１．2023年の振り返り－DMARC導入が加速

2023年は業界問わずDMARC導入を促進する動きが活発化した年でした。特にインパクトが大きかったのは、10月に大手クラウド企業3社(Google、Yahoo、Microsoft)から発表された、 一定量のメールを送信する企業に対してのDMARC義務化の告知です。本記事では業界別にどのような告知がされているか、要請内容や対応期日について整理してみました。

2. 業界別 DMARC対策カレンダー

対応が求められている業界

① 一定量のメールを送信する企業

2023年10月にGoogle、Yahoo、Microsoftの3社が一括送信メールにDMARCを義務化する旨を告知しました。Google、Yahooについては2024年2月から新たに発表した送信者のためのガイドラインが施行されます。 もし要件を満たしていない場合、メールが迷惑メールフォルダに振り分けられたり、拒否されたりする場合があります。対象者や要件詳細につきましては、各ガイドラインをご確認ください。

対応期日：2024年1月まで(Google、Yahoo)、明記なし(Microsoft)
参照リンク：
・Googleはこちらとこちら
・Yahooはこちらをご確認ください。
・Microsoftはこちらとこちらをご確認ください。

② クレジットカード

2023年2月に経済産業省、警察庁及び総務省は、クレジットカード番号等の不正利用の原因となるフィッシング被害が増加していることに鑑み、クレジットカード会社等に対し、DMARCの導入をはじめとするフィッシング対策の強化を要請しました。

対応期日：2024年1月まで
参照リンク：
・クレジットカード会社等に対するフィッシング対策強化の要請はこちらをご確認ください。

③ 政府/自治体/独立行政法人

2023年7月に政府統一基準の改訂があり、基本対策事項として情報システムセキュリティ責任者は、「DMARC による送信側の対策を行う」「DMARC による受信側の対策を行う」と送受信両方の対応が明記されました。

対応期日：2024年7月まで
参照リンク：
・政府機関等の対策基準策定のためのガイドライン （令和５年度版）「6.2.2 電子メール」はこちらをご確認ください。

④ 流通小売企業

クレジットカード会員情報の保護を目的とした国際統一基準である、PCI DSS v4.0にフィッシング対策としてDMARC対応が明記されました。

対応期日：2025年3月まで
参照リンク：
・Payment Card Industry データセキュリティ基準 要件とテスト手順 v4.0はこちらをご確認ください。

⑤ 医療機関

2023年11月に医療ISACより、GoogleのDMARC義務化の発表を受け、 DMARC対応をしていない場合、送信したメールが先方に届かないといった問題が生じる可能性があること。さらに、職員を騙った大量のフィッシングメールが送信される被害事例が多数報告されており、医療機関もその例外ではないため、DMARC導入を推奨する旨を告知しました。

対応期日：明記なし
参照リンク：
・DMARC導入の推奨について(医療ISAC)はこちらとこちらをご確認ください。

3. まとめ

ここまで、様々な業界でのDMARCを取り巻く現状について整理してきました。これらの要請を受けて実際にDMARC導入の動きは加速しています。今後も業界を広げて要請の動きが進む可能性は非常に高く、急な対応を余儀なくされるかもしれません。
乗り遅れないためにも、これからDMARC導入を考えている方は、こちらの資料も参照してみてください。DMARC導入製品のProofpoint EFDについてより詳細な説明を含んでいます。 また、DKIM導入でお悩みの方は、こちらの資料もぜひご覧ください！