日本の上場企業3900社のDMARC対応状況

2023年の政府統一基準、Googleの送信者ガイドラインなどをきっかけに日本でも大企業を中心にDMARCが進みつつあります。
では、日本全体は?という観点で今回は上場企業3900社の対応状況の調査結果です。

国内企業のDMARC使用率は49%!気になる内情は?

上場企業のDMARC使用率は49%、つまり半分は最低限の設定すらしていない状況
DMARCが世界に広まって10年以上、去年は日本でも大きく話題になったことを考えると、かなり危うい企業がいるということですね。
ただし、日本では大企業から新しいITインフラが導入される傾向にあるので、徐々に浸透していくとおもっています。

では、少し詳しく見ていきます。

日本企業のDMARCの対応率のグラフ

DMARCなし・51% (2000社)
DMARCレコードがない企業は、全体の半分の約2000社あります。
これは良くない状態です。最低限の設定であれば10分で完了し、システムインパクトもありません。
上場会社でこれすらしていないのは怠慢な担当者と判断されるてもおかしくありません。
(未実施であれば、すぐにやるか言い訳を考えておきましょう。)

DMARCあり:レポート先なし・15% (614社)
DMARCレコードがあるが、DMARCレコードの送信先がない企業は、15%の614社ありました。
【DMARCレコードの例】
v=DMARC1; p=none;

このパターンもかなり危うく、「DMARCなし」と同様に怠慢と判断されかねない。
DMARC対応では、DMARCレポートは必須の存在です。
これを見ていないということは対応を進めていないと言っているようなものです。

ただし、DMARCがp=reject/quarantineの制御モードに入っているのであれば、レポート先がなくとも批判されることはありません。
ちなみに「レポート先の設定がない」企業614社中の38社のみ制御モードに入っています。
大半の企業は中途半端な状況ですね。

レポート先の設定がないDMARCレコードを設定する背景には、マーケティングメールの到達の観点で「とりあえず」DMARCレコードを設定しておきましょうという話を基に設定するといったものです。
担当者や担当役員のDMARCへの理解が不足している場合、思わぬ自体を招く恐れがあります。
DMARCの理解度チェックをしてみてください。

DMARCあり:自社宛てレポート・22% (861社)
DMARCレポートを自社に設定している企業は22%の861社ありました。
【DMARCレコードの例】
v=DMARC1; p=none; rua=mailto:<自社宛てメールアドレス>;

自社宛にDMARCレポートを送信する企業は大きく4パターン

  1. まずは自社に送って様子見、そのまま放置
    DMARCレポートを一旦自分たちで確認しようとして、その量の多さと複雑さに苦慮して手が止まってしまっているケース。
    何をすべきか整理がつかないのであれば、一度、専門の業者に相談して、どんな手順が進めていくのか聞くのがよいです。PoCやアセスメントを無料で実施しているサービスを利用して、アクションアイテムを整理するのも良いです。
  2. ITのコストカットを求められて、しょうがなく自分たちでやる
    IT予算の締付けがきつく、外部に依頼できないケースです。製造業の企業でよく聞く話です。
    DMARCをrejectにする作業は何度も何度もするものではなく、1度rejectにするまでが大変なものなので、社内ナレッジを蓄積する価値がなかったりします。「4」の考えかたでコストと実効性のバランスを取った考えかたで担当役員を説得するとよいです。
  3. 技術力が高く、社内の統制が取れていて自社でrejectに持っていける
    メールの認証や送受信に関する基礎知識があるエンジニアが多数在籍して、メール送信環境に関する厳しい社内規定である企業では、自社でrejectまで持っていく企業もあります。
    大手の金融機関なんかですね。
  4. rejectにした後に自社運用に切り替え
    制御モード(p=reject)に持っていくところまで専門のツールやコンサルティングの支援を得るパターン。難しい局面で専門家の意見を取り入れつつ、安定運用に入ってからは自社運用でコストを抑える考え方です。

著者の経験上、最終的に「1」と「2」は最終的に専門のDMARCツールを導入する結論に至ることが大半です。ビジネスをしている以上はメールが止めるわけには行きませんし、上場企業はメール環境も相当数あるので自分たちだけで調整していくことは困難です。

なお、861社中105社(12%)がrejectやquarantineの制御モードになっているので、「3」「4」の企業もそれなりいることがわかります。

DMARCあり:レポート先は業者・12% (482社)
DMARCレポート先が専門業者などの他社に送信しているのは、全体の12%で482社ありました。
【DMARCレコードの例】
v=DMARC1; p=none; rua=mailto:<他社の専門業者メールアドレス>;

基本的には有料サービスなので、本気でDMARCプロジェクトを進めている企業が大半です。

12%というのは少ないように感じますが、昨年からDMARCが動き出したことを考えると、日本企業の予算取りと予算執行の速度を考えると、かなり導入が進んでいると感じます。

有料サービスだけあって、482社中83社の17%と一番高い制御モードの比率です。

日本上場企業で使用中のDMARCツールとランキング

  • DMARCなし

コメント

タイトルとURLをコピーしました