企業ブランドを守るメール認証技術、多くの企業が「必須の投資」と捉える時代へ：企業の信頼を築く“もう一つの盾”

フィッシング詐欺が横行する今、企業ブランドを守るには「メール認証技術」が不可欠な時代に。信頼構築のカギを握るメールセキュリティ対策とは。

PR／ITmedia

PR

　企業にとって電子メールは、顧客との接点を築き、関係を深めるために不可欠な手段だ。新商品やサービス、セミナーの案内といったマーケティング用途に加え、重要な通知を確実に届けるチャネルとしても活用されている。

　その一方で、こうした信頼感に乗じて個人情報を詐取しようとするフィッシング詐欺が後を絶たない。実在の企業やブランドを装い、偽サイトへと誘導する手口は年々巧妙化している。フィッシング対策協議会によれば、報告件数はわずかに減少傾向にあるものの、依然として高止まりしているという。フィッシング詐欺の巧妙化を加速させている要因の一つが、生成AIの進化だ。

「なりすましを困難にする」DMARCの登場

　これについて、KDDIウェブコミュニケーションズの畠山奈津子氏は「KDDIグループを装ったフィッシングメールも増加しており、不審に感じたお客さまからのお問い合わせも増えています。特に最近は、生成AIの進化によって日本語の不自然さがなくなり、詐欺メールの精度が飛躍的に向上しています」と警告する。

KDDIウェブコミュニケーションズの畠山奈津子氏（CPI本部プラットホーム事業部 ANKA MART 運営責任者）

　これまで一般的に推奨されてきた「メールの文面に注意し、不審なリンクや添付ファイルは開かない」といった利用者依存の対策には限界が見えている。本物と見分けがつかないほど精巧なフィッシングメールが増える今、利用者の注意喚起だけでは防ぎきれないのが現実だ。

　だからこそ、悪質なメールやなりすましがユーザーに届かない仕組みを整えることが、企業に課された新たな責務となっている。

　現在広く使われている電子メールの仕様は1980年代に策定された。普及が進み、ビジネスで利用頻度が増えると共に迷惑メールも増えてきた歴史がある。「迷惑メールの増加や、多様化・複雑化に対応するため、送信元を検証する仕組みが導入されてきました」と、畠山氏は指摘する。

　その後、2000年代に入りスパムやフィッシングといった“なりすましメール”の脅威が広がり、それらを防ぐための送信ドメイン認証技術が次々と登場した。

　まず登場したのが、送信元IPアドレスを検証する「Sender Policy Framework」（SPF）だ。DNSに登録されたIPアドレスと実際の送信元IPアドレスを照合し、正当な送信元かどうかを判別する。

　だが、SPFは仕組みがシンプルなため、メールの転送など正当な通信まで「なりすまし」と誤判定されるケースがあった。これを補うために登場したのが、送信側で電子署名を付加し、受信側で改ざんやなりすましを検知する「DomainKeys Identified Mail」（DKIM）という技術だ。

　そして、最近注目されているのが、「Domain-based Message Authentication, Reporting & Conformance」（DMARC）だ。SPFやDKIMの検証結果を基に、認証に失敗したメールを、本物のメール送信者が「なし」「隔離」「拒否」のいずれかで処理するポリシーを定義できる特徴を持つ。

　「これら3つの技術は連携して動作することで、高精度になりすましを検出できます。仮になりすましメールが届いても、利用者がだまされないように仕組み全体で防御を強化しているのです」

　加えて最近登場し、徐々に普及しているのが「Brand Indicators for Message Identification」（BIMI）という技術だ。DMARCを適切に設定し、「認証マーク証明書」（VMC：Verified Mark Certificate）という証明書を使って認証に合格した正規メールに企業の公式ロゴを表示できる。これにより、ユーザーは一目で「本物のメールだ」と視覚的に識別できる。

BIMI対応済みのメールに表示される企業ロゴのイメージ（提供：KDDIウェブコミュニケーションズ）《クリックで拡大》

デジサート・ジャパンの林正人氏（プロダクトマーケティング部 APJシニアプロダクトマーケティングマネージャー）

　従来の技術が「怪しいメールを見破る」ことに重点を置いていたのに対し、BIMIは「正しいメールを明確に示す」仕組みだ。

　「メールの安全性を利用者の知識や注意力に頼るのはもはや限界です。ユーザーがメールのヘッダを読み解き真偽を判断するのではなく、企業側が技術的な対策を講じることが、これからの“当たり前のセキュリティ”になっていくのです」と、電子証明書サービスを提供するデジサート・ジャパンの林正人氏は強く語る。

BIMIが、DMARC対応のハードルを乗り越える追い風に

　DMARCは登場当初、日本市場ではあまり普及しなかった。その背景には、対応にかかる工数や運用の難しさがある。

　「SPFやDKIMは一度設定すれば完了ですが、DMARCは違います。レポートを受け取り、内容を確認し、必要に応じてポリシーを調整しながら導入するため、隔離（quarantine）や拒否（reject）といったポリシーで運用するまでには数カ月以上かかることもあります」（畠山氏）

　さらに、企業がメール配信を一元管理しているとも限らない。事業部や担当者単位で異なる配信ツールを使い、キャンペーンやメルマガを送信しているケースも多い。その結果、運用ルールが統一されず、社内のメール基盤がサイロ化してしまう。

　「こうなると、正規のルールで送られたメールとなりすましのメールとの区別は困難です。今、多くの企業がこのサイロ状態をどう是正し、社内統制の下に戻すかに頭を悩ませています。DMARCの導入は、そのきっかけになる取り組みと言えるでしょう」（林氏）

　業界全体の潮流も、こうした動きを後押ししている。2024年にGoogleが発表した新しい「送信者ガイドライン」は、個人用の「Gmail」アカウント宛に1日当たり5000通以上のメールを送信する事業者に対してDMARCポリシーの設定を求めている。これに続き、Yahoo!やMicrosoftも同様の要件を発表した。

　「メールは、今なお事業の根幹を支えるコミュニケーション手段です。ですが、DMARC未対応のままでは配信が難しくなり、Gmailで怪しいメールとして警告されるケースもあります。こうした変化が企業の意識を一気に変え、DMARCへの対応を後押ししています」（畠山氏）

　「メールが届かなくなるのでは」というような懸念の質も、BIMIの登場によって大きく変化した。

　林氏によれば、競合他社のロゴは表示されているのに自社だけが非対応という状況に危機感を抱き、「どうすればBIMIに対応できるのか」という問い合わせが増え始めたという。BIMIの導入にはDMARCの設定が必須であるため、両者をセットで進める動きが広がっている。

DMARC、BIMI、VMCを組み合わせたイメージ（提供：デジサート・ジャパン）《クリックで拡大》

　Gmailは、DMARC認証を通過し、かつBIMI対応済みのメールに認証済みの企業ロゴと共に青色のチェックマークを表示する仕様を導入している。これにより、正規のメールであることが視覚的に示され、ブランドの信頼性向上にも寄与する。この仕様によって、メールの開封率が数％から十数％向上したという企業もあるようだ。

VMCで認証されたBIMI対応済みのメールに表示される青いチェックマークのイメージ（提供：KDDIウェブコミュニケーションズ、デジサート・ジャパン）《クリックで拡大》

　こうした動きに先んじて対応しているのが金融業界だ。金融庁が策定したセキュリティガイドラインで、SPFやDKIM、DMARCへの対応が求められていることが背景にある。個人情報を多く扱うEC業界や通信業界でも、顧客へ安心感を与える目的で導入が進んでいる。

　今後、一般ユーザーの間でも「ロゴが表示されていれば安全」という認識が広がるにつれ、DMARCやBIMIへの対応はさらに加速するだろう。

インターネットの信頼の基盤となる証明書を通じて、ビジネスを支援

　前述した通り、DMARCやBIMI、BIMI対応に必要なVMCの導入は、単に設定を追加・変更するだけで完了するものではない。実装には専門的な知識と継続的な運用が求められ、その導入ハードルは決して低くない。こうした背景を踏まえ、デジサートとKDDIウェブコミュニケーションズは、正しいメールを確実に届けるための支援体制を整えている。

　「DMARCとBIMI、VMCは今後、メールソリューションのスタンダードになるものです。対象ドメインだけでなくサブドメインも含めたDMARC設定が必要です。まずは自社ドメインやサブドメインを整理し、少しずつ状況を可視化しながら、顧客がなりすまし被害に遭う前にBIMI対応の準備を始めていただきたいと思います」（畠山氏）

　デジサートは、デジタルとリアルの境界が曖昧（あいまい）になる現在において、信頼を証明するための電子証明書を管理するプラットフォーム「DigiCert ONE」を提供している。BIMI対応に必要なVMC証明書はもちろん、Webサーバ向けのSSL証明書、S/MIME証明書、クライアント証明書など多様な電子証明書をワンストップで提供している。

　VMCを取り巻く環境は、かつてWeb通信がHTTPからHTTPS（TLS暗号化）へと急速に移行した状況に似ている。「導入が“選択肢”ではなく“必須”であることに、多くの企業が気付き始めています」と林氏はコメントする。

　KDDIウェブコミュニケーションズとデジサートは20年以上にわたるパートナーシップを結び、国内での販売活動を展開してきた。最近はECサイト「ANKA MART」を通じて、企業のセキュリティ強化を支援するSSL証明書やVMC証明書などのソリューションを提供している。価格面での優位性に加え、有効期限が近づいた証明書のフォローアップなど手厚いサポート体制も強みとし、信頼性の高いサービスを提供している。

　フィッシングメールの横行やなりすましの容易さが問題となる今、DMARCやBIMIへの対応は「守りのセキュリティ」にとどまらない。「メールは今も企業の認知拡大や営業活動に欠かせない手段です。それを安全に活用するために、これらの技術は“必須の投資”と捉えるべきです」と畠山氏は強く語る。

　特に限られた予算の中で効果を求める中堅・中小企業にとっては、BIMIによるロゴ表示がブランド価値の可視化という大きなメリットをもたらすだろう。VMCを取得してBIMIに対応することで、顧客やパートナーと「正しい情報」をやりとりできる環境を整え、より安全かつスピーディーにビジネスを進めることが可能だ。デジサートとKDDIウェブコミュニケーションズは、今後もそんな未来の実現を後押しする。