あなたのブランドは、思っている以上に多くの場所に存在しています。

Webサイトでは証明書によって検証され、SNSではプラットフォームのポリシーによって保護され、広告では商標法によって管理されています。

では、受信トレイの中について考えたことはありますか？

メールは、顧客がブランドと最も頻繁に接する場所です。領収書、確認通知、ニュースレター、サポートからの返信。日々送られる何十億通ものメッセージが、あなたの名前とブランド（reputation）を運びます。

しかし多くの組織は、他のブランド接点と同じようにはメールを保護していません。南京錠アイコンも、真正性を示す視覚的なサインも、正規メールと不正メールを顧客が簡単に見分ける手段もありません。

攻撃者はそれを知っています。だからこそ、メールを使ってブランドになりすまし、本物と見分けがつかないフィッシングメールを送ります。顧客がだまされれば、被害を受けるのはあなたのブランドです。

ブランド保護はWebサイトで終わりません。あなたの名前が表示されるあらゆるチャネルに広がります。それには受信トレイも含まれます。

以下では、DMARC と BIMI がどのように連携して、メール上でブランドを保護し、なりすましを根本から防ぎ、送信するすべてのメッセージで顧客のトラストを築くのかを説明します。

あなたのブランドは受信トレイの中にある

顧客がメールを通じてどれほど頻繁にあなたのブランドと接しているか、考えてみてください。

• 注文確認
• 配送通知
• パスワードリセット
• マーケティングキャンペーン
• アカウント通知
• サポートチケット
• 請求書

多くの企業にとって、メールは顧客関係における最も頻繁な接点です。SNSよりも、Webサイトよりも、広告よりも多いこともあります。しかし、これらの他チャネルと異なり、メールには真正性を検証する仕組みが標準で備わっていません。

顧客がWebサイトにアクセスすると、ブラウザが証明書を確認します。南京錠アイコンは接続が安全でサイトが正規であることを示し、問題があれば警告が表示されます。

一方、顧客がメールを受け取っても、同様のことは起こりません。メッセージは届き、送信者名やロゴが表示され、顧客は見た目を頼りに信頼するかどうかを判断します。

このギャップを攻撃者が悪用します。

巧妙に作られたフィッシングメールは、本物とほとんど区別がつきません。同じロゴ、同じ書式、同じ文面。違いは送信者だけですが、多くの顧客にはそれを検証する手段がありません。

顧客の受信トレイに不正メールが届くたび、あなたのブランドは危険にさらされます。あなたが送っていなくても、その評判はあなたに結び付けられてしまいます。

メールなりすましのコスト

メールのなりすましは、単なるセキュリティ問題ではありません。ブランドの問題です。

攻撃者があなたのドメインを使ってフィッシングメールを送ると、顧客は攻撃者を責めません。あなたを責めます。積み上げてきたトラストは、不正メールのたびに損なわれます。

FBIのInternet Crime Reportでは、2024年だけでビジネスメール詐欺（BEC）による損失が27億ドル超に上ったと報告されています。フィッシングは依然としてデータ侵害の最も一般的な初期侵入経路です。

しかし、これらの数字だけでは全体像は見えません。攻撃が成功した後に起こることを考えてみてください。

• 顧客がコミュニケーションに自信を失う
• サポートチームに苦情や問い合わせが殺到する
• 法務・コンプライアンスチームが対応に追われる
• マーケティングチームがトラスト回復に苦戦する
• 以後のメールが無視されたり、不審として扱われたりする

たった一度のフィッシングキャンペーンが、長年のブランド構築を台無しにしかねません。

そして攻撃は止まりません。メールは認証を前提に設計されていないため、なりすましが容易です。誰でも、誰にでもなりすまして送信できます。「From」欄は単なるテキストにすぎません。

このギャップに対処しない組織は、眠らない継続的な脅威に対してブランドをさらしたままにしていることになります。

DMARCがドメインを守る仕組み

DMARC（Domain-based Message Authentication, Reporting, and Conformance）は、メールにおけるブランド保護の基盤です。ドメインレベルで送信者のID（identity）を検証し、メッセージが許可された送信元から来たことを確認します。DMARCは、次の2つのプロトコルを土台にしています。

1. SPF（Sender Policy Framework）：ドメインを代表してメール送信を許可するサーバを指定します。DNSに承認済みIPアドレスの一覧を公開し、受信側サーバは送信元IPがその一覧に含まれるかを確認します。
2. DKIM（DomainKeys Identified Mail）：送信メールに暗号署名を付与します。送信側は秘密鍵で署名し、受信側はDNSから公開鍵を取得して、署名が正しいこととメッセージが改ざんされていないことを検証します。

DMARCは、SPFまたはDKIMが成功したか、そしてその結果が可視の「From」アドレスのドメインと整合しているかを確認します。認証に失敗した場合、DMARCは受信側サーバに対して次の対応を指示します。

• p=none：メッセージは配信するが、ドメイン所有者にレポートを送信する
• p=quarantine：迷惑メールに振り分ける
• p=reject：メッセージを完全にブロックする

最終的に重要なのは「強制（enforcement）」です。DMARCがp=noneのドメインは監視しているだけで、保護していません。不正メールは配信され続け、顧客はあなたの名前が付いたフィッシングを受け取り続けます。

p=quarantine または p=reject では、未承認の送信者がブロックされます。なりすましは失敗し、顧客が受け取るのはあなたが許可したメールだけになります。

これは、先回りのブランド保護です。攻撃が起きてから対応するのではなく、発生源で防ぎます。

BIMIとは

DMARCはなりすましを止めますが、受信トレイでのブランド構築により大きく寄与するのがBIMIです。

BIMI（Brand Indicators for Message Identification）は、対応する受信トレイで、あなたの検証済みブランドロゴをメールの横に表示します。これは、そのメッセージが本物であり、あなたが管理し、安心して信頼できることを示す視覚的シグナルです。

SNSの認証バッジのメール版といえます。顧客はロゴを見て、そのメールが本物だと分かります。

BIMIの仕組みは次のとおりです。

1. DMARCを強制（enforcement）に設定する。BIMIには、DMARCポリシーがquarantineまたはrejectであることが必要です。
2. BIMIレコードの公開。DNSに、特定URLでホストされたロゴファイル（SVG形式）を指すレコードを追加します。
3. Verified Mark Certificate（VMC）。主要な受信トレイの多くでロゴを表示するには、信頼できる認証局（CA）が発行するVMCが必要です。VMCは、商標の所有とロゴ使用権限を確認します。

3つがそろうと、参加するメールボックスプロバイダ（Gmail、Yahoo、Apple Mailなど）が、認証済みメールの横にあなたのロゴを表示します。結果としてブランド認知は即時に高まり、メールは目立つようになります。顧客は開封前に正規メールだと判断できます。

BIMI対応状況を無料で確認する

BIMIがブランドトラストを築く仕組み

BIMIは、メール認証を防御策からブランド資産へと変えます。

BIMIがない場合、メールセキュリティは顧客に見えません。SPFとDKIMはプロトコルレベルで動作するため、顧客は認証済みかどうかを知ることができません。

BIMIがあれば、認証が可視化されます。ロゴが表示され、顧客はそれを目にします。送信するたびにトラストが強化されます。

• 認知の向上：ロゴが一貫して表示され、親しみと想起を高めます。
• エンゲージメントの向上：BIMIは開封率を最大20%向上させる可能性があります。認知しやすいロゴは受信トレイで目を引きます。
• 視覚的な差別化：なりすましはあなたのロゴを表示できません。名前や書式は真似できても、検証済みマークは再現できません。顧客はそれを見るようになります。
• 競争優位：BIMIを導入していないブランドはまだ多く、先行導入企業は目立ちます。検証済みロゴがない競合よりも、よりプロフェッショナルで信頼できる印象を与えます。
• 顧客教育：時間とともに、ロゴが「安全なメール」を意味することを顧客が学びます。表示がないメールは疑わしく見えるようになり、自然なフィッシング対策になります。

さらにBIMIは、開封されなくても、すべてのメールをブランド接触の機会に変えます。

VMCとBIMIの関係

BIMIは、表示したいロゴの所有を証明することを求めます。そこで必要になるのがVerified Mark Certificateです。

VMCは、（デジサートのような）信頼できる認証局（CA）が発行するデジタル証明書で、次を確認します。

• ロゴの商標を所有していること
• メールで使用する権限があること
• ロゴがBIMIの技術要件を満たしていること

手続きには商標の検証が含まれ、Webサイト向けのExtended Validation SSLが組織の実在性を検証するのと同様の考え方です。CAは商標登録を確認し、ロゴをドメインにひも付ける証明書を発行します。

主要なメールボックスプロバイダの多くは、VMCなしではロゴを表示しません。特にGmailは、BIMIロゴの表示にVMCを求めます。

ここで強力な連携が生まれます。

• Valimailが、DMARCの強制（enforcement）到達とBIMIレコード実装を支援する
• デジサートが、ロゴ所有を認証するマーク証明書を発行する
• 両社の連携により、受信トレイ上での検証済みブランド表示が可能になる

VMCは単なる技術要件ではありません。真正性の証明です。信頼できる第三者が商標記録に基づいて検証し、ロゴがあなたのものであることを保証します。

ブランドをBIMI対応にする方法

ブランドでBIMIを有効化するための手順は次のとおりです。

1. DMARCを強制（enforcement）に到達させる
2. ロゴを準備する
3. ロゴを商標登録する
4. Verified Mark Certificateを取得する
5. BIMIレコードを公開する
6. テストと監視を行う

1. DMARCを強制（enforcement）に到達させる。

BIMIには、DMARCポリシーをquarantineまたはrejectにする必要があります。p=noneのままであれば、まず強制（enforcement）に向けて移行します。

具体的には次を行います。

• 所有する全ドメインの棚卸し
• 許可された送信者すべてに対してSPFとDKIMを設定する
• DMARCレポートを確認してギャップを特定する
• ポリシーをnone → quarantine → rejectへ段階的に移行する

多くの組織は、代理でメールを送っているサービスの多さを過小評価しがちです。マーケティングプラットフォーム、CRM、サポートツール、トランザクションシステムなど、強制（enforcement）を安全に行う前に、それぞれを承認済みにする必要があります。

2. ロゴを準備する。

BIMIにはロゴファイルに要件があります。

• SVG Tiny PS形式（特定のSVGプロファイル）
• 正方形のアスペクト比
• 小さなサイズでも表示しやすい中央配置のデザイン
• 鮮明にレンダリングできない文字や細部を含めない

デザインチームと連携して、BIMI準拠のロゴを作成してください。さまざまなサイズやメールクライアントでの見え方もテストします。

3. ロゴを商標登録する。

VMCには登録商標が必要です。ロゴが未登録の場合は、まず商標登録を完了する必要があります。数か月かかることがあるため、計画的に進めてください。

すでに商標がある場合は、VMC発行者が認める管轄で登録されていることを確認してください。

4. Verified Mark Certificateを取得する。

デジサートのような信頼できる認証局を通じて、VMCまたはCMCを申請します。手続きには次が含まれます。

• 商標関連書類の提出
• 組織の実在性確認
• BIMI準拠ロゴファイルの提出
• 各種バリデーションチェックの完了

発行後、VMCはロゴをドメインにひも付け、対応する受信トレイでの表示を可能にします。

5. BIMIレコードを公開する。

ロゴとVMCを指すDNSのTXTレコードを追加します。形式は次のとおりです。

default._bimi.yourdomain.com

このレコードには、ロゴファイルとVMC証明書のURLが含まれます。

6. テストと監視を行う。 

BIMIレコードが正しく公開されていることを確認します。対応するメールボックスプロバイダにテストメールを送信し、ロゴが表示されることを確認します。ロゴ表示を妨げる認証失敗がないかを監視します。

あらゆる受信トレイでブランドを守る

ブランド保護は、先回りで行うべきです。

偽造品が出回ってから商標を守ることはしません。Webサイトが侵害されてから証明書を導入することもしません。そして、フィッシングが起きてからメールを保護するべきでもありません。

• DMARCは、なりすましを発生源で止めます。強制（enforcement）が有効であれば、攻撃者はあなたのドメインを正しく詐称できません。顧客が受け取るのは、あなたが許可したメールだけになります。
• BIMIは受信トレイで認知を高めます。検証済みロゴが認証済みメッセージの横に表示され、顧客は開封前に「あなたからのメール」だと分かります。

両者を組み合わせることで、メールは脆弱性ではなくブランド資産へと変わります。セキュリティとマーケティングが連携し、保護と可視性が両立します。

DMARCとBIMIを実装したブランドは目立ちます。メールはより信頼できる印象になり、顧客もより守られます。

実装していないブランドは、可視的な防御がないまま、なりすましとの戦いを続けることになります。顧客はどのメールを信頼すべきか分からず、比較すると競合のほうが正規に見えてしまうことすらあります。

当社のドメインチェッカーでBIMI対応状況を確認し、DMARC、SPF、BIMIの現状を把握してください。次に、デジサートのVerified Mark Certificatesを確認して、必要な要素を整えましょう。

あなたのロゴは受信トレイにあるべきです。必ず検証済みにしてください。