TwoFiveは、日経225企業が管理・運用する5047ドメインについて、11月の送信ドメイン認証技術DMARC導入状況調査の結果を発表した。前回（2月・5月調査）に続き第2回となる。また、金融機関、流通関連、製造業にフォーカスして、大手企業が多い日経225に加え、証券コードを付与されている企業に対象を拡げ、10月のDMARC運用・活用状況を詳しく調べた結果も発表した。

　今回の調査結果によると、日経225企業は、全225社のうち124社（55.1％）がDMARCを導入しており、5月と比較すると半年で5.3％増加している。一方、証券コードを付与されている企業も含めて調査対象を拡大すると（金融：175組織、流通：705組織、製造：2188組織）、DMARC導入率は増加しているものの、その比率は2.6％－33.3％で、大手が多い日経225企業が先行していることが分かる。

　対象を拡大した調査で、DMARC導入後、次の段階として、どのようにポリシー運用やDMARCレポートを活用しているかに着目して見てみると、DMARCレポートを受け取る設定（ruaタグ）にしているドメインが80％以上あり、そのうち、半数程度がDMARCレポート分析を外部に委託している。DMARCレポートを活用できなければ、DMARCのメリットが生かされないが、大量のレポートデータの処理負荷をなくすだけでなく、専門的な知識とノウハウにより、DMARCレポートをより効果的に活用しようとしているものと考えられる。

　一方、日経225企業に限った調査では、ruaタグを設定しているドメインは66.0％にとどまっている。これは、DMARC導入は先行しているものの、DMARCレポートの活用の観点では十分とはいえず、今後のruaタグの設定率の向上が課題といえる。

　DMARCの認証でなりすましと判定された場合にどう取り扱うかを指示するポリシー設定は、none（何もしないで受け取る）、quarantine（隔離）、reject（拒否）の3つがあるが、noneの増加が顕著であるのに対して、強制力のあるポリシーであるquarantineやrejectの増加は緩やかとなっている。

　noneに設定すると、DMARCの認証に失敗したメッセージに対して受信サーバーは何もしないが、受信メールサーバーは認証結果の統計情報をレポートとして送信するため、自社ドメインになりすましている送信者を特定する情報が収集できる。

　また、DMARCレポートは、社員による想定しないメールの送信、意図しない経路でのメール送信が発見できるなど、メールの使われ方を可視化することにも活用できる。なりすましメール被害が増加するなか、none設定であっても、可視化する意識が高まっていることは歓迎するべき状況といえる。

　現時点で、強制力のあるポリシー（quarantine、reject）に設定しているのは、全体の約30％だが、none設定によるモニタリングを経て、今後、強制力のあるポリシーに変更してなりすましメールを制御する段階にステップアップしていくことが期待される。