、reject：拒否）と、DMARC集約レポートのモニタリング状況

　毎年5月と11月に調査結果を公開している。DMARCの導入率は、前々回調査（2024年5月版）から9割を超え、91.6%（2024年5月）、92.0%（2024年11月）、92.4%（2025年5月）と高止まりしつつ微増している。図1は、初回調査（2022年2月）からのDMARC導入率の推移である。

図1：日経225企業 DMARC導入状況（n=225）（出典：TwoFive）
拡大画像表示

2022年2月（79社/35.1%）
2022年5月（112社/49.8%）：3カ月間で14.7%増加
2022年11月（124社/55.1%）：半年間で5.3ポイント増加
2023年5月（140社/62.2%）：半年間で7.1ポイント増加
2023年11月（153社/68.0%）：半年間で5.8ポイント増加
2024年2月臨時調査（193社/85.8%）：3カ月間で17.8ポイント増加
2024年5月（206社/91.6%）：3カ月間で5.8ポイント増加
2024年11月（207社/92.0%）：半年間で0.4ポイント増加
2025年5月（208社/92.4%）：半年間で0.4ポイント増加

　導入率90%を超えた後は微増が続いているが、まだDMARCを導入していない日経225企業が17社（7.6%）ある。TwoFiveによると、これらのうち8社は、グループ会社の持株会社であり、事業会社と比較すると持株会社のメールドメインはDMARCの導入が遅れている傾向があるという。

　「実際にはメールを送信しないドメインでも攻撃に利用される可能性があるため、組織ドメインに対してDMARCレコードを設定してポリシーをrejectにすることが望まれる」（同社）

DMARCポリシーは「何もしない」が依然として大半

　DMARCポリシーの設定状況については、日経225企業のうち少なくとも1つのドメインで強制力のあるポリシー「quarantine」または「reject」を設定した組織は124社（55.1%）で、1年前の109社（48.4%）から6.7ポイント、半年前の114社（50.7%）からは4.4ポイント増加している（図2）。

図2：日経225企業強制力のあるポリシー設定状況（出典：TwoFive）
拡大画像表示

　一方、適用ドメイン数で見ると、208社が運用するDMARC導入済み3367ドメインのうち、強制力のあるポリシーに設定しているのは現時点で642ドメイン、全体の19.1%にとどまっている。「none」設定によるモニタリング段階が大半で、この傾向は初回調査（31.7%）から現在まで変わっていない（図3）。