チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「大学からのメールが本物か怪しい時、何で見分けたらいい?」
「DMARCって聞くけど、設定しているだけじゃダメなの?」
チップスボス、大学の9割以上はSPF入れているのに、ちゃんと守れているのは4.1%しかないって本当でしゅか?
ボスうむ、GMOブランドセキュリティが5月18日に発表した調査結果だ。形だけ整えても、運用が伴わなければ意味がない。大学に限らず日本全体の課題でもある。
本記事ではGMOブランドセキュリティが338大学を対象に実施したメールセキュリティ調査の結果と、組織が押さえるべきDMARC運用のポイントを整理します。
学生や保護者をフィッシングから守るためにも必読の内容です。
続きを読めば、なぜSPFだけでは不十分なのか、自組織のドメインをどう守るかが見えてきます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
SPFは普及していても、DMARCの本格運用は驚くほど少数派です。
まずは数字で実態を確認しましょう。
同調査は2026年4月6日時点で、国立85校・公立93校・私立160校の合計338大学のメインドメインを対象としています。
SPFの設定率は91.4%と高い水準ですが、DMARCを「reject」または「quarantine」で運用しているのはわずか4.1%にとどまります。
多くの大学はDMARC自体は宣言しているものの「none(監視のみ)」の状態で、なりすましメールを実際に遮断できていません。
DMARCポリシーの内訳は次のとおりです。
| DMARC設定 | 大学の割合 |
|---|---|
| reject(遮断) | 1.5% |
| quarantine(隔離) | 2.7% |
| none(監視のみ) | 過半数 |
| 未設定 | 8.0%(27校) |
SPFもDMARCも未設定の27校は、なりすましメールを技術的にまったく止められません。
大学ドメインは学生・保護者・取引先に強い信頼があるため、攻撃者にとって極めて利用価値の高い偽装先になります。
奨学金・授業料・採用関連を装ったフィッシングが届けば、受信者が疑う余地もなく被害が拡大します。
チップス大学からのメール、ちゃんと本物か区別できる仕組みがないとアウトでしゅね…
ボスうむ、信頼の高いドメインほど偽装の見返りが大きい。守りが甘い組織から狙われる。
DMARCを「宣言した」だけでは、なりすましは止まりません。
運用フェーズに入って初めて、フィッシング遮断という本来の効果が発揮されます。
DMARC運用の王道は、none(監視のみ)で正規メールの送信元を洗い出し、SPFとDKIMを整備したうえでquarantineへ、最終的にrejectへ昇格する段階移行です。
noneのまま放置していると、攻撃メールの可視化はできても遮断はできません。
「監視中」が長期化している組織は、レポート集計サービスを使って次のステップを見える化することが先決です。
運用を回す際に注意したいポイントを箇条書きにまとめます。
調査で浮かんだのは、設定の有無を表面的にチェックするだけでは安全とはいえないという事実です。
noneのままDMARCを宣言した状態は、コンプライアンス上の体裁を保てる一方、攻撃者からは「素通り」と判定されます。
監査や入札の評価軸として、ポリシーの中身まで踏み込んだ確認項目を加える動きが今後求められそうです。
チップス「やっている風」のセキュリティが一番危ないってことでしゅね…
ボスそのとおりだ。導入したか否かではなく、動いているか否かで測れ。
大学だけでなく、ブランドを背負うすべての組織に同じ課題が突きつけられています。
本調査から得られる行動指針を整理します。
チップスうちの会社、DMARCのレポートちゃんと見てるか確認するでしゅ!
ボスうむ、まずはレポートを読む癖をつけることだ。攻撃者の動きが見えるようになる。
詳しい情報はASCII.jpの記事とGMOインターネットグループのリリースを参照してください。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
