ドメイン番人
DMARCメール認証Web 担当者ドメイン管理

デジタル庁ドメインガイドラインを解説

ドメイン番人5 分で読めます
目次

この記事でわかること

  • デジタル庁が示す go.jp ドメイン管理の基本方針と、なりすまし対策の位置づけ
  • 自治体(lg.jp)の DMARC 採用動向と 2026 年現在の整備状況
  • 公的セクターの厳格化が、民間中小企業にどのような波及をもたらすか

デジタル庁のドメイン管理方針とは

デジタル庁は、政府機関が利用する go.jp ドメインや関連サービスのドメインについて、なりすましや不正利用を防ぐための運用方針を整備してきました。背景にあるのは「政府機関等の対策基準策定のためのガイドライン」(統一基準群)であり、各府省庁・独立行政法人がメール認証を含むセキュリティ対策を実施するための共通ルールです。

特にメールに関しては、go.jp を騙ったフィッシングメールが税還付や給付金を装う事例が継続して観測されており、受信側の銀行・通信事業者・大手 Webメールから「公的機関ほど厳格な認証を期待される」状況が定着しています。

go.jp / lg.jp / co.jp / ac.jp の DMARC 採用率比較(推定)

公式情報はデジタル庁で随時公開されています。実際の府省庁ドメインを dig で確認すると、_dmarc.<domain>p=reject または p=quarantine を設定している例が多数を占めるようになりました。

ガバメントクラウドとドメイン運用

ガバメントクラウド(政府共通のクラウド基盤)への移行に伴い、各システムが利用するドメイン・サブドメインの設計や DNS 運用も標準化が進んでいます。クラウド事業者が異なっても、メール認証(SPF / DKIM / DMARC)の設定は発信元ドメインの責任で実装する必要があり、これは民間企業がクラウドメールを使う場合と本質的に同じです。

go.jp が満たす認証要件の水準

go.jp の運用では、なりすまし対策として以下の水準が事実上の標準となっています。

  1. SPF: -all(hardfail)が推奨
  2. DKIM: 2048bit 鍵、定期的なローテーション
  3. DMARC: p=reject を最終目標とした段階導入
  4. MTA-STS / TLS-RPT による経路暗号化の宣言

民間企業でよく見かける ~all(softfail)や p=none のまま放置、という運用は、公的セクターでは脆弱とみなされる傾向にあります。これは、go.jp の信頼性が高いほど詐欺メールに悪用される価値も高くなるため、運用側に高い水準が要求されるという力学が働くためです。

DMARC を none から reject に上げる手順は、民間中小企業でも基本は同じです。段階導入の進め方はDMARC 義務化はいつから?対応手順で解説しています。

自治体(lg.jp)の DMARC 採用状況

自治体ドメインである lg.jp の整備は、go.jp よりも遅れているのが実情です。背景には、自治体ごとに情報システム部門の体制や予算規模が大きく異なり、メールを地方公共団体情報システム機構(J-LIS)経由で運用するケースと、各自治体が個別にメールサーバを管理するケースが混在していることがあります。

2026 年時点で観測される傾向は次のとおりです。

  • 政令指定都市・中核市クラス: DMARC 設定率が比較的高く、p=quarantine 以上を導入する団体が増加
  • 町村レベル: DMARC 未設定や p=none のままのケースが残存
  • 共同利用システム(自治体クラウド): 共通の認証基盤を整備する動きが進行

公的セクター全体としては、住民へのなりすましメール被害(給付金詐欺など)の増加を受けて、DMARC 強化の方向に進んでいると考えてよいでしょう。

ガバメントドメイン要件の民間波及フロー

関連民間ドメインへの波及

go.jplg.jp と取引がある民間企業(公共調達のサプライヤー、自治体システムの委託事業者)では、メール認証の不備によって官公庁向けメールが拒否されるリスクが現実のものとなっています。実際、府省庁の受信側で DMARC 認証失敗のメールがフォルダ分け・拒否される運用が定着しており、「公共セクター宛のメールが届かない」という相談が増えています。

なりすまし対策の基本についてはなりすましメール防止の基本も併せて参照してください。

民間中小企業への示唆と対応の考え方

公的セクターの厳格化は、最終的には Gmail / Outlook / docomo / au などの大手受信側の基準と連動します。受信側からみれば、「公的機関すら DMARC を設定している時代に、民間ドメインが未設定であれば、より疑わしい扱いをすべき」という判断は自然な流れだからです。

民間中小企業が今から備えるべき項目は、次の 5 つに整理できます。

  1. SPF を ~all から -all に切り替えられる体制を整える: 送信元 IP の棚卸しが前提
  2. DKIM 鍵を 2048bit に統一する: 古い 1024bit 鍵が残っていないか確認
  3. DMARC を p=none で開始し、レポートを集める: 1〜3 か月単位で状況確認
  4. p=quarantinep=reject への段階引き上げを計画: 半年〜1 年スパンの工程表
  5. 取引先・公共セクターからの認証要件問い合わせに即答できるようにする: 設定一覧の文書化

ここまでの工事は、外注した場合の費用感として 1 万円〜数万円規模で対応できるケースが多く、自社内で対応する場合は数時間〜半日程度の作業量です。費用詳細はメールセキュリティ対策で整理しています。

2026 年は「設定して当たり前」の年へ

2024〜2025 年の Gmail / Outlook 義務化を経て、2026 年は「メール認証は設定されているのが当然」という前提で受信側が動く年になります。直近の対応優先度は2026 年に取るべきセキュリティアクションで整理しているので、未対応項目のチェックに使ってください。

自社の状況を確認してみませんか

設定状況がわからない方は、無料のドメイン診断で現状をチェックできます。 DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。 判断に迷う場合はお問い合わせからご相談ください。専門家がわかりやすくサポートいたします。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから