コラム
世界のDMARC規制とガイドラインから読み解く
~エンフォースメントが今求められる理由~
世界の規制が示す、DMARCポリシーをエンフォースメントする必要性
はじめに
あなたの会社のDMARCポリシー設定、「p=none」のままになっていませんか?
世界各国の政府機関やメールサービス事業者が、DMARCの導入を求める方針を打ち出し始めており、一部ではDMARCポリシーのエンフォースメント(「p=quarantine」や「p=reject」)を求める動きも見られます。
これは、「p=none」の状態のままでは、なりすましメールをブロックできず、単にログを記録するだけの限定的な対策に過ぎないからです。
特に2024年以降、Google、Yahoo、Microsoftといった主要メールサービス事業者が、DMARCの導入を求めるガイドラインを打ち出しています。現時点では、「p=none」のDMARCポリシーであっても、正しくSPFまたはDKIM認証のアライメントが取れていれば受信が可能とされていますが、こうした主要メールサービス事業者が、今後より厳格な認証基準を設けていく可能性も考えられます。
加えて、アメリカでは政府機関にDMARCポリシーのエンフォースメント(「p=reject」)を義務付け、日本でも2023年2月に経済産業省・警察庁・総務省の合同発表により、クレジットカード会社に対しなりすましメール対策としてDMARCの導入と「p=reject」での運用を要請するなど、一部地域や業界では、厳格なDMARCポリシーを義務付けている動きも見られます。
本記事では、なぜDMARCが必要なのか、なぜ「p=none」では不十分なのかを、グローバルの規制とガイドラインから読み解きます。
DMARCポリシーの「p=none」とはどういう状態か
DMARCは、メール送信者が受信側のメールサーバーに対して、DMARC認証に失敗した場合の処理方法を指定できます。
DMARCで設定可能なメール処理方法を指定するDMARCポリシーは、以下の3つです。
- p=none(モニタリングのみ)
認証に失敗しても特に処理は適用せずに通常通り配信し、処理結果のみをレポートとして送信するよう指示します。 - p=quarantine(隔離)
認証に失敗したメールを迷惑メールフォルダに隔離するよう指示します。 - p=reject(拒否)
認証に失敗したメールを受信拒否するよう指示します。
つまり「p=none」では、なりすましメールを受信者側でブロックすることができません。
実際に受信者になりすましメールが届いてしまい、ユーザーが騙されてしまうリスクが残るのです。
世界の動向:なぜ今、DMARCが必要とされているのか
DMARCの導入とエンフォースメントを求める動きは、世界中の政府機関や主要メールサービスプロバイダの間で強まっています。
なりすましメールの被害拡大や信頼性の低下を防ぐため、モニタリングモードである「p=none」から、 エンフォースメント状態を示すより強力な「p=quarantine」や「p=reject」への移行が求められています。
主要メールサービスプロバイダ
- Google送信者ガイドライン(2024年2月):1日5,000通以上送信する事業者にSPF・DKIM・DMARCの設定を義務化(DMARCポリシーについては、現時点では「p=none」でも許容されている)
- Yahoo送信者ガイドライン(2024年2月):Googleと同様の要件を導入
- Microsoft送信者ガイドライン(2025年5月):Google・Yahooと同様の要件を導入
主要メールプロバイダーがガイドラインでDMARC導入を義務化し、足並みを揃えつつあります。
日本
<政府機関の方針>
- 経済産業省・警察庁・総務省合同要請(2023年2月):クレジットカード会社へなりすましメール対策として、DMARC導入と「p=reject」での運用を要請
- 政府統一基準(2023年6月):政府機関のメールにDMARCを実装することが要件化された。現時点では、DMARCポリシーのレベルについての指定はないが、政府機関としての最低限の認証対応が義務付けられた
<メールサービスプロバイダの強化策>
- Yahoo!メール送信要件(2024年2月):1日5,000通以上のメールを送信する事業者にSPF・DKIM・DMARC義務化(DMARCポリシーについては、現時点では「p=none」でも許容されている)
- NTTドコモ送信要件(2024年2月):SPF・DKIM・DMARCのいずれかの導入を必須とし、DMARC活用を推奨
アメリカ
アメリカは、政府主導でいち早くDMARCの導入とエンフォースメントを制度化した国の一つです。
<政府機関の方針>
- BOD 18-01(米国国土安全保障省)(2017年10月):米連邦政府機関に対して、DMARCポリシーを「p=reject」に設定することが義務付けられた。米連邦行政機関では2018年末までに大部分の政府ドメインでDMARC(「p=reject」)が実装され、政府発ドメインのなりすましメールが大幅削減
- FedRAMP(政府向けクラウド認証制度)(2024年7月):認証を受けるクラウドサービス事業者に対して、DMARC導入と「p=reject」運用が要件化
イギリス
<政府機関の方針>
- 政府サイバーセキュリティポリシーハンドブック 原則:B3データセキュリティ(2018年):イギリス政府部門にSPF・DKIM・DMARC義務化
- GDSドメイン利用ガイドライン(2018年):イギリス政府サービスのドメインである、service.gov.ukドメインを利用するオンラインサービスに対して、DMARCポリシーの公開を必須とし、「p=reject」を推奨。これにより、英政府ドメインの多くで「p=reject」の運用が進んでいる
その他
- PCI DSS v4.0(2025年3月):クレジットカード情報を扱う企業に、2025年3月までに「フィッシング攻撃を検知し、担当者を保護するためのプロセスや自動化されたメカニズム」が要件化され、この要件への対応策として、DMARCの導入が推奨
| 影響のある地域 | 発表日/発行日 | 規制名・ガイドライン | 要点 |
| グローバル | 2024年2月 | Google Gmail送信者ガイドライン | 1日5,000通以上送信する事業者にDMARCを義務化(p=none可) |
| グローバル | 2024年2月 | Yahoo送信者ガイドライン | 同上 |
| グローバル | 2025年5月 | Microsoft送信者ガイドライン | 同上 |
| グローバル | 2025年3月 | PCI DSS v4.0 | クレジットカード情報を扱う企業に対しDMARCの導入を推奨 |
| 日本 | 2023年2月 | 経産省・警察庁・総務省 合同要請 | クレジットカード会社などにDMARC導入と「p=reject」での運用を要請 |
| 日本 | 2023年6月 | 政府統一基準 |
政府機関にDMARC導入を義務付け(「p=quarantine」、「p=reject」推奨) |
| 日本 | 2024年2月 | Yahoo!メール送信要件 | 1日5,000通以上の送信事業者にDMARCを義務付け(p=none可) |
| 日本 | 2024年2月 | NTTドコモ メール送信要件 | DMARC未導入メールに、なりすましメールの危険性があることの警告表示 |
| アメリカ | 2017年10月 | BOD 18-01(DHS) | 全連邦政府機関にDMARC導入と「p=reject」での運用を義務付け |
| アメリカ | 2024年7月 | FedRAMP | 認証を受けるクラウドサービス事業者にDMARC導入と「p=reject」での運用が要件化 |
| イギリス | 2018年 | 政府サイバーセキュリティポリシーハンドブックの原則:B3データセキュリティ | 政府機関にDMARC導入を義務付け |
| イギリス | 2018年 | GDS ドメイン利用ガイドライン | service.gov.ukドメインを利用するサービスはDMARCポリシーを公開し、「p=reject」することが推奨 |
なぜ「p=none」では意味がないのか?
DMARCの「p=none」は、導入初期には有効な「モニタリングモード」です。ドメインが攻撃されているか、どこから不正なメールが送られているかを把握する目的では役立ちます。
しかし、観測しているだけでは、実際に受信者に届くなりすましメールを防ぐことはできません。
攻撃者にとって「突破可能なドメイン」と見なされてしまいます。
そのため、先進国の政府機関は、「p=quarantine」や「p=reject」を“次の標準”として位置付けています。
DMARCエンフォースメントはブランド保護・BIMIの前提にも
BIMIは、メールボックスの送信ドメインの横にロゴを表示できる仕組みで、ユーザーに「このメールは本物です」と視覚的に示せる新しい認証技術です。
ただし、BIMIを使うにはDMARCのエンフォースメントが前提条件となっており、「p=none」ではBIMIは有効になりません。
つまり、DMARCのエンフォースメントは、単にセキュリティのためだけではなく、ブランディングや顧客信頼の可視化にもつながる仕組みと言えます。
まとめ
世界中の政府やメールサービス事業者は、DMARCのエンフォースメントを推奨・要請する方向に動いています。
これからの企業に必要なのは、送信メールを適切に管理することで、メール受信者を守り、同時に企業ブランドの信頼を高めることです。
まずはDMARCを導入し、レポートを見ながら少しずつポリシーを強化していく
――それが、「届くメール」と「信頼される企業」を守る一番の近道といえます。