Defaults.Exposed

Defaults.Exposed › レポート

NIS2はDMARCを義務付けているのか? メール認証とEUのサイバー衛生(2026年)

公開日 2026-06-29

**2026-06-29 時点の数値 · 方法論 v7。**国別ドメイン末尾(ccTLD。会社の登録地ではなく国の代理指標)ごとに集計した、261 百万のグレード付けされたドメインにわたる国勢調査データ。「なりすましを阻止できる」= 強制力のある DMARC ポリシー(quarantine/reject)。以下の NIS2 への言及は一般的なものであり、法的助言ではありません。評価方法はこちらをご覧ください。

**NIS2 は DMARC を名指ししていません。しかし「適切なサイバー衛生対策」を求めており、自社ドメインがメールでなりすまされるのを防ぐことは、サイバー衛生として最も基本的な部類に入ります。**EU の NIS2 指令(国内法化期限は 2024 年 10 月)は、重要事業者および基幹事業者に対し、サイバーリスクに対して適切かつ比例的な技術的対策を講じることを義務付けています。メール認証——SPF、DKIM、そして強制力のある DMARC ポリシー——は、その義務に対応する標準的ななりすまし対策です。国勢調査は、EU のほとんどのドメインがまだそこに至っていないことを示しています。

今日、EU のドメインはどれほど無防備か?

各国別末尾において、強制力のある DMARC ポリシーを持つドメインの割合(高いほど良い。残りはなりすましされ得る)。2026-06-29 時点:

国(末尾)なりすましを阻止できる
オランダ (.nl)29.43%
ポーランド (.pl)23.36%
ドイツ (.de)21.38%
スペイン (.es)15.02%
ベルギー (.be)14.91%
フランス (.fr)13.65%
スウェーデン (.se)10.18%
アイルランド (.ie)8.79%
イタリア (.it)5.24%

EU のトップであるオランダでさえ、なりすましを阻止できるドメインは 29.43% にとどまります。イタリアは 5.24% です。比較すると、世界全体の強制適用率はわずか 10.59%——つまりヨーロッパは世界をリードしながらも、それでも大多数の企業をなりすまし可能な状態のままにしています。

NIS2 の対象となる企業にとっての意味

あなたが重要事業者または基幹事業者である(あるいはそのサプライチェーンに含まれる)場合、メール認証は安価で、目に見え、説明のつく、実施しておくべき対策です:

NIS2 は「p=reject を設定せよ」と書かれたチェックリストを手渡してはくれません。しかし、指令が明白なリスクに対する比例的対策を求めるとき、誰でもなりすませる無防備なドメインは、弁明しがたいギャップです。

よくある質問

NIS2 は法的に DMARC を要求していますか? NIS2 は DMARC を名指ししていません。適切かつ比例的なサイバー衛生およびリスク管理対策を要求しており、メール認証(SPF/DKIM/DMARC)はメールなりすましリスクに対処する標準的な対策であるため、広く対象範囲内とみなされています。具体的な点はコンプライアンス顧問にご確認ください。

最低限のメール認証態勢とは何ですか? SPF と DKIM を公開し、DMARC を強制力のあるポリシー(quarantine または reject)に設定することです。p=none の DMARC レコードは監視はしますが保護はしません。

この点で EU 諸国はどう比較されますか? 2026-06-29 時点で、強制適用率は約 5.24%(.it)から 29.43%(.nl)の範囲です。EU のほとんどのドメインは依然としてなりすましを阻止できません。

修正には費用がかかりますか? いいえ——これは DNS 設定であり、変更は無料です。コストは、正しい順序で行うための時間です。

あなたのドメインの NIS2 関連のメール態勢を確認

あなたのドメインがなりすまされ得るか——そして何を修正すべきか——を、非公開かつ無料で確認できます。

ドメインを確認する → · DMARC を修正する → · ヨーロッパ対世界 → · 誰かがあなたのドメインをなりすませますか? → · 集計データのみ。データは EU 内で保存・処理されます。