株式会社デージーネット(本社:愛知県名古屋市、代表取締役:恒川 裕康、以下:デージーネット)は、自社が無料で提供するメールサーバセキュリティ診断サービス『MSchecker(エムエスチェッカー https://mschecker.jp/ )』において、2023年1月~2023年12月に実施したセキュリティ診断の集計を行いました。この集計結果をもとに、デージーネットは日本企業のメールセキュリティ対策に警鐘を鳴らすべくメールサーバの安全性について課題の傾向・考察をまとめた統計レポートを公表します。
SPF/DKIMに対応しているか
■統計レポートサマリー
メールサーバのセキュリティ診断を行う『MSchecker(エムエスチェッカー https://mschecker.jp/ )』での統計結果から、メールのセキュリティ対策が進んでいることがわかりました。
・「安全(SPF(※1)/DKIM(※2)両方の実装と認証の合格)」の割合が2022年より13%増加
・DMARC(※3)は、36%の企業が対応済み
・「メールシステム要改善」の割合が8%減少
・「DNS等要改善」の割合が6%増加
・メールセキュリティの対策は進んでいるが、DNS等の周辺対策は未だ進まず
■MScheckerについて
MScheckerとは、現在利用しているメールサーバのセキュリティ状態を誰でも簡単に確認することができるサービスです。MScheckerでは、以下のセキュリティ項目が無料でチェックできます。MScheckerでは、検査希望ユーザにメールの送受信を行っていただき、次の項目について診断をしています。
・メールの通信が暗号化されているか(SSL/TLSメールの送受信)
・第三者によるメールの不正な中継が可能な状態になっていないか(メール不正中継)
・メール送信元がSPFレコードに登録されているか(SPFチェック)
・ドメインのDNSサーバに電子署名の公開鍵が正しく登録されているか(DKIMチェック)
・メールアドレスのドメインのDNS逆引きが正しいか(送信元DNS逆引き)
・ドメインのDNSサーバがDNSSECに対応しているか(DNSSEC対応)
・ドメインがDNSブラックリストに登録されていないか(DNSBL登録)
・メール送信元ドメインがDMARCレコードに登録されているか(DMARC対応)
上記の検索項目を元に、次の評価を行っています。
・危険 :メール不正中継が可能など危険な状態
・メールシステム要改善:SSL/送信ドメイン認証/逆引きDNS等、
必須のセキュリティ対策のいずれかが未対応
・DNS等要改善 :DNSSEC等の付随して推奨される
セキュリティ対策が未対応
・安全 :上記全てをクリア
・判定不能 :メール送受信不可など判定ができないケース
■Google社と米国Yahoo!社が発表したメール送信者向けのガイドライン
2024年2月より適用されるGoogleの「メール送信者のガイドライン」や、2024年第1四半期より適用される米国Yahoo!のガイドラインの提示・アップデートにより、Google社/Yahoo!社のドメイン宛にメールを送付しているメールプロバイダや企業、つまりほぼ全ての企業団体がガイドラインに沿った対応を求められています。
このガイドラインでは、メールの送信者がSPF、DKIM、DMARCなどの送信ドメイン認証に対応する必要がある旨が記載されています。ガイドラインに沿った対応を求められている要因には、Google社またはYahoo!社が受け取るスパムメールなどを減らし、ユーザを保護するという狙いの他に、インターネット全体のメールシステムへの注意喚起、セキュリティレベルの向上という狙いがあると考えられます。
この対応を行わない場合、GmailやYahoo!メール宛のメールが拒否されたり、迷惑メールとして分類されてしまう可能性があるなど、企業・個人問わず大きな影響が生じます。そこで、デージーネットは日本企業のメールセキュリティ対策に警鐘を鳴らすべく、統計レポートを公表いたします。
■メールサーバセキュリティ調査概要
調査期間:2023年1月1日(日)~2023年12月31日(日)
調査方法:メールサーバセキュリティ診断『MSchecker』( https://mschecker.jp/ )
調査対象:『MSchecker』にてセキュリティ診断を受けたドメイン
有効回答ドメイン数:214件(企業・個人含む)
■調査により判明したSPF/DKIM実装の状況
送信元ドメインの認証を行うために、SPFやDKIMという技術があります。統計結果から「安全(SPF/DKIM両方の実装と認証の合格)」の項目の割合が昨年と比較して13%増加しています。逆にSPF/DKIM両方の実装が無いケースの割合は昨年の16%から7%まで減少しました。
しかし、未だに34%の企業は、SPF/DKIMのどちらかに未対応という結果になっています。未対応の企業は、メール送信者向けのガイドラインにより、GmailやYahoo!メール宛のメールが拒否されたり、迷惑メールとして分類されてしまう可能性があります。
(参照:グラフ【SPF/DKIMに対応しているか】)
■調査により判明したDMARC実装の状況
DMARCの実装結果については、昨年よりも対応済みが5%増加し、36%のメールサーバがDMARCを実装という結果でした。この割合は上昇傾向ではありますが、ほぼ横ばいとも言える結果です。
今後、DMARCの対応をしないことにより、GmailやYahoo!メール宛のメールが拒否されたり、迷惑メールとして分類されてしまう可能性があります。
DMARCの対応を行うことで、送信元ドメイン認証に失敗したメールを受け取らせないなど、送信者側が受信側の処理を強制させることができます。つまり、自社になりすましたメールは受信者に拒否させる・隔離させるという設定や、そのまま受信させる設定をすることも可能です。
また、認証に失敗したときの詳細な認証情報を、送信者が受信者からレポートとして受け取ることができ、なりすましメールの送信元を把握したりメールセキュリティの対策について考えることができます。
DMARCに対応しているか
■診断総合評価からみるセキュリティ対策の推移
MScheckerでセキュリティ診断を受けたドメインのうち、「危険」と判定されていたメールサーバは、2022年の結果と比較すると0%から1%増加しました。その他、「メールシステム要改善」が8%減少し、「DNS等要改善」が6%増加しました。このことから、メールセキュリティ対策の実装が進み、DNS等の周辺対策がまだ行われていないということが分かります。
メールサーバセキュリティ総合評価
■考察
MScheckerを用いたメールサーバのセキュリティ診断では、2022年と比較しメールのセキュリティ対策が進んだことが明らかになりました。このことから、2022年から2023年の間で、最低限実施しておくべきメールサーバセキュリティの対策が講じられたことが分かります。
さらに、「DMARCに対応しているか」や「SPF/DKIMに対応しているか」の結果から、企業のメールサーバセキュリティ対策は、自社へのメールセキュリティ対策だけでなく、取引先や顧客へ影響のある「送信元ドメイン認証」などの対策強化への取り組みは進んでいるが、なかなか普及されていない状況であることが分かりました。
より早期に対策が推奨されていたSPF/DKIMについては世間的にも情報が広がり浸透していっているのに対し、DMARCについてはDMARC自体の認知や実装方法の情報不足などが原因になっていると考えられます。
一方で、昨年10月のGoogle社・米国Yahoo!社が公開した「メール送信者のガイドライン」により、DMARCの対応が必須として求められるようになります。この動きにより、DMARCの認知・実装も進んで行くと考えられます。
■参考URL
・ https://mschecker.jp/ (MSchecker)
・ https://www.designet.co.jp/system/ (デージーネットのシステム構築サービス)
・ https://www.designet.co.jp/system/support/ (デージーネットの導入後支援)
■用語注釈
(※1) SPF(Sender Policy Framewor)とは、電子メールの送信ドメイン認証を行うための技術のひとつです。認証情報にIPアドレスを使用し、送信元のメールアドレスが他のドメイン名になりすましされていないか検出します。
(※2) DKIM(DomainKeys Identified Mail)とは、電子メールの送信ドメイン認証を行うための技術のひとつです。SPFの認証方法とは異なり、電子署名を用いて検証を行います。なりすましメールやメールの改ざんなどの対策に有効です。
(※3) DMARC(Domain-based Message Authentication Reporting and Conformance)とは、なりすましメールやフィッシング攻撃の対策を目的とした、送信元ドメインを認証するための技術です。
■デージーネットについて
デージーネットは、メールサーバの構築やコンサルティングを行っている会社です。オープンソースソフトウェア(OSS)を利用し、お客様のご要望に応じたシステムをご提案しています。診断結果を受け、メールサーバの改善を行いたい場合には、サーバのリプレースや改善コンサルティングについてご相談を受け付けています。また、Google社・Yahoo!社が公開した「メール送信者のガイドライン」への対応も行っています。
【会社概要】
会社名: 株式会社デージーネット
代表者: 代表取締役 恒川 裕康
本社 : 〒465-0025 愛知県名古屋市名東区上社四丁目39-1
資本金: 4,000万円
URL : https://www.designet.co.jp/
<一般の方からのお問い合わせ先>
ITの新着プレスリリース
【パソコン工房 イオンタウン平岡店】が 【パソコン工房 札幌美しが丘店】に 大きく増床して移転リニューアルオープン! 最新パソコン、パーツ、周辺機器、中古PCなど品揃えを大きく拡充! 2月22日(土)より、「移転リニューアルオープン記念セール」を開催! さらに北海道地区のパソコン工房3店舗にて協賛セールを開催!
株式会社ユニットコム
1時間前
パソコン工房全店で2025年1月25日(土)より 「超 冬のパソコン祭り」を開催!「オススメ即納パソコン」や 「PCパーツ・周辺機器等の日替わりセール商品」など、 お買い得商品を全力でご提供!
株式会社ユニットコム
1時間前
CNPが次に現れたのはフォートナイト!? コミュニティと作り上げる新しいIPを活用した 「CNP×異世界ブロックパーティー」をリリース!!
ワールド・ハイビジョン・チャンネル株式会社
2時間前
ICTイノベーションフォーラム2024開催
総務省 国際戦略局 技術政策課、株式会社エム・シー・アンド・ピー
3時間前
紀陽銀行に温室効果ガス(GHG)排出量可視化プラットフォーム 「C-Turtle(R) FE」を導入 ~投融資先のGHG排出量も可視化し、 地域のカーボンニュートラル達成へ~
株式会社NTTデータ、株式会社NTTデータ関西
3時間前
ビジネスの新着プレスリリース
小田原市の便利屋「まるなげ本舗」が春の防犯キャンペーンを実施 ~新生活の安全をワンストップでサポート~
便利屋 まるなげ本舗
40分前
自死問題シンポジウム『生きごこちのいい社会を目指して』 横浜市市民文化会館 関内ホール 小ホールにて2月1日(土)に開催
神奈川県司法書士会
1時間前
イチナナ麻雀ライバー・ジョン主催のオンライン麻雀イベントを 3/20に開催!開催のためのクラウドファンディングを1/24に開始
イチナナ麻雀ライバー「ジョン」PR事務局
1時間前
介護が必要でもおでかけを楽しめる 「バリアフリーなおでかけ」 クラウドファンディングを開始
クリエイティブオフィス麦
3時間前
ICTイノベーションフォーラム2024開催
総務省 国際戦略局 技術政策課、株式会社エム・シー・アンド・ピー
3時間前
人気のプレスリリース
原作出版80周年 きかんしゃトーマスの世界展 ~はたらく機関車たちのおはなし~ 3月15日(土) ~京都鉄道博物館で開催決定
株式会社ソニー・クリエイティブプロダクツ、京都鉄道博物館
4時間前
【釣りの聖地・五島発】地域の魅力を発信! 五島の魚を使った「ものづくり工房」づくりの挑戦
西田商店
7時間前
Co-op引っ越しゲーム『Moving Out』、 ドタバタお料理アクションゲーム 『Overcooked!王国のフルコース』が新価格版で再登場! 2025年4月24日発売予定!2025年1月23日から予約受付開始
Game Source Entertainment
1日前
青森りんごを贅沢に使用した香り豊かなフルーツエール 「AWA Hour(あわあわー)」を2月1日(土)発売
株式会社A-WORLD
5時間前
ふるさと納税返礼品が満載! 山梨県忍野村が新作公式プロモーション動画を公開!
山梨県忍野村、株式会社ポニーキャニオン
8時間前
