オープンソースソフトウェア(OSS)を利用したシステムの提案&構築サービスなどを提供しているデージーネット。
そんなデージーネットが、自社で無料提供するメールサーバセキュリティ診断サービス『MSchecker』において、2025年1月~2025年12月に実施したセキュリティ診断の集計を行いました。
今回は、その集計結果をまとめた「2025年の日本企業メールセキュリティ対策調査結果」を紹介します。
デージーネット「2025年日本企業メールセキュリティ対策調査結果」
調査期間:2025年1月1日~2025年12月31日
調査方法:メールサーバセキュリティ診断『MSchecker』
調査対象:『MSchecker』にてセキュリティ診断を受けたドメイン
有効回答ドメイン数:127件(企業・個人含む)
本調査では、DMARC対応が前年より大きく進展した一方で、総合評価において「安全」と判定されたドメインの割合は前年から+8%にとどまり、DMARCを含むメール認証技術が十分に活用されていない実態が明らかになりました。
統計レポートサマリー
メールサーバのセキュリティ診断を行う『MSchecker』での統計結果から、メールのセキュリティ対策が進んでいることがわかりました。
DMARC(※1)対応
- DMARCに対応しているドメインの割合は75%(前年比+15ポイント)
DNSSEC(※2)対応
- DNSSEC対応率は17%(前年比+7ポイント)
総合評価
- 「安全」と判定された割合は前年より8%増加
- 一方で、「DNS等要改善」は依然として6割以上を占めている
- DMARCやDNSSECの対応が進む一方、運用面での課題が浮き彫りに
調査により判明したDMARC実装の状況
2025年の調査では、DMARCが「OK」と判定されたドメインの割合は75%となり、2024年の60%から15ポイント増加しました。
DMARCは、なりすましメールやフィッシング対策として重要な送信ドメイン認証技術であり、2024年2月より適用されたGoogleの「メール送信者のガイドライン」の影響もあり、対応が着実に進んでいることが分かります。
一方で、DMARCは設定を行うだけでなく、レポートを確認&分析し、継続的に運用することで初めて本来の効果を発揮します。
DNSSEC対応は改善するも、総合評価への影響は限定的
DNSの改ざん防止を目的としたDNSSECについても、対応状況に改善が見られました。
対応率は、2024年の10%から7ポイント増加して、2025年は17%という結果になりました。
ただし、DNSSEC対応は徐々に進んでいるものの、総合評価の大幅な向上にはつながっていない結果となりました。
※小数点以下を四捨五入しているため、合計は一致しない場合があります
総合評価から見るメールセキュリティ対策の現状
MScheckerによる総合評価では、「安全」と判定されたドメインの割合は2024年から増加したものの、+8ポイントとその伸びは限定的でした。
また、「DNS等要改善」と判定されたドメインは全体の63%を占めており、依然として多くのドメインがこの評価区分に分類されています。
「DNS等要改善」は、DNSSEC対応もしくはDNSブラックリスト登録がNGと判定されたドメインを分類する評価区分です。
重大な脆弱性を示すものではありませんが、DMARCを含むメール認証技術の効果を十分に発揮するために、改善が必要な状態であることを示しています。
※小数点以下を四捨五入しているため、合計は一致しない場合があります
考察
今回の調査では、DMARCに対応しているドメインの割合が前年から15ポイント増加した一方で、総合評価において「安全」と判定された割合の増加は8ポイントにとどまりました。
この差は、DMARCを設定したものの、他の設定改善や継続的な運用まで至っていないドメインが一定数存在することを示しています。
また、2025年時点でも「DNS等要改善」と判定されたドメインが全体の63%を占めており、DNSSEC対応やDNSの健全性といった周辺対策が十分に整っていないケースが多いことが分かります。
DMARCはDNS上の設定や送信環境全体と密接に関係する仕組みであるため、これらの前提条件が不十分な場合、DMARCの効果を十分に発揮できません。
これらの結果から、DMARCの導入自体は進んでいるものの、設定後にレポートを活用し、送信環境やDNS設定を継続的に見直すといった「運用」の段階まで到達していないドメインが多い可能性が示唆されました。
メールサーバセキュリティ診断サービス『MSchecker』
『MSchecker』とは、現在利用しているメールサーバのセキュリティ状態を誰でも簡単に確認することができるサービスです。
MScheckerでは、検査希望ユーザにメールの送受信を行って頂き、以下のセキュリティ項目について無料で診断が可能です。
- メールの通信が暗号化されているか(SSL/TLSメールの送受信)
- 第三者によるメールの不正な中継が可能な状態になっていないか(メール不正中継)
- メール送信元がSPFレコードに登録されているか(SPF(※3)チェック)
- ドメインのDNSサーバに電子署名の公開鍵が正しく登録されているか(DKIM(※4)チェック)
- メールアドレスのドメインのDNS逆引きが正しいか(送信元DNS逆引き)
- ドメインのDNSサーバがDNSSECに対応しているか(DNSSEC対応)
- ドメインがDNSブラックリストに登録されていないか(DNSBL登録)
- メール送信元ドメインがDMARCレコードに登録されているか(DMARC対応)
上記の検査項目を元に、次の評価を行っています。
- 危険:メール不正中継が可能など危険な状態
- メールシステム要改善:SSL/送信ドメイン認証/逆引きDNS等、必須のセキュリティ対策のいずれかが未対応
- DNS等要改善:DNSSEC等の付随して推奨されるセキュリティ対策が未対応
- 安全:上記全てをクリア
- 判定不能:メール送受信不可など判定ができないケース
DMARCの運用を最適化するサービス
デージーネットは、メールサーバの構築やコンサルティングを行っています。
OSS(※5)を利用し、お客様のご要望に応じたシステムをご提案しています。
診断結果を受け、メールサーバの改善を行いたい場合には、サーバのリプレースや改善コンサルティングについてご相談を受け付けています。
また、DMARCレポートを解析できるOSSの「parsedmarc」を活用し、DMARCレポート可視化ツールをアプライアンスサーバとして提供しています。
デージーネットのサービス
デージーネットでは、以下のようなサービスをご用意しています。
1.システムの構築
デージーネットでは、OSSを利用したシステムの提案&構築サービスを提供しています。
デージーネットで利用しているOSSは多岐にわたり、お客様に合ったOSSでシステム構築を行うことが可能です。
2.導入後支援サービス
デージーネットでシステムを構築した場合、Open Smart Assistanceという導入後サポートを提供しています。
継続してシステム管理のサポートを行うサービスで、以下のようなサポートがあります。
- Q&A
- セキュリティ情報提供
- 点検とチューニング
- 障害調査、障害回避
- 障害時オンサイト対応
- 障害時システム再構築
- 運用サービス
- ソフトウェアのアップデート
参考URL
用語注釈
(※1)DMARC(Domain-based Message Authentication Reporting and Conformance)とは、なりすましメールやフィッシング攻撃の対策を目的とした、送信元ドメインを認証するための技術です。
(※2)DNSSECとは、DNSの情報に電子署名を付けることで、DNSのデータが正式な発行元のデータであることを検証することができるようにするDNSの拡張仕様です。
(※3)SPF(Sender Policy Framework)とは、電子メールの送信ドメイン認証を行うための技術のひとつです。
認証情報にIPアドレスを使用し、送信元のメールアドレスが他のドメイン名になりすましされていないか検出します。
(※4)DKIM(DomainKeys Identified Mail)とは、電子メールの送信ドメイン認証を行うための技術のひとつです。
SPFの認証方法とは異なり、電子署名を用いて検証を行います。
なりすましメールやメールの改ざんなどの対策に有効です。
(※5)オープンソースソフトウェア(略称:OSS)とは、無償で利用でき、ソースコードが公開されているソフトウェアのことです。