DMARCが日本のドメイン所有者のコンプライアンス証明にどのように役立つか
日本の規制環境は、現代のメールを悪用した脅威の現実に合わせて急速に進化しています。DMARCが提供する「可視化」と「制御」を通じて、日本の組織はデータ保護法やフィッシング対策ポリシーへの準拠(コンプライアンス)を実証し、政府、重要インフラ、そして民間部門にわたる信頼関係を強化することができます。
日本は長年にわたり、慎重な組織的慣行、責任の文化、そして安全な通信への共通のコミットメントによって築かれた、強力な「デジタル上の信頼(デジタル・トラスト)」の基盤を維持してきました。しかし現在、その基盤が試されています。
これまで日本語の複雑さは、不正メールに対する自然な防御壁となっていましたが、その優位性はほぼ消失しました。AIを活用した生成技術により、攻撃者は流暢で説得力のある日本語のコンテンツを機械的に大量生産できるようになり、かつて詐欺の目印となっていた言語的な違和感が排除されたためです。2025年5月には、世界の詐欺メールの80%以上が日本を標的にしていました。
その影響は数値にも現れています。2025年のインターネットバンキングにおける不正送金被害額は過去最高の104億円に達し、その90%をフィッシング詐欺が占め、件数は前年比73万件増の過去最高245万件を記録しました。企業被害だけでも前年比4倍の47億円に急増し、報告された偽サイト(フィッシングサイト)の数は初めて100万件を超えました。
日本の対応は、周到かつ体系的なものである。新たな法整備、政府基準の改定、省庁横断的な連携を通じて、日本は、他者に代わって電子メールを送信する組織が明確な責任を負うという、先を見据えたサイバーセキュリティ体制を構築している。DMARCは、その責任を果たす上で極めて重要な役割を果たしている。
日本の規制環境とDMARC
経済産業省(METI)と金融セクターのガイドライン
経済産業省は、クレジットカード決済のセキュリティ強化を目指す「3Dセキュア」プログラムの一環として、クレジットカード会社に対してDMARCの導入を指示しました。これは決済カード情報の安全性を定めた「PCI DSS」に匹敵する枠組みです。経済産業省は同様の要件を半導体製造業者にも拡大しており、メールのなりすましに対抗し、サプライチェーンの完全性を保護するために、取引条件にDMARCの導入を組み込んでいます。
政府統一基準
「政府機関およびその他の団体による対応基準策定ガイドライン」では、中央省庁および関連機関におけるフィッシングメール対策として、DMARCが推奨される措置として明示的に挙げられています。こうした公的ドメインにおいて、DMARCを導入することで、政府のブランドが、そのサービスを受ける市民に対して悪用されるリスクを低減することができます。
『政府機関および関連機関向けサイバーセキュリティ対策の共通基準』において、DMARCは明示的に言及されていないが、「同フレームワークでは、各機関に対し、電子メールに対するなりすまし対策の実施が求められており、これにはDMARC、SPF、またはDKIMが含まれる可能性がある」。 実際には、政府のエコシステム内で活動する機関やベンダーは、文書において「なりすまし対策」と総称されている場合を含め、DMARCの導入を、管理措置の検証可能な技術的証拠として提示することができる。
個人情報保護法(APPI)と分野別ルール
日本の「個人情報保護法(APPI)」は、サイバー攻撃や詐欺などによる個人データの漏えい、紛失、毀損を防止するため、組織に対して「必要かつ適切な措置」を講じることを義務付けています。DMARCは、資格情報の窃盗(クレデンシャルフィッシング)や個人データの侵害につながる「ドメインのなりすまし」を減少させることで、この善管注意義務を直接的にサポートします。SPF、DKIM、DMARCというメール認証コントロールを導入している事実は、組織が顧客を詐欺メールから保護する上で「怠慢ではない(必要な措置を講じている)」という証明になります。
メールプロバイダーによる要件
Google、Yahoo、米国Yahoo、Apple、Microsoftを含む国内外の主要メールプロバイダーは現在、大量送信者に対してDMARCの遵守を義務付けています。LINEヤフー株式会社はこの方針を明確に打ち出しています。
「Yahoo!メールを安心・安全にご利用いただくため、メール送信者の皆様には送信ドメイン認証の導入を推奨しています。SPF、DKIM、DMARC認証が導入されていない、または認証を通過しないメールは、迷惑メールと判定されたり、受信拒否されたりする可能性があります。
当社では、Yahoo!オークションやYahoo!ウォレット利用時にYahoo! JAPANから送信されるメールへの送信者認証の導入をはじめ、なりすましやフィッシング対策を強化していきます。また、銀行やクレジットカード会社などへの送信ドメイン認証技術の導入働きかけも予定しており、メールによる個人情報窃盗の未然防止の最大化に努めてまいります」
これは、日本のデジタルエコシステム全体において、DMARCが「当然満たすべき標準」になりつつあるという、業界全体の強い意志を示しています。
警察庁
日本の警察庁もDMARCを詐欺メールに対する有効な対策として位置づけており、未認証のメールを受信サーバー側で完全にブロックするよう指示する、最も強力な強制力を持つポリシーである p=reject(拒否) での導入を推奨すべく、パートナー機関と積極的に連携しています。
能動的サイバー防御法(ACD)とDMARC
2025年5月に批准された日本の「能動的サイバー防御法(ACD)」は、政府機関や企業のネットワークに新たな義務を課しています。DMARCは、同法の以下の核心的な要件と自然に合致をみせています。
通信(トラフィック)の監視: 同法は、脅威に対するネットワークトラフィックの継続的な監視を義務付けています。DMARCのレポート機能は、メールにおいてまさにこの可視性を提供し、セキュリティチームに対して、自社ドメインにおける正規の送信活動と不審な挙動の両方を構造的かつ継続的に可視化します。これにより、すでに手元にある証拠をもとに、脅威を特定し特定・隔離することができます。
24時間以内のインシデント報告: 同法は、重要インフラ事業者に対し、サイバーインシデントを検知してから24時間以内に報告することを求めています。DMARCのレポートインフラは、セキュリティチームがフィッシングやなりすまし事案を迅速に再構築(タイムラインの把握など)するために必要な、タイムスタンプ付きの詳細なドメインレベルのデータを提供し、社内対応と規制当局への開示に必要な文書化の両方を強力にサポートします。
「政府がより強力な防御策を講じるためには、個々の企業がDMARCをはじめとする標準的なテクノロジーを採用し、自社ドメインの安全性を自ら維持することが大前提であり、それが法制度の実効性を担保することに繋がります。日本のDMARC普及率は欧米に比べて遅れていると指摘されてきましたが、こうした法制化の議論と相まって、今後さらに導入が加速することは間違いありません」
—大塚正弘(dmarcian APACビジネス開発マネージャー)
dmarcianが提供できる支援
効果的なDMARCの導入は、単なる技術的な作業にとどまりません。それは、御社のメールの信頼性に依存している組織、顧客、そして市民に対するコミットメント(責任の証明)です。DMARC専門サービスのパイオニアとして、dmarcianは日本の組織がDMARCを「正確に」「完全に」「自信を持って」導入するために必要な、深い専門知識と専用ツールを提供します。
私たちは日本の組織を以下のように支援します。
- 経済産業省のガイドラインから能動的サイバー防御法の義務にいたるまで、日本のコンプライアンス枠組みへの適合をサポート。
- 推測や組織内の業務混乱を排除し、強制ポリシー(拒否)への構造化されたロードマップを用いて、DMARCを正しい方法で導入。
- 御社に代わって送信しているすべてのソースを把握し、メールエコシステム全体の完全な可視化を実現。
- 日本のメールセキュリティ基準が強化され続ける中で、進化するポリシーの一歩先を行く。
安全なメールを通じて信頼を築くことは、一回限りのプロジェクトではなく、継続的な取り組みです。私たちはそのすべてのステップをサポートします。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
