企業のなりすまし対策を強化する高度なDMARC設定とは

大企業のメールセキュリティと到達率を最大化

2025年9月10日
著者: Milena Baghdasaryan
翻訳: 古川 綾乃

この記事はPowerDMARCのブログ記事 Best Advanced DMARC Configuration Tips for Enterprise-Level Security の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

主なポイント

1. エンタープライズ環境におけるDMARCは、フィッシング、なりすまし、ビジネスメール詐欺（BEC）対策に不可欠です。
2. 強力なDMARC戦略は、大規模組織が複雑なメール環境を管理し、すべてのドメインおよびサブドメインに一貫したセキュリティポリシーを適用するうえで役立ちます。
3. DMARCは、HIPAA、PCI DSS、GDPRなどの規制への準拠を支援する認証データや監査証跡を提供します。
   継続的な監視、レポート分析、設定の調整により、DMARCは一度導入して終わりではなく、継続的なセキュリティ運用プロセスとして取り組む必要があります。
4. PowerDMARCは、自動化、レポート機能、ポリシー管理を通じて、企業がDMARC運用を大規模に展開できるよう支援します。
5. 基本的な実装とは異なり、エンタープライズレベルのDMARCでは、進化する脅威に対応するため、正確なアライメント設定、複数のメール送信元の適切な統合、継続的なレポート分析が求められます。

DMARCはセキュリティ強化だけでなく、ブランドの信頼性向上、規制準拠の支援、安定したメール到達性の確保にも貢献します。
DMARCを拡張性と柔軟性を備えたフレームワークとして運用することで、企業は高度化する攻撃からメールシステムを長期的に保護できます。

高度なエンタープライズDMARC設定のヒント

p=noneによる監視運用から保護強化の段階へ進むには、適切な戦略とツールが必要です。
以下の高度な設定のポイントは、大規模組織が完全な保護（p=reject）を大規模に実現することを目的としています。

サブドメインポリシーを活用する

攻撃者は、なりすましキャンペーンの標的として、未使用または管理が行き届いていないサブドメインを狙うことがよくあります。
こうしたサブドメインは監視対象から漏れている可能性が高いためです。
さらに、親ドメインにDMARCポリシーを設定していても、必ずしもすべてのサブドメインが自動的に保護されるわけではありません。

このリスクを防ぐために、サブドメインポリシータグ「sp」を活用します。
正常なメール送信に使用しているサブドメインをすべて特定したら、組織ドメインのDMARCレコードにデフォルトの拒否ポリシーを設定できます。

このレコードは、DMARC認証に失敗したメインドメインおよびサブドメインからのメールを受信側で拒否するよう指示します。
特定のサブドメインに異なるポリシーを適用したい場合は、そのサブドメイン専用のDMARCレコードを設定する必要があります。

アライメントモードを適切に実装する

DMARCアライメントでは、「From」ヘッダーのドメイン（ユーザに表示される送信元ドメイン）が、SPFおよびDKIMで認証されたドメインと一致しているかを確認します。
アライメントには、緩和モードと厳格モードの2種類があります。

緩和アライメント（デフォルト）

「From」ドメインは、SPFまたはDKIMで認証されたドメインと同じ組織ドメインを共有している必要があります。
例えば、mail.yourcompany.com は yourcompany.com と同一組織ドメインとみなされます。
この設定は、多くの組織にとって実用的な選択肢です。

厳格アライメント（adkim=s、aspf=s）

「From」ドメインは、SPFまたはDKIMで認証されたドメインと完全に一致している必要があります。
最も高いレベルのセキュリティを実現できます。
ただし、送信に独自サブドメインを利用している一部のサードパーティサービスでは、運用上の問題が発生する可能性があります。

複数のメール送信元を統合する

高度なDMARC運用における最大の課題の一つは、多数のサードパーティ送信者を含む環境で、一貫したメール認証を維持することです。
そのため、以下の対応が必要になります。

すべての送信元を洗い出す

自社を代表してメールを送信するすべてのサービスを一覧化します。

各送信元でSPFとDKIMを設定する

各ベンダーと連携し、それぞれに必要な SPF include設定およびDKIM公開鍵を取得します。
また、各サービスに固有のDKIMセレクタを割り当てることで、署名管理と鍵ローテーションを容易に行えます。

DMARCレポートで継続的に監視する

p=noneモードでDMARCレポートを収集し、未承認または設定不備のある送信元を特定します。

フォレンジックレポートと集約レポートを有効にする

DMARCレポートは、メール認証状況を把握するための重要な情報源です。

集約レポート（rua）

XML形式で提供されるレポートで、自社ドメインから送信されたと主張するメールトラフィック全体の状況を把握できます。
IPアドレス、送信量、SPF・DKIM・DMARCの認証結果などが含まれます。

フォレンジックレポート（ruf）

DMARC認証に失敗した個々のメールについて、詳細かつよりリアルタイムに近い情報を提供します。
現在進行中のなりすまし攻撃の調査や、複雑な設定不備の分析に役立ちます。
ただし、個人を特定できる情報（PII）が含まれる場合があるため、プライバシー保護への配慮が必要です。

包括的なDMARCレコードの例は次のとおりです。

fo=1タグを設定すると、DMARC評価のいずれかの要素が失敗した場合にフォレンジックレポートが生成されます。

適用前に十分な監視を行う

いきなり p=reject に移行するべきではありません。
正当なメール配信への影響を防ぐため、段階的に適用することが重要です。

p=noneから開始する

監視モードとして運用し、メール配信に影響を与えることなく rua および ruf レポートを収集します。
組織の環境に応じて数週間から数か月にわたりレポートを分析し、すべての正規送信元の認証上の問題を解消します。

p=quarantineへ移行する

認証に失敗したメールを迷惑メールフォルダへ振り分けるよう受信側に指示します。
本格適用前に影響範囲を確認できる比較的リスクの低い段階です。
ユーザからの報告やレポートデータを継続的に確認します。

p=rejectへ移行する

すべての正規メールが適切に認証されていることを十分に確認できたら（理想的には99.9%以上）、p=rejectへ移行します。
p=rejectは、DMARC認証に失敗したすべてのメールを受信段階で拒否するよう受信側に指示します。

エンタープライズ環境におけるDMARCの大規模運用

数百または数千のドメインにわたってDMARCを管理するには、専用のツールとプロセスが必要です。

集中監視

XMLレポートを手作業で解析することは、大規模環境では非常に困難です。
組織がエンタープライズ資産管理ソフトウェアを利用して資産データを一元化されたダッシュボードに統合するのと同様に、エンタープライズはDMARCレポートアナライザーを利用して、すべてのドメインのレポートデータを単一のダッシュボードで解析・可視化し、運用負荷を軽減するべきです。

ガイド付きポリシー更新

APIアクセスを提供し、ポリシー更新を自動化できるDMARCプラットフォームの活用を検討してください。
これにより、一貫性を確保し、手作業によるミスを削減できます。

DMARCプロバイダと連携する

専任のエンタープライズDMARCプロバイダは、複雑な導入環境の管理、SPFの制限への対応、および脅威インテリジェンスのためのデータ解釈に必要な専門知識とツールを提供します。

よくある落とし穴とその回避方法

ここでは、避けるべき一般的な落とし穴を紹介します。

SPFのDNSルックアップ制限

SPFレコードは10回を超えるDNSルックアップを生成できません。
多くのサードパーティサービスを利用しているエンタープライズでは、この制限を超えることがよくあります。
その結果、SPFは失敗します。

これを解決するには、SPFレコードを監査し、冗長または不要なincludeメカニズムを削除してください。
SPFフラット化ツールやマクロを利用することで、10回のDNSルックアップ制限を自動的に超えないようにできます。

誤設定されたDKIMセレクター

各送信サービスは、それぞれ固有のDKIMセレクター（例: selector1._domainkey.yourcompany.com）を持つべきです。
重複したセレクターを使用したり、正しい公開鍵をDNSに公開しなかったりすると、DKIM認証が失敗する原因になります。

これを防ぐには、どのセレクターがどのベンダーに割り当てられているかを常に明確に記録しておくべきです。
DKIM検証ツールを利用して、DNSレコードが正しいことを確認してください。

サードパーティサービス認証の無視

マーケティングプラットフォームがDKIMで適切に設定されておらず、SPFレコードにも含まれていない場合、p=rejectへ移行するとそのメールはDMARCチェックに失敗します。
これを回避するには、徹底的な初期監査を実施し、新しいメール送信ベンダーを導入するための正式なプロセスを確立してください。
DMARC準拠は必須のステップであるべきです。

エンタープライズ向け導入におけるPowerDMARC

PowerDMARCがエンタープライズにとって優れた選択肢である理由は次のとおりです。

高い拡張性

PowerDMARCは大量のメールと多数のドメインを処理できるよう設計されており、優れたエンタープライズ向けDMARCソリューションです。

一元管理が可能

PowerDMARCは、一元化されたマルチテナントダッシュボードを提供します。
この直感的なUIにより、単一の「統合」プラットフォーム上でメール認証状況を容易に表示、監視、および管理できます。

幅広い機能を提供

PowerDMARCは、エンタープライズDMARCに加えて、他のプロトコル向けのジェネレーター、チェッカー、およびホスト型サービスも提供します。
これには、SPF、DKIM、BIMI、MTA-STS、およびTLS-RPTが含まれます。

AIによる高度な分析機能

PowerDMARCは、最新かつ高度なAI駆動型脅威インテリジェンスエンジンを利用して、複雑なDMARCレポートを分析し、問題を検出し、セキュリティギャップを特定します。
手厚いサポート体制を提供しています。
PowerDMARCは、12以上の言語で24時間365日の専門的なカスタマーサービスを提供し、円滑かつ安全な運用を支援します。

手厚いサポート体制

PowerDMARCには多数の学習リソースやガイダンス資料が用意されているため、初心者でも容易に利用できます。

多くの企業で採用されている

世界中の大企業がPowerDMARCを業務に利用しています。
G2の実際のユーザレビューに基づき、PowerDMARCは 2025年の急成長DMARCソフトウェア企業に選ばれました。

まとめ

中小企業は基本的なDMARC設定でも運用できるかもしれませんが、大企業ではそれだけでは十分とはいえません。
大規模組織には、サブドメインポリシー、厳格なアラインメント、および包括的なレポートなどの高度なDMARC設定が必要です。
しかし、その投資対効果は十分にあります。

ブランドなりすましリスクの低減、メール到達率の向上、および顧客やパートナーからの信頼向上といった効果が期待できます。
DMARCは一度きりのプロジェクトではなく、進化し続ける脅威環境や規制環境に対応するために継続的な監視と調整を行うプロセスであることを忘れないでください。
高度なDMARC設定の導入プロセスのどの段階であっても支援が必要な場合は、今すぐPowerDMARCへお問い合わせください。

よくある質問

大企業がBEC攻撃を受ける可能性はどの程度ありますか。

最大規模の組織（従業員数50,000人超）では、少なくとも週1回はBEC攻撃の標的になる可能性が極めて高いとされています。
あらゆる組織の中で最も高いリスクにさらされています。

大企業がさまざまな送信元からメールを送信しているというのは、具体的にどういう意味ですか。

大企業のメール送信元には、以下が含まれます。

• オンプレミスのメールサーバ
• クラウドプロバイダ（例: Google Workspace または Microsoft 365）
• マーケティング向けサードパーティベンダー
• カスタマーサポート
• トランザクションメール

p=noneは完全に避けるべきですか。

p=noneは、DMARC導入初期の監視フェーズでは非常に有用です。
ただし、最終的にはp=quarantineや、できればp=rejectのような、より強力な保護が必要になります。