調達トリレンマの時代に必要な戦略的サプライヤーマネジメントの仕組み作り
サプライヤー情報の全社一元管理
DMARCソリューション
昨今、フィッシング詐欺の手口として会社になりすましたメールをユーザに送り付け、不正アクセス/個人情報取得といった事件が横行しております。
メールは性質上、アドレスを知っているだけで基本的に送受信できるため、便利である一方攻撃者からの攻撃の手口としても使い勝手がよいのが現実です。
フィッシング対策協議会の報告によると、2023年で観測されたフィッシングメールのうち、平均して74.9 %がなりすましメールであったことも報告されています。(出典1)
なりすましメールの手口の一つとしてはメールのheader-from(メールツールで見える宛先)を企業と同じメールドメイン(メールアドレスの@以降の部分)を企業と同じドメインにし、受信者側からは一見すると企業からのメールと勘違いを起こさせるものになり、消費者が一目で判断するのが難しいのも現状です。(図1)
メールは性質上、アドレスを知っているだけで基本的に送受信できるため、便利である一方攻撃者からの攻撃の手口としても使い勝手がよいのが現実です。
フィッシング対策協議会の報告によると、2023年で観測されたフィッシングメールのうち、平均して74.9 %がなりすましメールであったことも報告されています。(出典1)
なりすましメールの手口の一つとしてはメールのheader-from(メールツールで見える宛先)を企業と同じメールドメイン(メールアドレスの@以降の部分)を企業と同じドメインにし、受信者側からは一見すると企業からのメールと勘違いを起こさせるものになり、消費者が一目で判断するのが難しいのも現状です。(図1)
昨今注目されている技術の一つとして、なりすましメールの有効的な策であるDMARCという技術があります。
DMARCは電子メールの送信ドメイン認証技術の一つであり、使用するメールドメインへのなりすまし対策に有効な技術であり、SPF(送信元IPアドレスの認証)とDKIM(電子署名による認証)の認証結果とヘッダFROMを検証し、なりすましか否かを判定します。(図2)
弊社は、各企業になりすましメール対策として有効なDMARCの導入から定期的な監視までの運用プロセスの策定と実際の運用をご支援し、なりすましメール対策の実現にご支援いたします。
DMARCのゴールと日本企業のゴール達成状況
POINT 1
DMARCのゴールは導入するのではなく、認証業況を監視してDMARCポリシーをquarantine またはrejectにすることが一つのゴールとされています。理由として、DMARCポリシーとはDMARC認証失敗したメールの取り扱いを定めたルールであり、初期段階はポリシーはnoneであり、認証失敗したメールも何もせず送信されます。(図3)
つまり、なりすましメール対策をするにはただDMARCを導入するのではなく、ポリシーをquarantine またはrejectに強化することが必要なのです。
しかし、DMARCを導入(ポリシー=quarantine or reject)している日本企業はまだ少なく、各企業PJの進め方や進める中での障壁によって難航しているのが現実です。(出典2)
DMARCによるなりすましメール対策を進める際の流れとは?
POINT 2
弊社は以下のプロセスを順次実施することでDMARCの初期導入~ポリシー変更まで実現できると考えています。
企業はまずゴールから逆算して各プロセスを達成するために必要な情報と出力する情報を定義し、ステークホルダーと認識合わせをしながらプロセスを構築する必要があります。(図4)
①【メールドメインを使用するシステムの特定】:導入対象メールドメインを使用するシステム洗い出し
※DMARCを導入するには、対象メールドメインを使用するシステムにて、SPF/DKIMの設定が必要のため、漏れなく洗い出す必要がある。
②【SPF/DKIMの導入&DMARCの初期導入】:対象メールドメインを使用するシステムのSPF/DKIMの導入と対象ドメインへのDMARC導入(ポリシー-none)
③【認証状況確認】:認証状況レポートをもとに、SPF/DKIMの設定漏れがあるシステムがないかの確認と特定
※認証状況レポート:DMARCの認証状況を取りまとめた日次レポート
④【ポリシー強化】:DMARCポリシーをquarantine またはrejectに変更
企業がDMARCに取り組む上での障壁とは?
POINT 3
DMARCは技術的に難易度は高くなく、一見すると導入するにあたっての障壁は無いように見えますが、各企業で導入~ポリシー強化まで難航することがあります。下記は実際に案件に携わる中で見えた障壁になります。
【対象システムの洗い出しに難航】:メールドメインの管理が十分になされていない企業が多く、どのシステムが対象メールドメインを使用しているのか管理できておらず、聞き先として関連部署が多くなってしまい難航することがあります。
【ポリシー変更判断が難しい】:DMARCポリシーをnoneからquarantine or rejectに変更する指標として、DMARC認証成功率※1が99%を超えていることが一つの指標としてあります。
一方で、特性上100%認証成功することはない(受信側の何かしらの理由等で認証失敗することもあるため)確実に全システムがSPF/DKIMの導入が成功していると捉えることができず、足踏みしてしまうことがあります。
※1DMARC認証成功率:対象メールドメインを使用して送付された全メールのうち、DMARC認証が成功している割合を出した数値
【認証状況レポートの分析が難しい】:一般的に、認証状況レポートはツールを用いて視覚的に見やすいものであるものの、設定が抜け漏れているシステムの有無を確認するには、技術力とナレッジが求められ、1企業でレポートを取り扱うことができる人材を確保していることは少ないのが現状です。
このように近年横行しているなりすましメール対策対策としてDMARCは有効である一方、まだまだ企業がスムーズに導入するに必要なナレッジや人材は少なく、手の施しが必要であるかと思われます。
弊社は、最適な認証状況レポート分析ツールの導入から、初期導入~ポリシー変更まで、企業の1社員として参画し共になりすましメール対策に尽力することができます。
出典
出典1:「協議会WG報告書 送信ドメイン認証技術「DMARC」の導入状況と必要性について」(フィッシング対策協議会)
https://www.antiphishing.jp/report/wg/cert_explaindoc_20250130.html
(2026年4月21日利用)
出典2:「プルーフポイントの調査により、日経225企業および日本政府の「なりすましメール詐欺」対策は加速するも、米国水準には達していないことが判明」(日本プルーフポイント)
https://www.proofpoint.com/jp/newsroom/press-releases/Nikkei225-Firms-and-Japanese-Gov-Accelerating-Measures2Combat-Email-Spoofing-Fraud
(2026年4月21日利用)
参考サイト
1.なりすまし送信メール対策について(フィッシング対策協議会)
https://www.antiphishing.jp/enterprise/domain_authentication.html
2.DMARCとは?その仕組みと設定方法、SPFやDKIMとの関係(日本プルーフポイント)
https://www.proofpoint.com/jp/threat-reference/dmarc
