メインコンテンツへスキップ
日本の高等教育におけるDMARCの導入:現状と課題

日本の高等教育におけるDMARCの導入:現状と課題

2026年6月10日
エコシステムニュースセキュリティ・インサイト

2026年6月に実施した本DMARC導入調査では、日本の高等教育機関における約1,000の親ドメインを分析し、ITチームがドメインのセキュリティ確保において直面している課題について検証しました。 

日本の大学ドメインにおけるDMARCの導入は拡大しているものの、その多くは p=none に設定されており、可視性は確保されているものの、SPFやDKIMの認証に失敗したメールに対しては、強制措置は講じられていない。

DMARCについて詳しく知る

DMARCは、メールドメインの使用状況を可視化し、管理することを可能にするなりすまし防止技術です。

高等教育機関のITチームが直面する特有の課題

ヤフージャパン、ヤフー、グーグル、マイクロソフト、アップルといった主要なメールプロバイダーは、フィッシング詐欺を防止するため、大量送信者に対して基本的なDMARC準拠を義務付けていますが、日本の高等教育機関は、こうした監視方針から厳格な実施へと移行するにあたり、特有の課題に直面しています。

大学は、個人を特定できる情報(PII)、財務データ、研究記録、知的財産を大量に保有しているため、攻撃者にとって格好の標的となっています。部門間の連携不足、シャドーIT、そしてクラウドベースの学習管理システムやアプリケーションポータルを含む多数のサードパーティベンダーの存在が、電子メールを中核とする広範な攻撃対象領域を生み出しています。

特に日本やアジア地域におけるDMARCの導入は、サイバーセキュリティ対策の整備状況のばらつき、急速なデジタルトランスフォーメーション、そしてそれに伴うサイバー脅威の増加により、進展が鈍い状況にある。

日本における最近の高等教育機関での情報漏洩事例

日本有数の国立研究機関である東京大学において、悪意のある攻撃者が第三者の認証情報を盗用して不正アクセスを行った結果、研究用サーバーからデータが流出する被害が発生した。外部サーバーへのアクセスに成功した後、犯行グループは大学ネットワークへの接続を試み、侵入の範囲を拡大しようとした。大学側は、データの盗難やマルウェアのインストールが発生する前に、当該サーバーを隔離し、攻撃を封じ込めることに成功した。   

別の事例では、地域有数の教育病院であり、指定災害拠点病院でもある日本医科大学武蔵小杉病院が、院内システムを標的としたランサムウェア攻撃の被害に遭った。当初、氏名、住所、電話番号、生年月日を含む約1万件の患者情報が流出したが、調査が進むにつれてその数は約13万件にまで増加した。

フィッシング攻撃は依然としてランサムウェアをインストールするための主要な侵入手段ですが、DMARCを活用することで、ドメイン所有者はランサムウェアの配信試みを阻止することができます。CISAは「#StopRansomware」ガイドにおいて、ドメイン所有者に対し、SPF、DKIM、DMARCを使用して受信メールを認証し、メールのなりすましを防ぐよう推奨しています。

日本の高等教育界におけるDMARCの導入状況

日本の高等教育機関におけるDMARCの導入率とポリシー策定率 dmarcian

日本の高等教育セクターの公開DNSレコードを分析した結果、親ドメインの95%が、DMARCレコードが存在しない、レコードに誤りがある、あるいはDMARCレコードの p=none ポリシー(メール配信に影響を与えない監視フェーズ)が設定されているため、メール攻撃に悪用されるリスクから保護されていないことが判明しました。 

わずか2%のみが、 p=rejectによる完全な保護を受けているのはわずか2%であるのに対し、3%は p=quarantine ポリシーを採用しており、この場合、検証に失敗したメールはスパムフォルダに送信されます。 

DMARCポリシーレベルの表 dmarcian

以下に全結果を示します:

  • 51%にはDMARCレコードがありません。
  • 24%が p=none モニタリング段階において既往歴がある。
  • 20%はベストプラクティスに従っていないか、エラーがあり、その結果、ドメインが危険にさらされたり、可視性が確保されていなかったりする。
  • 3%は、次のようなDMARCポリシーを採用しています。 p=quarantineというDMARCポリシーを採用しており、これは p=rejectに移行する直前の段階である。
  • 2%は p=rejectとなり、DMARCが提供する保護機能を最大限に活用しています。 
日本の高等教育機関におけるDMARCエラー dmarcian

DNSデータが明らかにすること

サブドメインの多用

当社の調査範囲は企業のメールドメインに限定されていますが、教育機関におけるサブドメインの多用には注目すべき点があります。多くの教育機関では、組織のルートドメイン上にメインのウェブサイトをホストしつつ、企業のメールはサブドメイン経由で配信していることが判明しました。こうしたサブドメインの多くは適切なDMARC保護が施されていないため、一般ユーザーを容易に騙すことのできるフィッシング攻撃の格好の標的となっています。

DMARCレコードに関する問題

最も多く見られる問題(197のドメインで確認された)は、DMARCレコード自体は存在しているものの、エラーや不備があるため、機能していないか不完全な状態にあるというものです。最も一般的な問題は、集計レポートの送信先となるメールアドレスであるRUAタグが設定されていないことです。  

RUAを指定していないDMARCレコードは有効ではありますが、悪用されるリスクがあります。RUAの宛先が設定されていないと、ドメイン所有者は、誰が(あるいは何が)自分の名義でメールを送信しているのか、正当なメールが正しく認証されているのか、あるいは犯罪者が自分のドメインを悪用してなりすましを行っているのかといった情報を受け取ることができません。 組織はDMARCを設定して問題が解決したと思い込むかもしれませんが、それが機能しているのか、悪用されているのかを知る手段がありません。この死角は、保護者や生徒に機密性の高い連絡を送る学校を深刻なリスクにさらします。

15のドメインには、より具体的な問題があります。それは、これらのレポートの送信先として第三者(自ドメイン外のメールボックス)を認証するために必要なTXTレコードが、DNSに設定されていないことです。多くの組織は、この手順が必要であることを認識しておらず、その結果、監視設定から得られる情報は限定的となり、レポートデータが気づかれないまま破棄されてしまう可能性があります。 

RUAをdmarcianに設定することで、この問題は解決されます。ネイティブのRUAレポートは解析が困難な生のXMLファイルとして届くため、dmarcianのDMARC管理プラットフォームはこのデータを、セキュリティチームが認証上の不備、送信元の詳細、新たな脅威に関する洞察を得られるインタラクティブなダッシュボードを用いた分かりやすい可視化データに変換します。   

SPFレコードに関する問題

SPFレコードが存在しない

53のドメインには、SPFレコードがまったく設定されていません。SPF(Sender Policy Framework)、どのIPアドレスが当該ドメインを代表してメールを送信する権限を持っているかを受信メールサーバーに通知するものであり、メール認証の基盤となるものです。これがなければ、誰でも学校のドメインから送信されたように見えるメールを送ることができ、受信サーバーはそれが不正なものであることに気づくことができません。 

学校にとって、校長や事務室から送信されたように見せかけたなりすましメールは、効果的なフィッシングの手口となります。保護者や生徒は、学校からの連絡に対して本能的に、かつ即座に対応してしまうものです。正しいSPFレコードを公開する上での障壁となるのは、多くの場合、学校側にその必要性を認識する意識や、内部の技術的専門知識が不足している点にあります。 

破損したSPFレコード

SPFに問題がある62のドメインのうち、18はSPFレコードが無効であり、6は複数のSPFレコードを公開しています。どちらも異なる形で悪影響を及ぼします。

無効なSPFレコード(構文エラー、未サポートのメカニズム、または構造上の問題があるもの)は、受信メールサーバーによって、あたかもSPFレコードが存在しないかのように扱われ、公開しても何の保護効果も得られません。これは、メール認証対策は完了していると考えており、自身のレコードが気づかれないうちに機能していないことに気づいていない組織にとって、特に深刻な問題となります。 

複数のSPFレコードが存在することは、それ自体が問題となります。SPF仕様では、ドメインにはSPF TXTレコードが1つしか存在してはならないと明示されています。異なるチームやベンダーが、互いに調整することなく時間の経過とともに独自のレコードを追加した結果、複数のレコードが存在する場合、ほとんどのメールサーバーは認証に失敗したとみなします。 

当社がどのようにお役に立てるかご覧ください

dmarcianは、正当な送信元を特定し、正確なレコードを作成する際の試行錯誤を不要にする、ガイド付きのSPF設定機能を提供します。

先日、日本の教育機関のお客様との話し合いの中で、DMARCの真の価値を的確に突いた、非常に示唆に富む見解を耳にしました。

彼らは、DMARCの導入は単に自社の受信境界を守るための防御策ではないと指摘した。むしろ、それは「利他的なセキュリティアプローチ」であり、自社のドメイン名を含む電子メールを頼りにし、信頼している外部の関係者、パートナー、受信者を保護するために設計されたものである。

DMARCの即効性や直接的なメリットが必ずしも送信者に還元されるとは限らないため、日本の多くの教育機関が、その導入に向けて積極的な取り組みをまだ行っていないのは事実である。

しかし、DMARCの適用を実現することは、組織のセキュリティへの取り組みを公に示す強力な手段となります。主要なコミュニケーションチャネルをクリーンかつ安全な状態に保つことは、もはや任意の選択肢ではなく、企業の社会的責任とガバナンスに関わる問題です。最終的には、組織の長期的な信頼と評判を確固たるものにするための重要な柱となるのです。

—大塚雅弘、APACビジネス開発マネージャー

私たちは日本の学校を支援するためにここにいます

教育分野における信頼できるパートナーとして、dmarcianは教育機関がDMARC導入の複雑なプロセスを円滑に進められるよう支援することを専門としています。学校やその関連機関の独自のニーズに応えるため、学校が発展するために不可欠なエンタープライズレベルの保護機能を損なうことなく、予算の制約にも対応できる特別な価格設定とサポートパッケージを用意しています。

あなたのメールを頼りにしている人々を守るために

さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。

DMARCDMARCの導入DMARCのメリット調査

関連記事