日経225企業のDMARC導入率は68.0%、前年比12.9%増加–TwoFive調査

今回は「日経225企業のDMARC導入率は68.0%、前年比12.9%増加–TwoFive調査」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　メールシステムの構築やメールセキュリティ、スレッドインテリジェンスを提供するTwoFiveは、「日経225」（日経平均株価の基となる銘柄）企業でのなりすましメール対策実態調査の最新結果を発表した。

　これによると、2023年11月時点で153社（68.0％）が少なくとも1つのドメインでDMARC（Domain-based Message Authentication Reporting and Conformance）を導入しており、前年同月と比べ、1年間で12.9％増加していることが分かった。特に銀行では20.5％増加しているという。

　DMARCは、電子メールの送信元ドメインを認証する技術で、なりすましメールやフィッシングメールなどの攻撃からユーザーを守る。ドメイン所有者がDMARCを活用する際は、DNSでDMARCレコードを公開する。さらに認証に失敗したメールをどう扱うか（受信箱に入れる：none、迷惑メールとする：quarantine、受信をブロックする：reject）といったポリシーを作成して受信者に伝える。

　この調査は、2023年10～11月に実施された。調査対象は日経225企業が管理・運用する5865ドメインと、証券コードを付与されている企業が管理運用するドメイン（金融921ドメイン、流通3364ドメイン、製造7216ドメイン）。これらの調査対象ドメインおよびサブドメインのDNSレコードを調査した。

　なお、153社が運用するDMARC導入済み1516ドメインのうち、強制力のあるポリシー（quarantine、reject）に設定しているのは、現時点で24.4％であり、none設定によるモニタリング段階が大半で、1年前（30.6％）から全体比率は増えていない。

　一方で、DMARC集約レポートを受け取る設定にしてモニタリングを実施しているドメインの割合は、94.4％と非常に高い（前年同月は66.0％）ことから、意図しないメール送信を見つけるための可視化について意識が高まっていると考えられるという。

　また、DMARC失敗レポートのモニタリングを実施しているドメインの割合は、25.8％にとどまっており、これはDMARC集約レポートと比較して、DMARC失敗レポートの流通量が極端に少ないことが、効果的な活用につながっていない背景となっているとした。

　業界別の結果では、金融機関（日経225企業を含め、証券コードを付与されている企業の調査）では、調査対象が、177組織／921ドメイン（銀行：84組織／459ドメイン、証券：41組織／122ドメイン、保険：14組織／37ドメイン、その他：38組織／303ドメイン）となっている。前年同月と比較すると、全体では1年間に13.3％増加しており、特に銀行は20.5％、その他（クレジットカード会社を含む）は14.1％の顕著な増加が見られた。

　流通関連では、調査対象が705組織／3364ドメイン（倉庫・運輸関連：38組織／71ドメイン、卸売：316組織／1529ドメイン、小売：351組織／1764ドメイン）となっている。前年同月と比べ、全体では1年間で5.1％増加している。

　製造では、調査対象が1306組織／7216ドメイン（化学・医薬品：295組織／1057ドメイン、機械・機器：613組織／4329ドメイン、その他：398組織／1830ドメイン）となっている。前年同月と比較すると、全体では1年間で7.0％増加している。