上場企業3,700社のSPF/DMARC設定を全調査 — 「p=none」が半数、日本のメール認証の現在地
@yoppy0123 氏のポストが、上場企業のメール認証設定を網羅的に調査した Zenn 記事を紹介しています。
上場企業(約3,700社)を対象にSPF / DMARCの設定状況を調査した記事です。実際のところどうなんだろう?と気になっていたので、とても参考になりました!
元記事は ext0mmy 氏による「上場企業約3,700社のSPF/DMARC設定状況調査」です。2026年3月1日時点で、JPX(日本取引所グループ)に上場する3,745社を対象に、DNS レコードから SPF と DMARC の設定状況を調査しています。
Google が Gmail の送信者ガイドラインで DMARC 対応を義務化してから2年。日本の上場企業はどこまで対応が進んだのか、調査結果を技術的な背景とともに解説します。
メール認証の基礎 — SPF・DKIM・DMARC の仕組み
調査結果を読み解くために、まずメール認証の3つの技術を整理します。
SPF(Sender Policy Framework)
SPF は、メールの送信元 IP アドレスを検証する技術です。ドメインの DNS レコードに「このドメインからメールを送信してよい IP アドレスの一覧」を登録しておき、受信側がそれを照合します。
example.co.jp IN TXT "v=spf1 include:_spf.google.com ~all"
末尾の修飾子が認証失敗時のポリシーを決定します。
| 修飾子 | 意味 | 厳しさ |
|---|---|---|
+all | 全て許可 | 設定する意味がない |
~all(softfail) | 認証失敗を記録するが配信は許可 | 緩い |
-all(fail) | 認証失敗のメールを拒否 | 厳しい |
DKIM(DomainKeys Identified Mail)
DKIM は、メールに電子署名を付与し、送信中の改ざんを検知する技術です。送信サーバがメールヘッダとボディに署名を付け、受信サーバが DNS に公開された公開鍵で検証します。SPF が「どこから送ったか」を検証するのに対し、DKIM は「改ざんされていないか」を検証します。
DMARC(Domain-based Message Authentication, Reporting and Conformance)
DMARC は、SPF と DKIM の認証結果を束ねて、認証失敗時の処理方針を定めるフレームワークです。
_dmarc.example.co.jp IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.co.jp"
DMARC には3つのポリシーレベルがあります。
| ポリシー | 意味 | 保護レベル |
|---|---|---|
p=none | 監視のみ。認証失敗しても配信する | なし(データ収集のみ) |
p=quarantine | 認証失敗したメールを迷惑メールフォルダに振り分け | 中程度 |
p=reject | 認証失敗したメールを完全にブロック | 最高 |
また、rua タグでレポートの送信先を指定します。このレポートにより、自社ドメインを騙ったなりすましメールの状況や、正規メールの認証失敗状況を把握できます。
3技術の関係
送信者 → [SPF: IPアドレス検証] → 受信サーバ
→ [DKIM: 電子署名検証] →
→ [DMARC: 両方の結果を評価し、
ポリシーに基づいて処理を決定]
→ レポートを送信者に返送(rua)
SPF と DKIM は「認証する技術」、DMARC は「認証結果に基づいて何をするか決める仕組み」です。DMARC がなければ、SPF や DKIM が失敗しても受信側の判断に委ねられるため、なりすまし対策として不十分です。
調査結果の概要
DMARC の設定状況
3,745社の DMARC 設定状況は以下の通りです。
| ポリシー | 企業数 | 割合 |
|---|---|---|
| 未設定 | 約1,292社 | 34.5% |
p=none(監視のみ) | 約1,947社 | 52.0% |
p=quarantine(隔離) | 約348社 | 9.3% |
p=reject(拒否) | 約154社 | 4.1% |
なりすましメールを実質的にブロックできている企業は、わずか13.4% です。「p=none」は認証失敗を記録するだけで、なりすましメールは素通りします。DMARC を設定していても、p=none のままでは「設定しているが保護されていない」状態です。
SPF の設定状況
| 設定 | 割合 |
|---|---|
~all(softfail) | 70.5% |
-all(fail) | 20.7% |
| 複数レコード(RFC 違反) | 13社 |
SPF の DNS ルックアップ回数は最大10回に制限されています(RFC 7208)。しかし、84社がこの上限を超えており、最大37回のルックアップが確認されました。上限超過は SPF 認証の失敗を引き起こし、正規メールが届かなくなるリスクがあります。
レポート設定の欠落
DMARC を設定していながら rua(集約レポート送信先)を設定していない企業が 817社(21.8%) ありました。DMARC の大きな価値はレポートによる可視化にあります。レポートなしでは、なりすましの実態を把握できず、ポリシーを強化する判断材料も得られません。
市場区分別の分析
| 市場区分 | reject + quarantine 率 |
|---|---|
| プライム | 18.4% |
| スタンダード | 8.7% |
| グロース | 12.9% |
興味深いのは、グロース市場がスタンダード市場より高い導入率を示している点です。元記事では、グロース企業の方が技術的な専門知識を持ち、クラウドメールプラットフォームを採用している割合が高いことが要因として挙げられています。
ガバナンス体制が整っているはずのプライム市場でも、reject + quarantine は18.4%に留まっています。
業種別の分析 — 銀行業が突出
業種別では、銀行業が reject + quarantine 率 51% と突出しています。
この背景には、金融庁および日本証券業協会のガイドラインがあります。日本証券業協会は2025年10月に「インターネット取引における不正アクセス等防止に向けたガイドライン」を改正し、DMARC ポリシーを 「reject にする」 ことを対応必要事項として明記しました。
規制の力が DMARC 導入を加速させている典型的な事例です。
Google Gmail 送信者ガイドラインの影響
2024年2月、Google は Gmail の送信者ガイドラインを改定し、1日5,000通以上のメールを送信する送信者に対して以下を義務化しました。
- SPF または DKIM による送信ドメイン認証
- DMARC の設定(ポリシーは問わず)
- DMARC アライメントの通過(From ヘッダーのドメインと SPF/DKIM のドメインの一致)
さらに2025年11月からは対応が厳格化され、要件を満たしていない場合は「一時的または永続的にメールの受信を拒否する」方針が発表されています。
この義務化が、上場企業の DMARC 設定率が65.5%まで上昇した大きな要因と考えられます。しかし、多くの企業が「とりあえず p=none で設定」に留まっており、実質的ななりすまし防止にはつながっていません。
DMARC 導入のロードマップ
Google の推奨するロールアウト手順は、段階的なポリシー強化です。
p=none(監視)→ p=quarantine(隔離)→ p=reject(拒否)
↓ ↓ ↓
レポートで状況把握 正規メールの なりすまし
2〜4週間観察 到達を確認 完全ブロック
ステップ1: p=none で開始
まず p=none でレポートを収集し、自社ドメインからどのようなメールが送信されているかを把握します。マーケティングメール、トランザクションメール、社外の SaaS サービスなど、全ての正規送信元を特定します。
ステップ2: 正規送信元の SPF/DKIM 対応
全ての正規送信元が SPF と DKIM に対応していることを確認します。漏れがあると、ポリシー強化後に正規メールが届かなくなります。
ステップ3: p=quarantine に移行
正規メールの認証通過を確認した上で、quarantine に移行します。認証失敗したメールは迷惑メールフォルダに振り分けられるため、影響を限定的に確認できます。
ステップ4: p=reject に移行
quarantine で問題がないことを確認した後、reject に移行します。これでなりすましメールは完全にブロックされます。
日本企業の課題
日経225企業に限ると、DMARC 導入率は94.2%(2025年11月時点)に達していますが、実効性のある reject + quarantine ポリシーの採用は36%で、主要18か国中最下位であることが TwoFive の調査で明らかになっています。
「導入率」と「実効性」のギャップが日本企業の最大の課題です。p=none のまま放置されている DMARC 設定は、なりすまし防止には何の効果もありません。
改善に必要なのは以下の3点です。
- rua レポートの分析: まず自社のメール送信状況を可視化する
- 正規送信元の棚卸し: 社内外の全てのメール送信サービスを把握する
- 段階的なポリシー強化: none → quarantine → reject を計画的に進める
まとめ
- DMARC 未設定が34.5%: 上場企業の3分の1以上がなりすまし対策の仕組みすら持っていない
- p=none が52.0%: 最も多い設定だが、監視のみで防御効果はゼロ
- 実効的な保護は13.4%のみ: reject + quarantine を設定している企業はわずか
- レポート未設定が21.8%: DMARC を入れても rua を設定しなければ状況把握すらできない
- SPF ルックアップ超過が84社: RFC 違反により正規メールが届かないリスク
- 銀行業は51%が実効的: 金融庁ガイドラインの効果が明確に表れている
- 日本は主要18か国中最下位: 導入率は高いが実効性で大きく遅れている
参考
- @yoppy0123 のポスト
- 上場企業約3,700社のSPF/DMARC設定状況調査 - ext0mmy(Zenn)
- メール送信者のガイドライン - Google Workspace 管理者ヘルプ
- 推奨される DMARC のロールアウト - Google
- 日経225企業のDMARC導入率92%、有効設定は主要18か国で最下位 - JAPANSecuritySummit
- DMARC適用率 日本証券業協会が日経225上回る - TwoFive調査
- 送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと活用法 - IIJ
- DMARCとは?SPF・DKIMとの関係 - ベアメール
- DMARCポリシーの説明: None、Quarantine、Reject - MailData
- 必須となりつつあるDMARCポリシー強化対応 - PwC Japan