2022年11月10日

DMARC導入実態調査 第2弾を発表 日経225企業と、証券コードを持つ金融・流通・製造業に拡大調査

導入企業の約20%はDMARCレポート受け取らず、レポート活用・分析が課題。
ポリシー設定はメール状況モニタリング段階が約70%、今後のポリシー強化に期待

メッセージングセキュリティのリーディングカンパニーである株式会社TwoFive(本社:東京都中央区、代表取締役 末政 延浩)は、日経225企業が管理・運用する5,047ドメインについて、今年11月の送信ドメイン認証技術DMARC導入状況調査の結果を発表しました。前回(2022年2月・5月調査)に続き第2回となります。
また、金融機関、流通関連、製造業にフォーカスして、大手企業が多い日経225に加えて、証券コードを付与されている企業に対象を拡げて、同10月のDMARC運用・活用状況を詳しく調べた結果も発表します。

日経225企業は、全225社の内124社(55.1%)がDMARCを導入しており、5月と比較すると半年で5.3%増加しています。
一方、証券コードを付与されている企業も含めて調査対象を拡大すると(金融:175組織、流通:705組織、製造:2,188組織)、DMARC導入率は増加しているものの、その比率は2.6%~33.3%であり、大手が多い日経225企業が先行していることがわかります。

対象を拡大した調査で、DMARC導入後、次の段階として、どのようにポリシー運用やDMARCレポートを活用されているかに着目して見てみると、DMARCレポートを受け取る設定(ruaタグ)にしているドメインが80%以上あり、その内、半数程度がDMARCレポート分析を外部に委託しています。DMARCレポートを活用できなければ、DMARCのメリットが活かされませんが、大量のレポートデータの処理負荷をなくすだけでなく、専門的な知識とノウハウにより、DMARCレポートをより効果的に活用しようとしているものと考えられます。
一方、日経225企業に限った調査では、ruaタグを設定しているドメインは66.0%にとどまっています。これは、DMARC導入は先行しているものの、DMARCレポートの活用の観点では十分とはいえず、今後のruaタグの設定率の向上が課題と言えます。

DMARCの認証でなりすましと判定された場合にどう取り扱うかを指示するポリシー設定は、none(何もしないで受け取る)、quarantine(隔離)、reject(拒否)の3つがありますが、noneの増加が顕著であるのに対して、強制力のあるポリシーであるquarantineやrejectの増加は緩やかです。
noneに設定すると、DMARCの認証に失敗したメッセージに対して受信サーバーは何もしませんが、受信メールサーバーは認証結果の統計情報をレポートとして送信しますので、自社ドメインになりすましている送信者を特定する情報が収集できます。
また、DMARCレポートは、社員による想定しないメールの送信、意図しない経路でのメール送信が発見できるなど、メールの使われ方を可視化することにも活用できます。なりすましメール被害が増加する中、none設定であっても、可視化する意識が高まっていることは歓迎するべき状況です。
現時点で、強制力のあるポリシー(quarantine、reject)に設定しているのは、全体の約30%ですが、none設定によるモニタリングを経て、今後、強制力のあるポリシーに変更してなりすましメールを制御する段階にステップアップしていくことが期待されます。

…………………………………
※以下の結果について、グラフを以下でご覧いただけます。
www.twofive25.com/news/20221110_dmarc_report.html

★ 日経225企業
・DMARC導入状況(n=225)
・DMARC導入ドメインのポリシー状況(n=932)
・DMARC集約レポートモニタリング状況(n=932)
・DMARC失敗レポートモニタリング状況(n=932)

★ 証券コードを付与されている企業の調査
・金融機関のDMARC導入状況(2022年2月と10月の比較)
 調査対象:175組織 / 715ドメイン 
 (銀行:85組織 / 316ドメイン、証券:40組織 / 124ドメイン、保険:14組織 / 32ドメイン、その他:36組織 / 243ドメイン)
・金融機関のDMARCレポート受取先の設定状況 (2022年10月 n=100)

・流通関連企業のDMARC導入状況(2022年2月と10月の比較)
 調査対象:705組織 / 3,115ドメイン(倉庫・運輸関連:38組織 / 72ドメイン、卸売業:318組織 / 1,338ドメイン、小売業:349組織 / 1,705ドメイン)
・流通関連のDMARCレポート受取先の設定状況 (2022年10月 n=309)

・製造業のDMARC導入状況(2022年2月と10月の比較)
 調査対象:1,308組織 / 6,546ドメイン(化学・医薬品:291組織 / 956ドメイン、機械・機器:616組織 / 3,799ドメイン、その他:401組織 / 1,791ドメイン)
・製造業のDMARCレポート受取先の設定状況 (2022年10月 n=703)

・金融・製造・流通業のDMARCポリシー設定状況
 調査対象: 2,188組織 / 10,376ドメイン
…………………………………

◆ 第2回DMARC導入状況調査結果について
◇調査時期:2022年8月・10月・11月
◇調査対象:日経225企業が管理・運用する5,047ドメイン
        証券コードを付与されている企業が管理運用するドメイン
(金融業715ドメイン・流通業3,115ドメイン・製造6,546ドメイン)
◇調査方法:調査対象ドメインおよびサブドメインのDNSレコードを調査

◇主な調査結果:各企業のドメインごとに以下の状況を把握しています。
・DMARCを導入しているかどうか
・DMARCのポリシー設定状況
「none(何もしないで受け取る)」「quarantine(隔離)」「reject(拒否)」
・DMARCレポート先(ruaタグ、rufタグ)の指定状況

※2022年2月・5月に実施した日経225企業DMARCの導入状況調査結果は以下をご参照ください。
  www.twofive25.com/news/20220519_dmarc_report.html

◆ なりすましメール対策に不可欠なDMARC
多くのサイバー攻撃の90%以上がメールを介して仕掛けられるとされており、攻撃者にとって、“なりすましメール”が常套手段となっていますが、DMARCは、メール送信元のドメインが詐称された偽物でないかどうか、信頼できるかどうかを判断するため、送信者と受信者が連携してなりすましメールに対抗する認証技術です。DMARCにより、自社のドメインがなりすまされていないか迅速に把握することができ、また、攻撃者は、なりすましメール送信に利用するドメインがDMARC対応していれば、検知される確率が高くなることから、DMARCを導入していないドメインを選ぶことになり、DMARC導入は、なりすまされるリスクを軽減する抑止力になります。
日本国内のDMARC導入率は、欧米と比較してまだ低いのが実態ですが、TwoFiveは、DMARCの導入、DMARCの効果的な活用を支援しながら、なりすましメール撲滅に尽力してまいります。

※DMARCの仕組みなど詳細、ならびにTwoFiveが提供するクラウド型DMARC分析サービス「DMARC / 25 Analyze」の詳細は以下をご参照ください。
www.dmarc25.jp/

■株式会社TwoFiveについて
www.twofive25.com/
株式会社TwoFiveは、大手ISP、ASP、携帯事業者、大手企業の大規模電子メールシステムインフラの構築・サポートで長年経験を蓄積した技術者集団により、メールシステムの構築、メールセキュリティ、スレッドインテリジェンスを事業の柱として2014年に設立。国内外の優れた製品/ソリューションに技術サービスを組み合わせて提供してきました。現在は、所属する業界団体や関連サービスの提供ベンダーと協業し、メールシステムだけでなく、多様なメッセージング分野の新しい課題に取り組んでいます。また、海外ベンダーとの充実したネットワークを活かして、メッセージング分野に限定せず、日本のDXを支える優れた製品・ソリューションを日本市場に紹介しています。東京本社の他、ハノイにベトナム支社があり、開発、サポートを行っています。

Tags: