日経225企業の76％がDMARC認証を導入せず、欧米を大きく下回る

　日本プルーフポイント株式会社は2月8日、国内企業と海外企業におけるメール認証の調査結果をもとに、安全性について分析を行い、日本における現状と課題、考察をまとめ発表した。

　同調査によると、日経225企業の76％がDMARC認証を導入しておらず、「なりすましメール詐欺」への効果的な防御策を未実施であることが判明、またDMARCの実績がある企業で、DMARCのReject（拒否）ポリシー及びQuarantine（隔離）ポリシーを導入するのは日経225社全体の僅か3％であった。ここまで数値が低いと反対に3％に該当する企業を知ることが信頼できる取引先選定等の参考情報とすらなりそうである。

　日経225企業におけるDMARC導入率の24%は、アメリカ（ortune1000）の82%、フランス（CAC40）とオーストラリア（ASX200）の75%、イギリス（FTSE100 & FTSE250）の72%と比較してはるかに低い結果となった。

　同社では日本でのDMARC対応が進まない理由として、DMARC認証の知名度が低い、欧米諸国と違いDMARCが義務化されていない点を挙げている。

　本誌編集部の取材に応じた日本プルーフポイント株式会社のチーフ エバンジェリスト増田幸美氏は、2021年も同じ調査を実施したが、昨年調査時点の日本のDMARC導入率は23％、今回の調査では24％なので、わずか1％しか進捗しておらず「衝撃的なものと受けとめている」と語った。導入が進まない原因のひとつとして、増田氏は日本政府の認識を挙げた。

　同氏によれば内閣官房内閣サイバーセキュリティセンターが刊行する「政府機関等の対策基準策定のためのガイドライン」には基本対策事項「7.2.1(1)-2」として「情報システムセキュリティ責任者は、以下を例とする電子メールのなりすましの防止策を講ずること。」とあり、送受信ごとにそれぞれ「(a) SPF、DKIM、DMARC等の送信ドメイン認証技術による送信側の対策を行う。(b) SPF、DKIM、DMARC等の送信ドメイン認証技術による受信側の対策を行う。」と記載されている。これに対し増田氏は、それぞれ次元の違うSPF、DKIM、DMARCをあたかも同列の対策であるかのように扱う時点で「おかしな」記述であり、メールセキュリティに対する政府の認識に改善の余地があるとコメントした。

　2021年には日本の金融庁を騙ったニセメールの事案も発生している。同じく日本プルーフポイントが2021年に公表した調査によれば日本の主要銀行のDMARC導入率は日経225とほぼ同水準の28％。米国でDMARC導入は「Mandatory（強制）」とされ優先順位が高い対策となっており、日本でもYahoo!メールなどではすでに導入済み。なお、ガイドラインを発行する内閣官房内閣サイバーセキュリティセンター（nisc.go.jp）のDMARC導入は行われていない。