![上場企業でも約8割がなりすましを止めていない](/blog/dmarc-adoption-japan-survey-2026/auth-stats.svg) ## この記事でわかること - 東証プライム上場企業のメール認証(SPF・DMARC)の設定実態(自社調査の実数値) - 「DMARCは設定済み」でも、なりすましメールを止められていない企業が多い理由 - 自社のドメインが同じ状態になっていないか、その場で確認する方法 ## 調査の概要 「大企業はメールのなりすまし対策ができている」と思われがちです。実際はどうなのか、公開情報だけで確かめてみました。 対象は**東証プライム市場の上場企業**。東証が公開する上場銘柄一覧をもとに各社の公開コーポレートサイトのドメインを特定し、**663社分**のメール認証設定を集計しました(集計日: 2026年6月6日)。参照したのは DNS の公開情報(SPF・DMARC レコード)だけで、認証情報や非公開データ、個別企業のスコアは一切扱っていません。集計値の全体は[ドメイン健全性インデックス](/reports/diagnose-data)で公開しています。 なお SPF は RFC 7208、DMARC は RFC 7489 で標準化された、いずれもドメインのなりすまし対策に欠かせない仕組みです。 ## 結果:大企業でも対策は道半ば 集計した663社の結果は次のとおりです。 - **DMARC が未設定: 26.2%**(なりすまし対策の土台がない状態) - **DMARC が p=none(監視モード)のまま: 50.8%**(設定はあるが、なりすましを止めていない状態) - **SPF が未設定: 9.2%**(送信元を宣言する基本設定すらない状態) 注目すべきは最初の2つです。DMARC が未設定の企業(26.2%)と、設定はしたものの監視モードで止まっている企業(50.8%)を合わせると、**約8割の上場企業が、DMARC によって実際にはなりすましメールをブロックできていない**ことになります。 「設定率」だけを見れば DMARC を入れている企業は7割を超えます。しかし、その大半が後述する p=none のままで、対策が「効いている」状態には達していないのが実態でした。 ## なぜ「p=none」では守れないのか ![p=noneは様子見、rejectで初めて止まる](/blog/dmarc-adoption-japan-survey-2026/policy-effect.svg) DMARC には、なりすましメールを受け取ったときの扱いを決める「ポリシー」が3段階あります。 - **p=none**: 監視のみ。なりすましでも**そのまま受信者に届く**。レポートが届くだけ - **p=quarantine**: なりすましを迷惑メールフォルダへ振り分ける - **p=reject**: なりすましを**受信拒否**する。最も強い保護 つまり p=none は「様子を見るための初期設定」であって、保護そのものは働いていません。自社を装った請求書や案内が取引先に届いても、止める仕組みが動かない状態です。今回の調査で半数の企業がここで止まっていたのは、「DMARC を設定して安心してしまい、強化に進んでいない」ケースが多いことを示しています。 p=none から始めるのは正しい手順です。問題は、レポートで正規メールが正しく認証されていることを確認したあと、quarantine から reject へ段階的に強化していく工程が止まってしまうこと。設定の考え方は[DMARCとは?中小企業が今すぐ対応すべき理由](/blog/what-is-dmarc)で、具体的な手順は[DMARCレコードの設定方法](/blog/dmarc-setup-guide)でまとめています。 この結果は「大企業ほど対策が進んでいるとは限らない」ことを示しています。人員や予算のある上場企業でも半数が監視モード止まりなら、自社も例外ではないと考えるのが自然です。 なりすまし対策が不十分だと、自社ドメインを装ったメールで取引先がだまされる「ビジネスメール詐欺」のリスクが残り、Gmail や Outlook 側でも自社の正規メールが届きにくくなります。とくに Gmail と Microsoft は近年、送信者にメール認証の設定を求める方針を強めており、未対応のままだと到達率にも影響します。 ## 自社はどうか:その場で確認する 自社のドメインが同じ状態になっていないかは、登録もインストールも不要で確認できます。 - まず総合スコアだけ見たい場合は[ドメインスコアプレビュー](/diagnose/preview) - SPF・DMARC・SSL まで詳しく確認したい場合は[無料ドメイン診断](/diagnose) どちらも DNS の公開情報を参照する簡易チェックで、数十秒で結果が出ます。p=none のまま止まっていないか、まずは現状を把握することから始めてください。設定の見直しや代行が必要な場合は[お問い合わせ](/contact)からご相談いただけます。 ## まとめ 東証プライム上場企業663社を調べたところ、DMARC 未設定が26.2%、監視モード(p=none)のままが50.8%でした。設定率の高さとは裏腹に、約8割が実際にはなりすましをブロックできていないのが実態です。大企業でもこの状況である以上、自社の設定状況を一度確認し、p=none で止まっているなら段階的な強化を検討する価値があります。