上場企業のDMARC設定率は?2026年実態調査
目次
この記事でわかること
- 東証プライム上場企業のメール認証(SPF・DMARC)の設定実態(自社調査の実数値)
- 「DMARCは設定済み」でも、なりすましメールを止められていない企業が多い理由
- 自社のドメインが同じ状態になっていないか、その場で確認する方法
調査の概要
「大企業はメールのなりすまし対策ができている」と思われがちです。実際はどうなのか、公開情報だけで確かめてみました。
対象は東証プライム市場の上場企業。東証が公開する上場銘柄一覧をもとに各社の公開コーポレートサイトのドメインを特定し、663社分のメール認証設定を集計しました(集計日: 2026年6月6日)。参照したのは DNS の公開情報(SPF・DMARC レコード)だけで、認証情報や非公開データ、個別企業のスコアは一切扱っていません。集計値の全体はドメイン健全性インデックスで公開しています。
なお SPF は RFC 7208、DMARC は RFC 7489 で標準化された、いずれもドメインのなりすまし対策に欠かせない仕組みです。
結果:大企業でも対策は道半ば
集計した663社の結果は次のとおりです。
- DMARC が未設定: 26.2%(なりすまし対策の土台がない状態)
- DMARC が p=none(監視モード)のまま: 50.8%(設定はあるが、なりすましを止めていない状態)
- SPF が未設定: 9.2%(送信元を宣言する基本設定すらない状態)
注目すべきは最初の2つです。DMARC が未設定の企業(26.2%)と、設定はしたものの監視モードで止まっている企業(50.8%)を合わせると、約8割の上場企業が、DMARC によって実際にはなりすましメールをブロックできていないことになります。
「設定率」だけを見れば DMARC を入れている企業は7割を超えます。しかし、その大半が後述する p=none のままで、対策が「効いている」状態には達していないのが実態でした。
なぜ「p=none」では守れないのか
DMARC には、なりすましメールを受け取ったときの扱いを決める「ポリシー」が3段階あります。
- p=none: 監視のみ。なりすましでもそのまま受信者に届く。レポートが届くだけ
- p=quarantine: なりすましを迷惑メールフォルダへ振り分ける
- p=reject: なりすましを受信拒否する。最も強い保護
つまり p=none は「様子を見るための初期設定」であって、保護そのものは働いていません。自社を装った請求書や案内が取引先に届いても、止める仕組みが動かない状態です。今回の調査で半数の企業がここで止まっていたのは、「DMARC を設定して安心してしまい、強化に進んでいない」ケースが多いことを示しています。
p=none から始めるのは正しい手順です。問題は、レポートで正規メールが正しく認証されていることを確認したあと、quarantine から reject へ段階的に強化していく工程が止まってしまうこと。設定の考え方はDMARCとは?中小企業が今すぐ対応すべき理由で、具体的な手順はDMARCレコードの設定方法でまとめています。
この結果は「大企業ほど対策が進んでいるとは限らない」ことを示しています。人員や予算のある上場企業でも半数が監視モード止まりなら、自社も例外ではないと考えるのが自然です。
なりすまし対策が不十分だと、自社ドメインを装ったメールで取引先がだまされる「ビジネスメール詐欺」のリスクが残り、Gmail や Outlook 側でも自社の正規メールが届きにくくなります。とくに Gmail と Microsoft は近年、送信者にメール認証の設定を求める方針を強めており、未対応のままだと到達率にも影響します。
自社はどうか:その場で確認する
自社のドメインが同じ状態になっていないかは、登録もインストールも不要で確認できます。
- まず総合スコアだけ見たい場合はドメインスコアプレビュー
- SPF・DMARC・SSL まで詳しく確認したい場合は無料ドメイン診断
どちらも DNS の公開情報を参照する簡易チェックで、数十秒で結果が出ます。p=none のまま止まっていないか、まずは現状を把握することから始めてください。設定の見直しや代行が必要な場合はお問い合わせからご相談いただけます。
まとめ
東証プライム上場企業663社を調べたところ、DMARC 未設定が26.2%、監視モード(p=none)のままが50.8%でした。設定率の高さとは裏腹に、約8割が実際にはなりすましをブロックできていないのが実態です。大企業でもこの状況である以上、自社の設定状況を一度確認し、p=none で止まっているなら段階的な強化を検討する価値があります。