必須となりつつあるDMARCポリシー強化対応とその先にあるBIMIによるマーケティング効果

DMARCポリシー強化が求められる背景

メールシステムは個人・組織いずれにおいても広く普及し、今や日常に欠かすことのできないツールです。一方で、送信者情報を容易に詐称できることから、実在する企業になりすましたメールを送信し、本文中のリンクから偽サイトに誘導して個人情報を入力させるなどの手口に悪用されやすいという問題があります。近年はこうしたなりすましメールを用いて、個人情報や金銭につながる情報を窃取するフィッシング被害が後を絶ちません。

このような背景から、なりすましメールを自動で判別し、受信しないようにするため、送信者情報が詐称されているかをドメイン単位で確認する送信ドメイン認証技術「DMARC¹」の実装およびポリシー強化が求められています。

送信ドメイン認証技術DMARCとは、SPF／DKIMの検証結果とヘッダーFromドメインの一致（アラインメント）を確認することで、送信者のなりすましを判定する認証技術です。DMARCポリシーは、「none（監視）」「quarantine（隔離）」「reject（拒否）」の3種類あり、認証失敗した際のメールの扱いをドメイン管理者がDNS（Domain Name System）に公開し、受信側へ指示することができます。

DMARCポリシー強化のガイドライン適用状況

DMARCのポリシー強化は、各分野の関連省庁、業界団体が定めるガイドラインでも要求されています。

具体例として、日本証券業協会が定める「インターネット取引における不正アクセス等防止に向けたガイドライン²」では、不公正取引に悪用されている事案が発生したことを踏まえ、「顧客へ送信する電子メールのドメインを特定し、DMARC等の送信ドメイン認証技術の計画的な導入を行う。また、DMARCレポート等の確認等を行った上で、ポリシーは「reject」にする」ことを対応必要事項として定義に追加し、2025年10月15日にガイドラインを改正しています。

情報通信分野においても、証券業界で不公正取引に悪用されている事案が発生したことを踏まえ、総務省から「フィッシングメール対策の強化に関する要請³」が事業者団体を通じて電気通信事業者に対して出されており、DMARCポリシーの設定（隔離、拒否）を行うことが求められています。

他にも以下図表1のとおり、各業界が定めるガイドラインにDMARC導入を推奨する記載が確認できます。必須事項となっているガイドラインはまだ少ない状況ですが、今後DMARCポリシーの「隔離、拒否」を必須とする内容に改正される可能性もあり、早期検討・対応が求められます。

図表1：DMARCに言及している各業界のセキュリティガイドライン一覧⁴

DMARCポリシー強化の進め方

DMARC導入時に最初から「reject（拒否）」に設定すると、社内の各部門が利用するサービスのうちDMARC未対応なサービスが発信するメールのDMARC認証が失敗し、正規メールが届かなくなる場合があります。そのため、DMARCポリシーの強化は段階的に進めることと、強化後の維持管理体制を構築することが重要です。以下図表2にその体制と、図表3にプロセス例を示します。

図表2：DMARCポリシー強化の役割分担表

図表3：DMARCポリシー強化プロセス

DMARCポリシー強化の先の「BIMI」とは

DMARCポリシーを強化することでもなりすまし防止効果がありますが、DMARCポリシーを「quarantine（隔離）」または「reject（拒否）」と設定することで、さらにBIMI（Brand Indicators for Message Identification）⁵にも対応可能となります。これにより、受信者はひと目で正規の送信者だと気付きやすくなり、なりすまし防止だけでなく、ブランド認知向上、信頼度向上、メール開封率向上によるマーケティング効果が期待できます。

セキュリティ対策予算が取りにくい企業は、BIMI対応による効果を経営層に説明することで予算が取りやすくなり、DMARCポリシー強化と合わせて対応を推進しやすくなる可能性が考えられます。

セキュリティ対策予算を取得するために経営層へ説明すべきBIMI導入効果について、図表4に記載します。

図表4：BIMIの導入効果

まとめ

フィッシング被害は後を絶たず、DMARCポリシーの強化は各業界で必須になりつつあります。

DMARCポリシーは「強化して終わり」ではなく、正規メールが破棄されることのないよう、持続的に対応できる体制を構築することが重要です。

また、DMARCポリシー強化にとどまらず、BIMI対応まで進めることでなりすまし防止効果だけでなく、ブランド認知向上、信頼度向上、メール開封率向上によるマーケティング効果も期待できます。

¹ RFC 7489 Domain-based Message Authentication, Reporting, and Conformance (DMARC), March 2015
https://www.rfc-editor.org/info/rfc7489

² 日本証券業協会, 2025.「インターネット取引における不正アクセス等防止に向けたガイドライン」
https://www.jsda.or.jp/houdou/2025/20251015fuseiaccess-guideline.pdf

³ 総務省, 2025.「フィッシングメール対策の強化に関する要請」
https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000260.html

⁴ 一般公開されているガイドラインのみ以下に記載

金融庁, 2025.「金融分野におけるサイバーセキュリティに関するガイドライン」
https://www.fsa.go.jp/news/r7/sonota/20250704/20250704.html

国土交通省, 2024.「航空分野における情報セキュリティ確保に係る安全ガイドライン」
https://www.mlit.go.jp/koku/content/20240425-koku-CyberSecurity.pdf

国土交通省, 2024.「空港分野における情報セキュリティ確保に係る安全ガイドライン」
https://www.mlit.go.jp/koku/content/20240425-kuko-CyberSecurity.pdf

国土交通省, 2024.「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」
https://www.mlit.go.jp/tetudo/content/001738865.pdf

国土交通省, 2025.「水道分野における情報セキュリティ確保に係る安全ガイドライン」
https://www.mlit.go.jp/mizukokudo/watersupply/content/001869135.pdf

国土交通省, 2025.「港湾分野における情報セキュリティ確保に係る安全ガイドライン」
https://www.mlit.go.jp/kowan/content/001880210.pdf

国土交通省, 2024.「物流分野（貨物自動車運送）における情報セキュリティ確保に係る安全ガイドライン」
https://www.mlit.go.jp/jidosha/content/001742060.pdf

国土交通省, 2024.「物流分野（倉庫）における情報セキュリティ確保に係る安全ガイドライン」
https://www.mlit.go.jp/jidosha/content/001742057.pdf

国土交通省, 2024.「物流分野（船舶運航）における情報セキュリティ確保に係る安全ガイドライン」
https://www.mlit.go.jp/maritime/content/001744764.pdf

総務省, 2022.「地方公共団体における情報セキュリティポリシーに関するガイドライン」
https://www.soumu.go.jp/main_content/000805453.pdf

経済産業省, 2019.「サイバー・フィジカル・セキュリティ対策フレームワーク」https://www.meti.go.jp/policy/netsecurity/wg1/CPSF_ver1.0.pdf

フィッシング対策協議会, 2025.「フィッシング対策ガイドライン」
https://www.antiphishing.jp/report/guideline/antiphishing_guideline2025.html

国家サイバー統括室, 2025.「政府機関等の対策基準策定のためのガイドライン」
https://www.nisc.go.jp/pdf/policy/general/guider7_9.pdf

国家サイバー統括室, 2025.「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」
https://www.nisc.go.jp/pdf/policy/general/SBD_manual.pdf

⁵ Brand Indicators for Message Identification (BIMI) draft-brand-indicators-for-message-identification-10
https://datatracker.ietf.org/doc/draft-brand-indicators-for-message-identification/