日経225企業の76%がDMARC認証を導入せず、欧米を大きく下回る | ScanNetSecurity
2024.03.29(金)

日経225企業の76%がDMARC認証を導入せず、欧米を大きく下回る

 日本プルーフポイント株式会社は2月8日、国内企業と海外企業におけるメール認証の調査結果をもとに、安全性について分析を行い、日本における現状と課題、考察をまとめ発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
各国のDMARC対応状況
各国のDMARC対応状況 全 1 枚 拡大写真

 日本プルーフポイント株式会社は2月8日、国内企業と海外企業におけるメール認証の調査結果をもとに、安全性について分析を行い、日本における現状と課題、考察をまとめ発表した。

 同調査によると、日経225企業の76%がDMARC認証を導入しておらず、「なりすましメール詐欺」への効果的な防御策を未実施であることが判明、またDMARCの実績がある企業で、DMARCのReject(拒否)ポリシー及びQuarantine(隔離)ポリシーを導入するのは日経225社全体の僅か3%であった。ここまで数値が低いと反対に3%に該当する企業を知ることが信頼できる取引先選定等の参考情報とすらなりそうである。

 日経225企業におけるDMARC導入率の24%は、アメリカ(ortune1000)の82%、フランス(CAC40)とオーストラリア(ASX200)の75%、イギリス(FTSE100 & FTSE250)の72%と比較してはるかに低い結果となった。

 同社では日本でのDMARC対応が進まない理由として、DMARC認証の知名度が低い、欧米諸国と違いDMARCが義務化されていない点を挙げている。

 本誌編集部の取材に応じた日本プルーフポイント株式会社のチーフ エバンジェリスト増田幸美氏は、2021年も同じ調査を実施したが、昨年調査時点の日本のDMARC導入率は23%、今回の調査では24%なので、わずか1%しか進捗しておらず「衝撃的なものと受けとめている」と語った。導入が進まない原因のひとつとして、増田氏は日本政府の認識を挙げた。

 同氏によれば内閣官房内閣サイバーセキュリティセンターが刊行する「政府機関等の対策基準策定のためのガイドライン」には基本対策事項「7.2.1(1)-2」として「情報システムセキュリティ責任者は、以下を例とする電子メールのなりすましの防止策を講ずること。」とあり、送受信ごとにそれぞれ「(a) SPF、DKIM、DMARC等の送信ドメイン認証技術による送信側の対策を行う。(b) SPF、DKIM、DMARC等の送信ドメイン認証技術による受信側の対策を行う。」と記載されている。これに対し増田氏は、それぞれ次元の違うSPF、DKIM、DMARCをあたかも同列の対策であるかのように扱う時点で「おかしな」記述であり、メールセキュリティに対する政府の認識に改善の余地があるとコメントした。

 2021年には日本の金融庁を騙ったニセメールの事案も発生している。同じく日本プルーフポイントが2021年に公表した調査によれば日本の主要銀行のDMARC導入率は日経225とほぼ同水準の28%。米国でDMARC導入は「Mandatory(強制)」とされ優先順位が高い対策となっており、日本でもYahoo!メールなどではすでに導入済み。なお、ガイドラインを発行する内閣官房内閣サイバーセキュリティセンター(nisc.go.jp)のDMARC導入は行われていない。

《高橋 潤哉》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る