2025年上半期注目すべきセキュリティ潮流：DMARC導入で企業の信頼とビジネスを守る

執筆者 Hornetsecurity / 20.06.2025 / ブログ

Home » Blog » 2025年上半期注目すべきセキュリティ潮流：DMARC導入で企業の信頼とビジネスを守る

近年、サイバー攻撃の巧妙化とともに、メールを悪用したなりすましや詐欺被害が急増しています。こうした中、メール送信元のドメイン認証を強化する技術「DMARC（Domain-based Message Authentication, Reporting and Conformance）」の導入が世界的に加速しています。DMARCは、なりすましメールを識別・拒否できる仕組みであり、信頼できるビジネスコミュニケーションの基盤と言っても過言ではありません。

本稿では、2024年末から2025年上半期におけるDMARC導入の潮流について、海外と日本の対比を交えながら、経営層から部門責任者や現場担当者まで幅広く理解いただけるよう、最新の政策動向や業界別事例を交えて詳しく紹介します。

世界が進める「DMARC未導入メールは受け取らない」時代へ

2023年10月、Googleは新たな「メール送信者向けガイドライン」を発表し、1日5,000通以上のメールをGmailアカウント宛てに送信する送信者に対し、DMARC導入を必須とする方針を示しました。DMARCを導入していない送信ドメインからのメールは、スパムと判定されやすくなり、場合によってはユーザーに届かない可能性があります。

米Yahoo!も同様の方針を示しており、Microsoftもまた、2025年5月にOutlook.comで同様の認証強化を進めると公表しました。

このように主要なメールサービスが揃ってDMARC準拠を強く求める体制を整えたことで、DMARC未導入の送信者からのメールは「なりすましの疑いがある」として受信を拒否される方針が明確となりました。

これは、メール送信者からすれば「メールが届かない」というリスクが現実のものとなりつつあることを意味しています。特に企業にとっては、商談や契約に関わる重要なメールが届かなくなる、ビジネス機会の損失や信用失墜につながる、という事態ことにつながります。

業界が動く：半導体・製造業における「DMARC必須化」現象

業界単位でもDMARC導入を加速させる動きが広がっています。特に顕著なのが、半導体や製造業など、高度なサプライチェーンを抱える業界です。

ある国内大手半導体メーカーでは、部品供給業者、化学材料メーカー、物流会社といった数百社に対し「DMARCのp=quarantineまたはp=rejectの設定を必須とする」方針を提示しました。この背景には、取引先を装ったなりすましメールの急増があります。過去には、調達担当者になりすました偽の請求書メールにより、数千万円規模の被害が発生した例もありました。

同様に、国内大手電機メーカーでも、国内外の取引先に対してメールドメインの認証強化を求める通達を出しています。一企業の対策に留まらず、業界全体でセキュリティ水準を引き上げようとする動きが広がっているのです。

このような「DMARC未導入企業とは取引しない」という姿勢は、今後さらに多くの業界へ波及していく可能性があります。特に機密性の高い設計情報、仕様書、価格交渉などをメールでやり取りする企業にとっては、DMARCは“信用証明”とも言える存在になりつつあります。

日本の現状：DMARC導入が進まない理由とリスク

しかし、こうした世界や業界の動きに比べて、日本国内全体のDMARC導入率は依然として低い水準にとどまっています。

弊社Hornetsecurityが2025年6月に行った調査では、日本語サイトを持つ約20万ドメインのうちDMARCを設定していたのは40.0%に過ぎず、最も厳格な「p=reject（拒否）」ポリシーを適用していたドメインはわずか1.8%という結果でした。多くは「導入済み」とはいえ、ポリシーを“none”（モニタリングのみ）に留めている状況で、実効的な対策には至っていません。また調査対象ドメインの約6割はDMARC自体を導入しておらず、こうした企業はメール詐欺対策の重要性をまだ認識できていない可能性も指摘されています。このように、日本では「DMARCは自社には関係ない」という他人事意識も根強く、導入率・運用レベルともに依然低いのが現状です。

この要因の一つとして、「メールは届いているから問題ない」、「うちは技術系じゃないから関係ない」といった認識のギャップが挙げられます。しかし、実際には届いていても迷惑メール扱いされていたり、取引先のセキュリティ基準に引っかかっていたりすることもあり、見えない機会損失や信頼低下が起きているのです。

国内で進む政策対応：官民でDMARC推奨の明文化が進行中

こうした状況に対し日本の政府や金融機関、業界団体が中心となり、DMARC導入を促進する動きが強まっています。

2023年2月：経済産業省、警察庁、総務省の合同発表
クレジットカード会社を含む金融機関に対し、DMARCの設定（p=reject推奨）を要請。ユーザーへのフィッシング被害を防ぐためのガイドラインを提示しました。
2023年7月：政府情報システムの統一基準改訂
政府機関が保有するすべてのドメインについて、SPF・DKIM・DMARCの設定を必須化。公共部門での導入が一気に進みました。
2024年10月：金融庁ガイドラインにDMARC明記
銀行や保険会社などを対象にしたサイバーセキュリティガイドラインの中で、「送信ドメイン認証の導入」が正式に推奨項目として記載されました。
2025年3月：PCI DSS v4.0への移行期限
クレジットカード業界の国際基準であるPCI DSS（v4.0）では、メール認証対策としてDMARCが事実上の必須項目に。旧バージョン（v3.2.1）の有効期限が迫る中、多くの企業が導入を進めています。

これらの動きを踏まえると、今後は「DMARC未対応＝信頼するに値しない」というレッテルが貼られる可能性もあるかもしれません。

サプライチェーンリスク：自社だけの問題ではない

実際に前述の大手半導体メーカーがサプライチェーン上の取引先にDMARC対応を求めたのも、自社だけでなく取引先企業が狙われるケースを懸念しての措置です。例えば、仕入先を騙った偽の請求書メールや、取引先企業の役員を装った不正指示メール（いわゆるビジネスメール詐欺）が届けば、組織全体の信頼関係をゆるがしかねません。

こうしたサプライチェーンリスクを低減するには、チェーンに関わるすべての企業がDMARCを導入し、適切に運用（p=quarantineまたはp=rejectまで設定）することが肝要です。自社ドメインのなりすまし防止はもちろん、重要な取引先ドメインからのメールについてもDMARCで保護されていれば、第三者による詐称メールは受信段階でブロックされる可能性が高まります。経営層や部門責任者の方は、自社だけでなくパートナー企業のセキュリティ意識にも目を配り、必要に応じて「メール認証の整備は取引継続の前提条件」である旨を共有・要求することも検討すべきでしょう。メールは企業間コミュニケーションの生命線です。DMARC導入の潮流は、単なる技術トレンドではなくビジネスの信頼性を高めるために、もはや無視できない段階に来ています。各企業が自社とサプライチェーン全体でメールドメインの信頼性を高めることで、顧客や取引先を詐欺被害から守り、自社のブランドとビジネスを防衛することにつながります。