2021年10月13日18:25
メッセージングセキュリティサービスを提供するTwoFiveは、TLS /SSLとその他のPKIソリューションを提供する米デジサート社(DigiCert,Inc.)の日本法人であるデジサート・ジャパン合同会社と、新しいメール認証技術であるBIMI規格に準拠した認証マーク証明書(Verified Mark Certificates: VMC)の販売代理店契約を締結した。
BIMI(Brand Indicators for Message Identification:ビミ)は、なりすましメール対策の最新の業界標準であり、DMARCポリシーを使って、電子メールの送信者情報の一部として認証済みのロゴマークを表示するための規格だ。これにより、受信者は、メールを開封する前に受信トレイ内で送信元のブランドを識別し、メールの信頼性を確認できるようになる。
デジサート は、ロゴマークが認証済みであることを証明するBIMI規格に準拠し、GmailをはじめとするEメールプロバイダーで受信メールにロゴを紐付けて表示、開封率の向上を実現する認証マーク証明書(Verified Mark Certificate: VMC)を提供することをBIMI Groupにより承認された世界で2つしかない認証局の1つだ。
TwoFiveは、送信ドメイン認証(SPF、DKIM、DMARC)の導入に関して、コンサルティングや支援サービスを提供しており、今回、VMCの販売を開始することで、DMARCとBIMIの設定・運用を総合的に支援する。
フィッシングやなりすまし、詐欺メールの増加に伴い、受信トレイに入るメールを受信者が疑う傾向が強まっており、B2B / B2Cを問わず、ビジネスにメールを活用する企業にとって大きな問題となっている。
今後、BIMIとDMARCが送信側および受信側で広く採用されるようになれば、フィッシングなどの詐欺から受信者を保護する対策が強化される。DMARCは、Eメールの送信者の認証を行い、なりすましメールが受信者に届くことを防ぐ。また、BIMIを使用してロゴを表示すれば、メールが正規のブランドから送信されていることを保証することができ、受信者は、メッセージを開封前にメールの信頼性を確認できるので、メールの到達性を高め、配信停止や迷惑メール報告を減らすことにつながる。
BIMIのロゴを表示するには、メールボックスプロバイダーがBIMIをサポートしていなければならないが、現時点でBIMIに対応しているのはGoogle(Gmail)、Yahoo!(yahoo. com、オーストラリアのFastmailです。TwoFiveは、国内の多くのISPに、メールシステムの構築、セキュリティ対策などを提供しており、BIMIへの対応についても、積極的に製品開発やアドバイス、サポートを提供していく。
また、TwoFiveは、メッセージングセキュリティの国際的なワーキンググループである「M3AAWG」のメンバーであり、その日本リージョンである「JPAAWG」の主要メンバーであるので、これらのワーキンググループなどでの活動を通して、BIMIの普及に貢献していく方針だ。
DMARCは、送信ドメイン認証(SPF、DKIM)と組み合わせて使用する認証技術で、SPF/DKIM認証に失敗したメールを、受信側をどう処理するかの推奨アクションを、送信側(ドメイン管理側)がDMARCポリシーとして設定してDNSに公開することで、受信側が参照できるようにし、受信側はポリシーに従ったアクションを実行し、その結果をDMARCレポートとして送信側にフィードバックする仕組みだ。
BIMIを利用するには、送信元ドメインのDNSにBIMI TXTレコードを登録する。BIMIレコードには、表示したいロゴ画像のURLと、そのロゴ画像が信頼できるものであることを証明するVMCのURLを記載する。送信側は、ロゴ画像とVMCがHTTPSでアクセスできるようにする必要がある。これにより、DMARCで認証されたメールが受信メールサーバーに届くと、受信サーバーは、送信サーバーのDNSからBIMIレコードを参照し、ロゴ画像にアクセスして受信トレイ上に表示する。
DMARCポリシーには、「none(何もしないで受け取る)」「quarantine(隔離)」「reject(拒否)」の3つがあるが、BIMIを利用するためには、認証に失敗したメールに影響を及ぼす強い設定(quarantineまたはreject)にする必要がある。TwoFiveは、BIMIを利用するために必須であるDMARCを正しく設定し、BIMIと連携して正しく運用できるよう、コンサルティングサービスを提供する。
また、TwoFiveは、DMARCを導入後に、その結果をセキュリティ対策に反映できるよう、メール受信側の認証結果を報告するDMARCレポートを集計して可視化するクラウドサービス「DMARC / 25 Analyze」を提供している。メールを送信するすべての企業や団体が、特別な専門知識がなくてもDMARCとBIMIを適切に活用できるように支援するそうだ。
この記事の著者
ペイメントナビ編集部
カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト