2025年9月には、総務省が電気通信業界に対応を促す異例の要請を行うなど、DMARCへの対応は急務となっています。しかし、DMARCはポリシーが「none」のままでは十分な効果を得ることができません。本稿では、DMARCのポリシーを引き上げていく必要性と、それを阻む要因および解決策について解説します。
DMARCが国や業界、サプライチェーンにおける“要件”に
なりすましメールが増加するとともに、DMARCは「企業が対応しなければならないもの」という認識が浸透しました。DMARCへの対応は、2022年3月にクレジットカード業界の国際セキュリティ基準である「PCI DSS v4.0」において要件化されたことを皮切りに、2023年2月には総務省、経済産業省、警察庁によってクレジットカード会社に対する要件として指定されました。そして同年7月には、政府統一基準において政府、自治体、独立行政法人に対して要件として指定されました。
DMARCが広く認知された契機は、2024年2月にGoogleが発表したGmailガイドラインの改訂でした。この改訂では、Gmailへ1日あたり5,000通以上のメールを送信する送信者を対象に、SPF、DKIM、DMARCの設定が義務づけられました。また同月には、Yahoo!メールも同様に送信者のガイドラインを改訂しました。
その後も、2024年10月には金融庁が金融機関に対して、2025年4月にはマイクロソフト(Microsoft)がOutlookやHotmailなどへ、1日あたり5,000通以上のメールを送信する送信者に対してDMARC対応を要件とすることを発表し、同年10月には日本証券業協会がインターネット取引を行う証券会社などに対して、DMARC対応を要件とすることを発表しました。現在では、大企業が子会社や関連会社にDMARC対応を求めるケースも増えています。
企業では、GmailやYahoo!メール、Outlook、Hotmailを利用するユーザーに対して、キャンペーン告知やサービス利用状況のお知らせなどをメールで配信することが当たり前となっており、多くの企業がこれらのガイドラインの対象となりました。DMARCに対応しなければ、自社から送信するメールが顧客に届かなくなる可能性が高まるため、対応を急ぐ企業が増加したのです。
さらに2025年9月には、総務省がフィッシングメール対策の強化について、事業者団体を通じて電気通信事業者に対し文書による要請を行いました。この要請では、メールフィルタリングの精度を一層向上させること、DMARCのポリシーを「reject(拒否)」または「quarantine(隔離)」に設定するとともに、ドメインレピュテーション、BIMI、踏み台送信対策などのさらなる対策の導入を積極的に検討すること、加えて、それらを様々な利用者層に周知・啓発することを求めています。この動向は、大手経済紙が1面で大きく報じるなど、業界内外で大きな注目を集めました。
この記事は参考になりましたか?
- この記事の著者
-
伊藤 利昭(イトウ トシアキ)
Hornetsecurity株式会社 カントリーマネージャー2020年1月に、Hornetsecurity株式会社の前身であるVade Japan株式会社のカントリーマネージャーに就任。クラウドベースのセキュリティ、コンプライアンス、バックアップ、セキュリティトレーニングなどを提供するHornets...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
-
平野 善隆(ヒラノ ヨシタカ)
Hornetsecurity株式会社 プリンシパル メッセージング エンジニアメールセキュリティの専門家として、M3AAWGやJPAAWGなどの業界団体で積極的に活動。講演・セミナーに多数登壇し、最新のAI技術を活用したフィッシング対策や誤送信防止の研究・普及に努める。奈良先端科学技術大学院大学を修...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
