日経225企業のDMARC導入率向上も詐欺防止は未だ最下位

DMARC導入率92%の裏側に潜む課題

日本プルーフポイント株式会社が2025年12月に発表した調査結果では、日経225企業の約92%がDMARC（Domain-based Message Authentication, Reporting and Conformance）認証を導入していることが明らかになりました。これは前年に比べて9ポイントの増加ですが、世界的に見れば依然として最下位という厳しい現実があります。企業が直面する課題とその背景について詳しく見ていきましょう。

DMARC認証とは何か？

DMARCは、詐欺メールやなりすまし攻撃を防ぐためのメール用の認証技術です。これにより、企業は自社のドメインを悪用する詐欺的なメールを特定し、拒否したり隔離したりすることができます。DMARCのポリシーには「Reject（拒否）」「Quarantine（隔離）」「None（モニタリングのみ）」の3つがあり、最も強力な「Reject」ポリシーを設定することが推奨されています。

調査結果の概要

日経225企業のDMARC導入状況は、以下のような数値で示されます。

- DMARC認証を導入している企業：92%
- Rejectポリシーを採用している企業：15%
- Quarantineポリシーを採用している企業：21%

特に、Rejectポリシーの導入率は前年の7%から倍増したものの、依然として低い水準にあります。このような状況は、詐欺メールからの防御策としては極めて不十分です。

なぜ日本は最下位なのか？

調査結果によれば、日本の企業においては、詐欺メール対策の意識が低いことが最下位の原因の一つと考えられます。欧米やオーストラリアの主要国では、DMARC認証の導入率が90%以上となっており、特に欧州においては100%の国もあります。対照的に、日本はDMARC認証の有効な設定を適用する企業が少なく、特にRejectポリシーの導入が進んでいません。

DMARC導入の重要性

DMARCの導入は、詐欺メールからの防御だけでなく、企業自身のブランド価値を守るためにも不可欠です。特に、近年では生成AIの進化により、言語の壁が崩れ、攻撃者が新たな手法で狙いを定めてくることが予想されています。サイバーセキュリティの専門家も、DMARCの導入を強く勧めています。

基本的なDMARC導入手順

企業がDMARC認証を導入するためには、まずDNSに「None（モニタリングのみ）」のポリシーでDMARCレコードを追加することが必要です。ただし、詐欺メールに対する実効性を持たせるには、「Reject（拒否）」レベルまでの導入が求められます。これにより、自社のドメインになりすました詐欺メールを完全に排除することが可能となります。

未来への展望

DMARCは、今後も企業にとって重要なセキュリティ対策となるでしょう。特に日本では、メールを通じた詐欺行為が増加傾向にある中で、DMARC導入の促進が必要です。メールの安全性を確保することで、顧客や取引先の信頼を築くことができ、自社のビジネスチャンスを向上させることにつながります。

サイバー攻撃がますます巧妙になる現代において、企業は自らの防衛に努めなければなりません。DMARCとその関連技術の適切な導入は、今後のビジネスにおいて不可欠な要素となるでしょう。