Defaults.Exposed › 修正 › Guides
クライアントのセキュリティアンケートがメール認証について質問している — 午後1つで回答して(ギャップを)修正する(2026)
公開日 2026-07-08
データは 2026-06-29 時点 · メソドロジー v7。 261 百万採点済みドメインを対象とした集計センサスデータ — 個々のドメインの結果は公開しない。採点方法を参照。
クライアントが質問しているのは、欧州のサプライチェーンセキュリティルールが今やサプライヤーを確認することを義務付けているからだ。質問には2分間の出発点がある:無料スキャンが調べていることを正確に採点する。Defaults.Exposed センサス(2026-06-29 時点、261,086,232 ドメイン)によると、メール認証を完全にアライメントして適用しているドメインはわずか 7.4% — ほとんどのサプライヤーもまだ「はい」と答えられない。
午後の計画はこれだ:無料スキャンを実行し、1ページの採点済みレポートを読み、すでに真実のことに正直に答え、同日に無料のクイックウィンを修正する。より深いものには、日付入りレポートと短い改善メモが許容できる暫定的な回答だ — 根拠のない「はい」よりも優れている。
なぜ最大のクライアントが突然メールセキュリティについて質問してくるのか?
個人的なことではない。クライアントが NIS2 — EU のネットワーク・情報セキュリティ指令 — のスコープに含まれる場合、第21条第2項(d)がサプライチェーンのセキュリティを管理することを義務付けており、委員会実施規則(EU)2024/2690 がメールセキュリティを具体的に挙げる対策を詳細に定めている。そのため調達部門がすべてのサプライヤーにアンケートを送る;自社は NIS2 の対象でないかもしれないが、これが義務があなたにカスケードしてくる方法だ。デッドラインと結果 — 承認済みサプライヤーリストに残ること — は、クライアントが規制当局に確認を行ったことを示さなければならないため存在する。(NIS2 がメール認証について実際に何を言っているかを書いた。)保険会社も同じ質問をするようになっている — 更新フォームも同様なら、それはこの午後の保険版だ。
質問は実際に何を意味するか?
典型的なサプライヤーアンケートのメールセキュリティセクションは頭字語をまとった4つの質問だ。一度翻訳すれば後は省く。
| アンケートの質問 | 平易な英語での意味 | スキャンレポートがどう答えるか |
|---|---|---|
| 「DMARC ポリシーを適用しているか?」(DMARC — Domain-based Message Authentication, Reporting and Conformance) | 世界のメールサーバーにあなたのドメインを偽るメールを拒否するよう伝えたか?ほとんどのサプライヤーが失敗する項目:261,086,232 採点済みドメインのわずか 7.4% だけがこれをアライメントして適用している(2026-06-29 時点のセンサス)。 | ポリシーを述べて採点する。「適用済み」とは reject または quarantine;「監視のみ」はまだ何もブロックしない — 正直にどちらか述べる。 |
| 「SPF は制限的なポリシーで設定されているか?」(SPF — Sender Policy Framework) | あなたの会社としてメールを送ることを許可されたサーバーのリストを公開したか — そして「誰も他に」と確固として終わっているか、それとも「もしかすると他にも」とぼかして終わっているか? | リストが存在し、有効で、確固として終わっているか緩く終わっているかを示す。 |
| 「送信メールはデジタル署名(DKIM)されているか?」(DKIM — DomainKeys Identified Mail) | メールにあなたのドメインから来たことを証明する改ざん証拠署名があるか — プロバイダーのデフォルトではなくあなたの名前で? | あなたのドメイン名で署名が存在するかどうかを示す — プロバイダーデフォルトの罠はスキャンが見つける最も一般的なギャップだ。 |
| 「ドメインなりすましを監視しているか?」 | 誰かがあなたとして偽メールを送った場合、あなたはそれを知るか — それとも最初の兆候が怒りの電話になるか? | なりすましの試みがあなたに届くよう報告アドレスがオンになっているかどうかを示す。 |
これらすべてはドメインの公開設定から答えられる — 監査なし、代理店なし、システムへのアクセスなし。だから午後の計画が機能する。この4つはまた長いリストのメール行に過ぎない:サイバー保険とベンダーアンケートがドメインでチェックすることが調べるすべての管理項目を、それぞれのインターネット全体の合格率とともに表にしている。このページはあなたの午後に留まる — 何に答えるか、そして最初に何を修正するか。
デッドラインまでにどう答えるか?午後1つの計画
- defaults.exposed で無料スキャンを実行する — 2分、何かに触れる前に。 ドメインの公開設定を読み、上記4つの領域を正確に採点する。サインアップ不要、メールへのアクセス不要。
- 採点済みレポートを読む。 1ページ、平易な言葉、日付入り — 各評点がアンケートの質問に対応するので、推測ではなく実際の回答がわかる。
- すでに真実のことに答える。 レポートが合格を示している場所は、はいと言い理由を述べる(「独立したスキャンで確認済み」、日付付きで)。
- 同日に無料のクイックウィンを修正する。 一般的なギャップは購入ではなく設定だ:緩く終わる送信者リスト(SPF 修正)、欠けているかモニタリングモードのままのなりすましルール(DMARC 修正)、プロバイダーのデフォルト名での署名。すべて無料、ほとんど各1つの DNS レコード — 修正ページをドメインを管理する人に転送し、フォームが返送される前にいくつかの「いいえ」が「はい」になる。
- より深いものは、日付入りレポートと改善メモを送る。 適切に完全適用ポリシーに移行するには、まず数週間の監視が必要だ — 完了していないのに完了したと主張しない。「独立したスキャンを添付;適用ロールアウト進行中、9月目標」は有能な調達チームへの許容できる暫定的な回答だ。虚偽の「はい」はそうではない:調達チームは再確認する、多くの場合このようなスキャンで正確に。
このアンケートは実際に自社に有利に働くか?
はい — 他の全員が返送するものを考えると。ほとんどのサプライヤーは何も根拠のない単純な「はい」で回答するが、261,086,232 採点済みドメインのわずか 7.4% だけが実際に調査されているアライメント・適用済みの姿勢を持っている(2026-06-29 時点のセンサス)。ギャップと改善日付を示すものでさえ、日付入りの独立して採点されたレポートは根拠のない「はい」より優れている、一方は検証可能で他方は希望だから。完璧であることを求められているのではない;検証可能であることを求められている。そのリストの競合他社の多くはそうではないだろう。
そして本当に悩ましいのが交流イベントからの請求書詐欺の話なら — 同じ設定、同じ2分間のチェックだ。
よくある質問
デッドラインまでにすべてを修正できなかったら? 真実のことを送る:日付入りレポート、今週修正したこと、残りの日付入り計画。NIS2 サプライチェーンレビュアーはサプライヤーがリスクを管理しているかどうかを評価し、完璧かどうかではない — 改善メモのある採点済みレポートは文書によるリスク管理だ。失敗するのは沈黙、または再確認を生き残れない主張だ。
IT 担当者がこれを処理できるか? 無料の設定は、はい — 送信者リスト、独自の署名、なりすましルールは定型的な DNS 作業であり、上の修正ページはその引き渡し用に書かれている。担当者が合理的に範囲外と呼ぶのは判断層だ:どのポリシーを適用するか、締め付けるのが安全なのはいつか、その間クライアントに何を伝えるか。採点済みレポートがこれらの判断を文書に変え、どちらも即興しなくてよい。
本当にサプライヤーから外されるか? 空白の回答や発覚した虚偽の主張に対しては — 最終的には、はい;クライアントには規制当局に答える義務がある。改善日付のある正直なギャップに対しては — 非常に低い:採点済み全 261,086,232 ドメインのうち、これらのアンケートが尋ねるなりすましポリシーを適用しているのはわずか 10.59%(2026-06-29 時点のセンサス)。計画付きの誠実さがリストに残る。
NIS2 の対象外 — アンケートを無視できるか? 義務はクライアントのものであり、検証可能なサプライヤーを選ぶことで果たす。目立てる余地は大きい:採点済み全 261,086,232 ドメインのうち、メール認証をアライメントして適用しているのはわずか 7.4%(2026-06-29 時点のセンサス)。午後1つでそのサプライヤーリストのほぼ他のすべての名前より先に立てる。
IT 担当者にレポートを転送する
これを入力し直さない。無料スキャンを実行し、次にドメインを管理する人に2つのものを転送する:採点済みレポートとこの記事。レポートはどの設定を変更するかを正確に示す;修正ページがそのステップを提供する。修正済みレポートが戻ってくると、アンケートの回答はおのずと書かれる — 評点ごとに。それを保管する:次のクライアントも同じ4つのことを尋ねる、保険更新もすでにそうしている、そして5分で添付できる日付入りレポートが午後とファイヤードリルの違いだ。
ドメインをチェックする → · アンケートがドメインでチェックすること → · よく聞く請求書詐欺の話 → · 集計データのみ使用。データは EU 内で保存・処理。