官公庁ドメインでの「DMARC」Reject導入、米国94%に対し日本はわずか3%【プルーフポイント調べ】
日本プルーフポイントは、「Eメールの安全性」に関する調査結果を発表した。日本企業および米国企業、日米政府におけるEメール認証の調査結果をもとにEメールの安全性に関して分析を行っている。
厳格なDMARCの導入、日経225で増大するも米国よりかなり低い割合
まず日経225企業における送信ドメイン認証技術「DMARC(Domain-based Message Authentication, Reporting and Conformance)」の導入率を見ると、2023年12月は60%だったが今回調査の2024年8月時点では83%まで拡大していた。
DMARCのポリシーは厳しい順に「Reject(拒否)」「Quarantine(隔離)」「None(監視のみ)」となっているが、DMARCの導入実績がある企業のうち「Reject」または「Quarantine」を導入しているのは、日経225社全体の20%にとどまった。
一方、米国のFortune1000企業では、96%(2023年12月:92%)がDMARC認証を設定。「Reject」または「Quarantine」の導入は、Fortune1000社の全体の64%と半数を超えている。
業種別DMARC導入状況を見ると、日米ともに「情報通信業」「不動産業、物品賃貸業」などのDMARC導入率は100%。ただしポリシーレベルに大きな違いがある。日本は、DMARC未導入の割合が多い業種として「鉱業、採石業、砂利採取業」などがあるが、米国は全業種において「何らかの形でDMARC導入」の割合が多い。
推奨されるもっとも厳しいレベルのRejectを導入している業種は、日本は「金融業、保険業」「卸売業、小売業」「製造業」の3業種のみ。一方米国はすべての業種でRejectが導入されており「建設業」「学術研究、専門・技術サービス業」「情報通信業」「金融業、保険業」では過半数を占めた。
続いて日本の官公庁ドメイン34件を見ると、もっとも厳格なReject導入はわずか3%。一方、米国の政府系ドメイン31件では、94%がRejectを導入済みだった。
DMARCをめぐる状況として、日本は2023年2月1日に経済産業省、警察庁、総務省よりクレジットカード各社に対してDMARC導入が要請されたが、欧米諸国ではすでに数年前より業種によるDMARC導入が義務化されている。日本でもDMARC導入は急速に増大しているが、欧米水準においつくにはまだ少し時間がかかりそうだ。
調査概要
- 【調査対象】日経225企業、米国Fortune1000、日本政府系ドメイン34件、米国政府系ドメイン31件
- 【調査方法】日本企業および米国企業、日米政府におけるEメール認証の調査結果をもとに分析
- 【調査時期】2024年8月
ソーシャルもやってます!