日経225企業の306ドメインを
12項目でセキュリティ監査した
SPF・DMARC・DNSSEC・HSTS・CSP・security.txt・MTA-STS・BIMIなど12のセキュリティチェックを 日経225構成銘柄の全主要ドメインに対して自動実施。既存の調査ではカバーされていない Webセキュリティヘッダーやメール認証の実態を明らかにする。
概要
日経225構成銘柄の主要企業210社が運用する306ドメイン(.com、.co.jp、主要子会社ブランドを含む)に対し、 DNS・メール認証・Webセキュリティヘッダー・レジストラ設定の12項目を自動チェックした。
結果は深刻だ。平均スコアはわずか22.6/100。security.txtを設置しているのはたった8ドメイン(2.6%)、 MTA-STSを導入しているのは1ドメインのみ(0.3%)。HSTS導入率27.8%、CSP導入率9.8%と、 Webセキュリティヘッダーの対応も大幅に遅れている。
既存の調査(Proofpoint、TwoFive等)はDMARCの1項目のみを対象としている。 しかし、企業のドメインセキュリティはDMARCだけでは測れない。HSTS未設定によるダウングレード攻撃、 CSP未設定によるXSSリスク、security.txt不在による脆弱性報告経路の欠如—— これらは全て実際のインシデントにつながる要素だ。本調査は12項目の包括的評価を行った 日本初の公開レポートである。
既存調査との違い:なぜ12項目が必要か
日本における日経225企業のドメインセキュリティ調査は、これまで主に以下の2社が定期的に発表してきた:
- Proofpoint(年次)— DMARC導入率とポリシーレベルのみ調査。2025年12月調査では導入率92%、Reject設定は15%
- TwoFive(半年ごと)— DMARC導入率を詳細に追跡。2025年11月調査では9,882サブドメインを対象に88.9%が実質導入
これらの調査はDMARCの普及推進に大きく貢献している。しかし、DMARCはドメインセキュリティの 一要素にすぎない。現代の脅威環境では、以下の対策も同等に重要だ:
| 調査項目 | Proofpoint | TwoFive | PowerDMARC | DALI(本調査) |
|---|---|---|---|---|
| SPF | - | - | - | ✓ |
| DMARC | ✓ | ✓ | ✓ | ✓ |
| DNSSEC | - | - | - | ✓ |
| CAA | - | - | - | ✓ |
| HSTS | - | - | - | ✓ |
| CSP | - | - | - | ✓ |
| security.txt | - | - | - | ✓ |
| MTA-STS | - | - | - | ✓ |
| BIMI | - | - | - | ✓ |
| NS冗長性 | - | - | - | ✓ |
| レジストラロック | - | - | - | ✓ |
| サブドメインテイクオーバー | - | - | - | ✓ |
| 対象ドメイン数 | 225社 | 9,882 | - | 306 |
| インタラクティブレポート | - | - | - | ✓ |
| 個別スコアリング | - | - | - | ✓ |
| CSV一括ダウンロード | - | - | - | ✓ |
TwoFiveの調査はサブドメインを含む9,882ドメインと対象が広く、DMARCのポリシー継承を考慮した 精緻な分析を行っている点で優れている。本調査はDMARCの深度よりもチェック項目の幅に重点を置いている。 両調査は補完的な関係にある。
調査結果の詳細
メール認証(SPF・DMARC・BIMI・MTA-STS)
SPFとDMARCの導入はGoogleのメール送信ガイドライン改定(2024年2月)以降、急速に進んだ。 しかし、DMARCポリシーをrejectに設定しているのは19.6%にとどまる。 Proofpointの調査(15%)よりやや高いのは、.co.jpドメインの方がreject設定率が高い傾向にあるためだ。
MTA-STSはわずか1ドメイン(SOMPOホールディングス:sompo-hd.com)。 MTA-STSはSMTP接続のTLS暗号化を強制するプロトコルで、ダウングレード攻撃を防止する。 日本企業でのMTA-STS導入は事実上ゼロに近い。
DNS基盤(DNSSEC・CAA・NS冗長性)
DNSSEC導入率17.6%は、Fortune 500の7.1%と比較して高い。 これはJPRSが.jpドメインでDNSSECを標準サポートしていることが大きい。 一方、CAA(Certificate Authority Authorization)はわずか2.0%。 不正なSSL証明書の発行を防止するCAAレコードの設定は、日米ともに極めて低い。
Webセキュリティヘッダー(HSTS・CSP・security.txt)
これらの項目は既存の日本語レポートでは一切カバーされていない。
- HSTS(HTTP Strict Transport Security) — HTTPS接続を強制し、SSLストリッピング攻撃を防止。 導入率27.8%は、主要企業の約7割がHTTPダウングレード攻撃に対して脆弱であることを意味する。
- CSP(Content Security Policy) — XSS攻撃の影響を大幅に軽減する。 導入率9.8%は極めて低く、Fortune 500の18.0%と比較しても大きく後れを取っている。
- security.txt(RFC 9116) — セキュリティ研究者が脆弱性を報告するための連絡先を標準的に公開するファイル。 導入率2.6%(8ドメイン)。脆弱性を発見しても報告先が分からない状態が97%以上のドメインで続いている。
セキュリティ研究者が脆弱性を発見した際、security.txtが無いと報告先を特定できず、 結果として脆弱性が放置される。これは企業のリスクを増大させる。 security.txtの設置は数分で完了する最もコスト効率の高いセキュリティ対策の一つだ。
日米比較:日経225 vs Fortune 500
同じ12項目の方法論でFortune 500企業(5,000ドメイン)を監査した 別のレポートとの比較を示す。
| チェック項目 | 日経225(306ドメイン) | Fortune 500(5,000ドメイン) | 比較 |
|---|---|---|---|
| 平均スコア | 22.6 | 21.4 | 日本 +1.2 |
| SPF | 90.5% | 87.2% | 日本 +3.3 |
| DMARC | 79.4% | 78.1% | 日本 +1.3 |
| DNSSEC | 17.6% | 7.1% | 日本 +10.5 |
| BIMI | 5.2% | 3.2% | 日本 +2.0 |
| HSTS | 27.8% | 28.6% | ほぼ同等 |
| CSP | 9.8% | 18.0% | 日本 -8.2 |
| security.txt | 2.6% | 4.1% | 日本 -1.5 |
| MTA-STS | 0.3% | 0.6% | ほぼ同等 |
| CAA | 2.0% | 13.8% | 日本 -11.8 |
| レジストラロック | 27.8% | 62.4% | 日本 -34.6 |
日本が優位な項目
- DNSSEC(+10.5pt) — JPRSの.jpドメインにおけるDNSSEC標準対応が寄与
- SPF・DMARC — Google/Yahooの送信ガイドライン要件への対応が日本企業で急速に進んだ
- BIMI — 日本企業のブランド保護意識の高さが反映
日本が劣後する項目
- レジストラロック(-34.6pt) — 最大の差。日本のレジストラはデフォルトでclientTransferProhibitedを設定しないケースが多い
- CAA(-11.8pt) — SSL証明書の発行制御。日本企業はほぼ未対応
- CSP(-8.2pt) — XSS対策の要であるCSPの導入が米国企業の約半分にとどまる
.comと.co.jpのセキュリティ格差
本調査の特徴として、同一企業の.comドメインと.co.jpドメインを両方監査している。 その結果、明確なセキュリティ格差が見られた。
| 企業名 | .com スコア | .co.jp スコア | 差分 |
|---|---|---|---|
| トヨタ自動車 | 72 | 19 | -53 |
| 楽天グループ | 61 | 27 | -34 |
| ソニーグループ | 42 | 15 | -27 |
| 富士フイルム | 42 | 32 | -10 |
| 資生堂 | 16 | 36 | +20 |
| 花王 | 36 | 22 | -14 |
| 任天堂 | 37 | 22 | -15 |
多くの企業で.comドメインの方がセキュリティスコアが高い傾向がある。 これは、.comドメインがグローバルIT部門により管理され、最新のセキュリティ標準が適用される一方、 .co.jpドメインは国内のIT部門や外部ベンダーにより管理され、アップデートが遅れがちなためと考えられる。
注目すべき例外は資生堂で、.co.jpの方がスコアが高い。HSTS・CSPが.co.jp側でのみ設定されていた。
スコア上位・下位の企業
トップ5
| スコア | 企業名 | ドメイン | 注目機能 |
|---|---|---|---|
| 78 | トレンドマイクロ | trendmicro.com | HSTS, CSP, security.txt, BIMI |
| 72 | トヨタ自動車 | toyota.com | security.txt, HSTS |
| 62 | トヨタ自動車 | lexus.com | HSTS, security.txt |
| 61 | 楽天グループ | rakuten.com | DNSSEC, HSTS, BIMI |
| 54 | コナミグループ | konami.com | DNSSEC, CSP |
ワースト5
| スコア | 企業名 | ドメイン | 主な問題 |
|---|---|---|---|
| 0 | 三菱商事 | mitsubishicorp.co.jp | 全項目未対応 |
| 4 | アステラス製薬 | astellas.co.jp | SPFのみ |
| 4 | シマノ | shimano.co.jp | SPFのみ |
| 4 | 三井物産 | mitsui.co.jp | SPFのみ |
| 4 | 信越化学工業 | shinetsu.com | DMARC未設定 |
セキュリティ企業であるトレンドマイクロが最高スコアなのは当然とも言えるが、 78/100でも十分とは言えない。 100点に到達するには、DNSSEC・CAA・MTA-STSなどの追加対策が必要だ。
調査方法
本調査は、公開されているDNSレコードとHTTPヘッダーのみを使用した、非侵入的な外部監査である。
12のチェック項目と配点
| カテゴリ | チェック項目 | 配点 | 概要 |
|---|---|---|---|
| メール | SPF | 8 | 送信元IPアドレスの認証 |
| メール | DMARC | 6〜15 | ポリシーにより加点(none=6, quarantine=10, reject=15) |
| メール | BIMI | 5 | ブランドロゴ表示による正当性の視覚的証明 |
| メール | MTA-STS | 8 | SMTP TLS暗号化の強制 |
| DNS | DNSSEC | 12 | DNS応答の改ざん防止 |
| DNS | CAA | 6 | SSL証明書の発行元制限 |
| DNS | NS冗長性 | 5 | 2プロバイダ以上のネームサーバー |
| Web | HSTS | 10 | HTTPS接続の強制 |
| Web | CSP | 10 | コンテンツ読み込み元の制限 |
| Web | security.txt | 8 | 脆弱性報告の連絡先公開 |
| レジストラ | レジストラロック | 8 | 不正なドメイン移管の防止 |
| レジストラ | エンタープライズレジストラ | 5 | CSC Global等の利用 |
満点は100点。全チェックはPythonスクリプト(ThreadPoolExecutor使用)で自動実行し、
DNS問い合わせはタイムアウト4秒、HTTP問い合わせはcurlでタイムアウト8秒に設定。
User-Agentは DALI-Security-Research/2.0 を使用。
推奨アクション
以下の対策は設定のみで即座に効果が出る、コスト最小の施策だ。
- security.txtを設置する —
/.well-known/security.txtに連絡先・ポリシーを記載するだけ。securitytxt.orgで自動生成可能 - DMARCポリシーをrejectにする — none(監視のみ)からquarantine→rejectへ段階的に移行
- HSTSヘッダーを追加する —
Strict-Transport-Security: max-age=31536000; includeSubDomains - CAAレコードを設定する — 使用しているCA(Let's Encrypt等)のみを許可
- CSPヘッダーを追加する — まずは
Content-Security-Policy-Report-Onlyから開始し、段階的に厳格化