Blog
Email and Cloud Threats
BIMIとは?仕組みと導入手順
Email Account Threats

BIMIとは?仕組みと導入手順

Share with your network!
Yukimi Sohta

お客様宛てに送信するメールに会社のロゴを表示させたいと思うことはありませんか?

BIMI (Brand Indicators for Message Identification) とは、そうした機能を提供する新たな技術仕様です。

BIMI ができる以前は、正規のメールに対してメールボックス プロバイダーがどのロゴを使用するかを企業が指定する方法は、標準化されていませんでした。現在では、指定したドメインでの使用が許可されたブランドロゴを、対象のメールクライアントに表示させることができます。

ドメインが DMARC (Domain-based Message Authentication, Reporting and Conformance) を使用してメールを完全に認証すると、メールボックス プロバイダーはそのメールに BIMI ロゴを関連付けることができます。

image-20211013092838-1

図 1: BIMI ロゴをメールに表示させるにはドメインが完全に認証される必要がある
(ドメインの DNS における DMARC 認証が必要)

 

BIMI が必要な理由

BIMI が注目を集めているのは、企業がメールを通じて自社ブランドの認知を高めたいと考えたことが主な要因です。企業のメールを送信するドメインが DMARC により完全に認証されると、その企業のロゴがメールに表示され、より人々の目に留まりやすくなります。すでに一部の企業では、ロゴを表示したメールで顧客とのつながりに向上が見られています。

このようにBIMI はもともとはマーケティングキャンペーンの一環として、メールの送信時にロゴを表示させる手段として始まりました。しかしロゴの表示を実現するにあたって、正当な送信者であることを完全に認証する必要があります。これが、ある種のなりすまし詐欺を防ぐことから、セキュリティ対策と見なされることがあります。

 

BIMI の仕組み

BIMI を利用するには、まずドメインが送信するメール (または代替で送信されるメール) をすべて完全に認証する必要があります。このために、ドメインは認証された送信者を識別する SPF (Sender Policy Framework) レコードを公開し、送信するメールに DKIM (DomainKeys Identified Mail) で署名します。

使用するドメインに対して、なりすましメール対策となる DMARC レコードを公開すると、そのドメインから送信される完全に認証されたメールに対してBIMI レコードを公開できるようになります。BIMIレコードによって、メールクライアントが表示できるロゴを指定することができます。

ユーザーが登録したロゴをドメインが直接公開できるメールボックス プロバイダー (Yahoo など) もあれば、指定されたドメインによるロゴの使用が認証されていることの証明を求めるメールボックス プロバイダー (Gmail など) もあります。BIMI ロゴを幅広く使用する企業は、正規のマーク認証局 (MVA: Mark Verifying Authority) による認証マーク証明書 (VMC: Verified Mark Certificate) を申請することができます。本記事の執筆時点では、正規のマーク認証局(MVA)としては DigiCertEntrust が挙げられます。

 

BIMI を始めるには

BIMIの導入手順

図 2: BIMIの導入手順

 

企業が BIMI を導入するために必要な手順は次のとおりです。

  1. 自社のドメインまたは代替ドメインから送信されるすべてのメールを SPF や DKIM を使用して完全に認証します
  2. DMARC の「Reject (拒否)」 または100% 「Quarantine (隔離)」) ポリシーを公開します
  3. 所定の SVG (Scaled Vector Graphics) ポータブル/セキュア形式で BIMI ロゴを作成します
  4. ロゴに対する VMC を取得します
    ※このロゴは米国特許商標庁 (USPTO) や日本の特許庁など、正式な機関に登録された商標でなければなりません。
     つまり、事前にロゴの商標登録をおこなっておく必要があります。
  5. セキュアWebサーバーにホストしたロゴと VMC ファイルを示す BIMI レコードを公開します

このようにしてメールボックス プロバイダーがメールを認証すると、そのプロバイダーは関連付けられたロゴを表示できるようになります。

 

BIMI の導入にはどれくらいかかりますか?

BIMI を導入するにはさほど時間はかかりません。通常、有効なレコードの公開に必要なのはおよそ 15 分です。BIMI で使用する VMC を取得する際に、唯一時間がかかるポイントは、BIMIに登録するロゴが該当地域での認可された機関で商標登録されていることが求められる点です。USPTO を例に挙げると、商標登録をするのに 8 か月以上かかることもあります。これについては短縮する手段はまずありません。日本の場合は、主に特許庁への商標登録が必要です。

BIMI の導入には時間はかかりませんが、DMARC レコードの「None(モニタイングのみ)」の状態から「Reject (拒否)」ポリシーに設定を変更するまでには、BIMI レコードを公表するよりもはるかに長い時間がかかります。Proofpoint EFD (Email Fraud Defense) なら、DMARC の実装プロセスを加速し、組織での DMARC  Reject(拒否)に向けた効率的な運用を可能にします。

BIMI や導入手順などの詳細については、BIMI ワーキンググループの Web サイトでもご覧いただけます。プルーフポイントのお客様は、BIMI の導入について Proofpoint EFD (Email Fraud Defense) のプロフェッショナル サービス サポート担当者にお問い合わせいただくこともできます。

プルーフポイントは、Fortune1000社において、最も多くのお客様のDMARC対応を支援しています。(図3参照)

Fortune1000において3分の1以上をプルーフポイントがDMARC対応を支援

図 3: Fortune1000社中、353社がプルーフポイントによってDMARC対応

なかなかRejectまでDMARC設定を持っていくことが難しいというお客様へ、経験豊富なDMARC対応支援サービスもございます。ぜひお問い合わせください。

 

DMARCスタートガイド

 

Previous Blog Post
Next Blog Post