## この記事でわかること - デジタル庁が示す `go.jp` ドメイン管理の基本方針と、なりすまし対策の位置づけ - 自治体(`lg.jp`)の DMARC 採用動向と 2026 年現在の整備状況 - 公的セクターの厳格化が、民間中小企業にどのような波及をもたらすか ## デジタル庁のドメイン管理方針とは デジタル庁は、政府機関が利用する `go.jp` ドメインや関連サービスのドメインについて、なりすましや不正利用を防ぐための運用方針を整備してきました。背景にあるのは「政府機関等の対策基準策定のためのガイドライン」(統一基準群)であり、各府省庁・独立行政法人がメール認証を含むセキュリティ対策を実施するための共通ルールです。 特にメールに関しては、`go.jp` を騙ったフィッシングメールが税還付や給付金を装う事例が継続して観測されており、受信側の銀行・通信事業者・大手 Webメールから「公的機関ほど厳格な認証を期待される」状況が定着しています。 ![go.jp / lg.jp / co.jp / ac.jp の DMARC 採用率比較(推定)](/blog/digital-agency-domain-guideline/dmarc-adoption-by-tld.svg) 公式情報は[デジタル庁](https://www.digital.go.jp/)で随時公開されています。実際の府省庁ドメインを `dig` で確認すると、`_dmarc.` に `p=reject` または `p=quarantine` を設定している例が多数を占めるようになりました。 ### ガバメントクラウドとドメイン運用 ガバメントクラウド(政府共通のクラウド基盤)への移行に伴い、各システムが利用するドメイン・サブドメインの設計や DNS 運用も標準化が進んでいます。クラウド事業者が異なっても、メール認証(SPF / DKIM / DMARC)の設定は発信元ドメインの責任で実装する必要があり、これは民間企業がクラウドメールを使う場合と本質的に同じです。 ## go.jp が満たす認証要件の水準 `go.jp` の運用では、なりすまし対策として以下の水準が事実上の標準となっています。 1. **SPF: `-all`(hardfail)が推奨** 2. **DKIM: 2048bit 鍵、定期的なローテーション** 3. **DMARC: `p=reject` を最終目標とした段階導入** 4. **MTA-STS / TLS-RPT による経路暗号化の宣言** 民間企業でよく見かける `~all`(softfail)や `p=none` のまま放置、という運用は、公的セクターでは脆弱とみなされる傾向にあります。これは、`go.jp` の信頼性が高いほど詐欺メールに悪用される価値も高くなるため、運用側に高い水準が要求されるという力学が働くためです。 DMARC を `none` から `reject` に上げる手順は、民間中小企業でも基本は同じです。段階導入の進め方は[DMARC 義務化はいつから?対応手順](/blog/dmarc-mandatory)で解説しています。 ## 自治体(lg.jp)の DMARC 採用状況 自治体ドメインである `lg.jp` の整備は、`go.jp` よりも遅れているのが実情です。背景には、自治体ごとに情報システム部門の体制や予算規模が大きく異なり、メールを地方公共団体情報システム機構(J-LIS)経由で運用するケースと、各自治体が個別にメールサーバを管理するケースが混在していることがあります。 2026 年時点で観測される傾向は次のとおりです。 - **政令指定都市・中核市クラス**: DMARC 設定率が比較的高く、`p=quarantine` 以上を導入する団体が増加 - **町村レベル**: DMARC 未設定や `p=none` のままのケースが残存 - **共同利用システム(自治体クラウド)**: 共通の認証基盤を整備する動きが進行 公的セクター全体としては、住民へのなりすましメール被害(給付金詐欺など)の増加を受けて、DMARC 強化の方向に進んでいると考えてよいでしょう。 ![ガバメントドメイン要件の民間波及フロー](/blog/digital-agency-domain-guideline/government-to-private-flow.svg) ### 関連民間ドメインへの波及 `go.jp` や `lg.jp` と取引がある民間企業(公共調達のサプライヤー、自治体システムの委託事業者)では、メール認証の不備によって官公庁向けメールが拒否されるリスクが現実のものとなっています。実際、府省庁の受信側で DMARC 認証失敗のメールがフォルダ分け・拒否される運用が定着しており、「公共セクター宛のメールが届かない」という相談が増えています。 なりすまし対策の基本については[なりすましメール防止の基本](/blog/email-spoofing-prevention)も併せて参照してください。 ## 民間中小企業への示唆と対応の考え方 公的セクターの厳格化は、最終的には Gmail / Outlook / docomo / au などの大手受信側の基準と連動します。受信側からみれば、「公的機関すら DMARC を設定している時代に、民間ドメインが未設定であれば、より疑わしい扱いをすべき」という判断は自然な流れだからです。 民間中小企業が今から備えるべき項目は、次の 5 つに整理できます。 1. **SPF を `~all` から `-all` に切り替えられる体制を整える**: 送信元 IP の棚卸しが前提 2. **DKIM 鍵を 2048bit に統一する**: 古い 1024bit 鍵が残っていないか確認 3. **DMARC を `p=none` で開始し、レポートを集める**: 1〜3 か月単位で状況確認 4. **`p=quarantine` → `p=reject` への段階引き上げを計画**: 半年〜1 年スパンの工程表 5. **取引先・公共セクターからの認証要件問い合わせに即答できるようにする**: 設定一覧の文書化 ここまでの工事は、外注した場合の費用感として 1 万円〜数万円規模で対応できるケースが多く、自社内で対応する場合は数時間〜半日程度の作業量です。費用詳細は[メールセキュリティ対策](/blog/email-security-smb)で整理しています。 ### 2026 年は「設定して当たり前」の年へ 2024〜2025 年の Gmail / Outlook 義務化を経て、2026 年は「メール認証は設定されているのが当然」という前提で受信側が動く年になります。直近の対応優先度は[2026 年に取るべきセキュリティアクション](/blog/security-action-2026)で整理しているので、未対応項目のチェックに使ってください。 ## 自社の状況を確認してみませんか 設定状況がわからない方は、無料の[ドメイン診断](/diagnose)で現状をチェックできます。 DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。 判断に迷う場合は[お問い合わせ](/contact)からご相談ください。専門家がわかりやすくサポートいたします。