今回は、株式会社TwoFiveが発表したなりすましメール対策実態調査の2025年5月版についてお話しします。この調査では、日経225企業のDMARC導入状況が明らかになり、特に導入していない企業が17社も存在することがわかりました。リスナーの皆さんは、なぜこのDMARCという技術が重要なのか、また導入が進まない理由について理解を深めることができるでしょう。それでは、早速内容に入っていきましょう。
株式会社TwoFiveは5月21日、なりすましメール対策実態調査の2025年5月版を発表した。
こちらの記事を、簡単に解説お願いできますでしょうか?
この記事では、日経225企業のなりすましメール対策としてのDMARC導入状況が調査されています。DMARCとは、送信ドメイン認証技術の一つで、メールのなりすましを防ぐための仕組みです。調査によると、日経225企業のうち208社、つまり92.4%が少なくとも一つのドメインでDMARCを導入していますが、導入率は昨年と比べてわずか0.8%の増加にとどまっています。特に、17社はDMARCを全く導入しておらず、その中には持株会社が多く含まれています。これは、持株会社のメールドメインが他の事業会社に比べて導入が遅れていることを示唆しています。
さらに、208社の中で124社、つまり55.1%が強制力のあるポリシーを設定しており、これは前年よりも増加しています。しかし、全体のドメイン数で見ると、強制力のあるポリシーに設定されているのは19.1%に過ぎず、依然として多くの企業がモニタリング段階にとどまっています。大学に関しては、485校がDMARCを導入しており、これは日経225企業と比較すると非常に低い数字です。特に、大学の多くが「none」というポリシー設定での導入が進んでいることが指摘されています。
質疑応答
DMARCという技術について、具体的にどのようなものなのか教えていただけますか?
DMARCは、メールの送信者がそのドメインを正当に使用しているかどうかを確認するための技術です。具体的には、SPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)といった他の認証技術と連携して機能します。DMARCを導入することで、なりすましメールのリスクを大幅に減少させることができます。企業がDMARCを設定する際には、ポリシーを「none(ノーン)」「quarantine(クアランティン)」「reject(リジェクト)」のいずれかに設定することが求められます。「none」はモニタリングのみ、「quarantine」は疑わしいメールを隔離、「reject」は不正なメールを完全に拒否する設定です。これにより、企業は自社のドメインを利用した不正なメールの送信を防ぐことができ、受信者の信頼を得ることができます。
なぜ日経225企業の中でDMARCを導入していない企業が存在するのでしょうか?
DMARCを導入していない企業が存在する理由はいくつか考えられます。まず、技術的な理解不足や導入に対する意識の低さが挙げられます。特に持株会社は、事業会社に比べてメールの運用が複雑であるため、導入が後回しにされることが多いです。また、コストやリソースの問題も影響しているかもしれません。さらに、DMARCの導入には、既存のメールシステムとの整合性を取る必要があり、これが障壁となることもあります。企業がDMARCを導入するためには、まずその重要性を理解し、適切なリソースを確保することが必要です。
DMARCを導入するための具体的な対策や予防策について教えていただけますか?
DMARCを導入するための具体的な対策としては、まず自社のメールドメインの現状を把握することが重要です。次に、SPFやDKIMの設定を行い、これらが正しく機能しているかを確認します。その後、DMARCポリシーを設定し、最初は「none」から始めて、モニタリングを行いながら徐々に「quarantine」や「reject」に移行することが推奨されます。また、DMARC集約レポートを受け取る設定を行い、定期的にレポートを確認することで、意図しないメール送信を早期に発見することができます。これにより、なりすましメールのリスクを低減し、企業の信頼性を高めることができます。
実際の状況で、DMARCを導入する際にどのように対処すべきか、具体的なアドバイスをいただけますか?
DMARCを導入する際の具体的なアドバイスとしては、まず社内での教育を行い、DMARCの重要性を理解してもらうことが大切です。次に、IT部門と連携し、メールシステムの設定を見直すことが必要です。導入プロセスを段階的に進めることが重要で、最初は「none」ポリシーで運用し、問題がないことを確認した後に「quarantine」や「reject」に移行します。また、DMARC集約レポートを定期的に確認し、異常なメール送信がないかをチェックすることも重要です。これにより、企業は自社のメールドメインを守ることができ、顧客や取引先からの信頼を得ることができます。
DMARCの導入がもたらす影響や、そこから得られる教訓について教えていただけますか?
DMARCの導入は企業にとって非常に重要な影響をもたらします。まず、なりすましメールのリスクを大幅に減少させることができ、顧客や取引先からの信頼を高めることができます。また、DMARCを導入することで、企業は自社のメールドメインを守るだけでなく、業界全体のセキュリティー向上にも寄与することができます。教訓としては、セキュリティー対策は一度行えば終わりではなく、継続的なモニタリングと改善が必要であることが挙げられます。企業は常に最新の脅威に対して備え、適切な対策を講じることが求められます。
今後、同様の問題が再発しないための長期的な対策について、具体的にどのような措置を取るべきでしょうか?
同様の問題が再発しないためには、まず企業全体でのセキュリティー意識を高めることが重要です。定期的なセキュリティー教育やトレーニングを実施し、全社員がなりすましメールのリスクを理解することが必要です。また、DMARCの導入状況を定期的に見直し、必要に応じてポリシーの更新を行うことも重要です。さらに、業界全体での情報共有やベストプラクティスの導入を促進することで、セキュリティーの向上を図ることができます。これにより、企業は将来的なリスクを低減し、より安全なメール環境を構築することができるでしょう。
まとめ
DMARCの重要性や導入状況について多くのことを学びました。特に、なりすましメール対策が企業にとってどれほど重要であるかを理解できました。また、具体的な対策や実践的なアドバイスも得られたので、今後のセキュリティー対策に活かしていきたいと思います。リスナーの皆さんも、ぜひ自社のメールセキュリティーを見直してみてください。これで、また一つ、勉強になりました!
