なぜDMARCの導入は進まないのか？ 企業が抱えるホンネが明らかに：セキュリティニュースアラート

リンクは、Googleによる「メール送信者ガイドライン」改訂から1年が経過したことを受け、企業の対応状況やDMARCの導入実態を調査した。この調査からDMARCを導入していない企業のホンネが明らかになった。

[後藤大地，有限会社オングス]

　リンクは2025年2月4日、Googleによる「メール送信者ガイドライン」改訂から1年が経過したことを受け、企業の対応状況やDMARC（Domain-based Message Authentication, Reporting, and Conformance）の導入実態について調査結果を発表した。

　同調査は電子メール配信サービス「ベアメール」を提供する同社が2024年12月25〜27日）に実施し、全国の事業者の電子メール配信担当者1000人から回答を得ている。

ガイドライン改定から1年　DMARCを導入していない企業のホンネが明らかに

　調査結果によると、「Gmail」のメール送信者ガイドラインに「全て対応できている」と回答した企業は32.5％にとどまり、2024年6月に実施された前回調査とほぼ変わらない状況が続いていることが分かった。さらに28.6％の企業が「届かない・遅延が問題になっている」、46.6％が「問題にはなっていないが、不達や遅延が増加している可能性がある」と回答しており、約8割の企業が何らかの影響を受けていることが判明している。

　また、ガイドラインへの対応が完了していない企業において最も未対応の項目として挙げられたのは「正引き・逆引きDNSレコードの設定」（52.5％）とされ、次いで「迷惑メール率を0.3％未満にする」（47.8％）が課題として挙げられている。

　Gmailのガイドライン強化を契機に企業のDMARCの導入率は大幅に向上し、調査対象の企業のうち80％以上が「DMARCを導入している」と回答した。DMARCを導入した理由のトップは「Gmailガイドラインへの対応のため」（61.7％）で、逆に導入していない企業の主な理由としては最も多かったのが「技術的な対応が難しい」とされ、「電子メールの到達率について現状特に問題がないから」や「GmailガイドラインでDMARC対応が必須となる要件に該当していないから」といった意見も挙がっている。

　DMARC導入後の運用については課題も浮き彫りになっている。DMARCのポリシー強化については26.3％の企業が「ポリシー強化済み（quarantine/reject）」であり、61.8％が「ポリシー強化に向けて対応中」と回答している。約9割の企業がDMARCのポリシー強化に取り組んでいるが、「DMARC分析ツールを導入したが、活用できていない」（38.9％）という問題も指摘されている。また、48.6％の企業が「DMARCレポートの可視化後、何をすればよいか分からない」と回答しており、データを活用した運用改善が課題となっていることが明らかにされている。

　Gmailの送信者ガイドラインが改定されてから1年が経過したが、依然として対応が進んでいないことが調査によって明らかになった。Gmailの送信者ガイドラインへの完全対応が進まない要因として前回調査時の「メール送信環境を把握できていないこと」の「メール配信における責任範囲の曖昧さ」の他に「自分たちの対応状況を正確に確認できていないこと」が大きな課題として挙げられている。リンクはそのため、DMARCの導入と分析を進めて自社の送信環境を把握することが重要で、環境ごとに対応事項を明確にし担当者を割り当てることで協力が円滑になり対応精度も向上するとしている。

　DMARCの導入率が急速に上昇し、ポリシー強化への取り組みも進んでいる点は評価されている。しかしDMARCレポートの活用方法が不明確である企業が多く、技術的なサポートが必要とされている。まずはDMARCレポートを活用して不適切な送信元を特定し、SPFやDKIM・DMARCの認証設定を改善することが重要だとリンクは助言している。

　メールセキュリティの強化はGmailに限らず、他のメールサービス提供者でも進められている。2024年10月にはNTTドコモがDMARC認証結果を基に受信メールに注意喚起を表示する取り組みを開始している。このような流れを踏まえ、企業はガイドラインへの準拠とDMARCポリシーの強化を積極的に進めることが推奨されている。