メールは「届ける」から「信頼される」へ。BIMI導入で変わる企業メールのあり方
「DMARCは導入したものの、正規メールが依然として受信者から疑われてしまう」「開封率が思うように伸びない」――こうした課題を抱える企業が増えています。なりすまし対策としてDMARCを導入する企業は増えていますが、それだけでは受信者の信頼を十分に得ることは難しいのが実情です。認証に合格した正規メールであっても、そのことが受信者に伝わらなければ、開封されずに終わってしまいます。この問題に対する有効な解決策として、いま注目されているのが「BIMI(Brand Indicators for Message Identification)」です。BIMIはメールに企業ロゴを表示し、送信元の正当性を視覚的に示す仕組みで、視認性や信頼性の向上による開封率改善も期待されています。今回は、ベアメールのプロダクトマネージャー菱沼憲司に、なぜ企業にBIMIが必要なのか、そして導入のハードルをどう乗り越えるのかについて話を聞きました。
BIMI(ビミ)とは
送信ドメイン認証技術であるDMARCと連携し、BIMIに対応しているメールクライアント(メールソフト)の受信トレイにおいて、ブランドロゴを表示できる新しいメール仕様です。
1. “DMARCだけ”では受信者の信頼を得られない
―フィッシング詐欺の増加により受信者の警戒心が高まる中、DMARCを導入している企業でも正規メールが疑われてしまうケースは少なくありません。なぜこうした問題が起こっているのでしょうか。DMARCの役割と限界について教えてください。
DMARCは、メールが正規の送信元から送られているかを検証し、なりすましを防ぐ技術です。Gmailなどの主要キャリアで対応が義務化されたことを背景に、多くの企業で導入が進みました。DMARCを設定していない場合、メールがブロックされたり、迷惑メールフォルダに振り分けられたりする可能性があります。
一方で、DMARCはあくまで技術的にメールの正当性を担保する仕組みであり、受信者に対してそのメールが安全であることを伝えるためのものではありません。そのため、DMARCに合格しているメールであっても、受信者が「安全なメールだ」と判断できるとは限りません。
フィッシング詐欺への警戒心が高まっている中で、受信者は少しでも怪しいと感じたメールは開かない傾向にあります。結果として、正規メールがなりすましと誤認され、削除や拒否をされてしまうケースも増えています。
こうした背景から、DMARCによる技術的な認証に加え、受信者がひと目で安心できる仕組みが求められており、受信トレイにロゴを表示するBIMIが注目されています。
一方で、DMARCはあくまで技術的にメールの正当性を担保する仕組みであり、受信者に対してそのメールが安全であることを伝えるためのものではありません。そのため、DMARCに合格しているメールであっても、受信者が「安全なメールだ」と判断できるとは限りません。
フィッシング詐欺への警戒心が高まっている中で、受信者は少しでも怪しいと感じたメールは開かない傾向にあります。結果として、正規メールがなりすましと誤認され、削除や拒否をされてしまうケースも増えています。
こうした背景から、DMARCによる技術的な認証に加え、受信者がひと目で安心できる仕組みが求められており、受信トレイにロゴを表示するBIMIが注目されています。
―BIMIには具体的にどのようなメリットがあるのでしょうか。
BIMIによって受信トレイにロゴが表示されることで、受信者は「企業から送られた正規のメールである」ことを視覚的に認識できるようになります。技術的な認証だけでは伝わりにくかった信頼性を、ひと目で示せる点が大きな特徴ですね。
メールにロゴを表示すること自体はBIMI以外の方法でも可能ですが、ロゴが本当に正規のものかどうかまでは保証されません。その点、BIMIでは認証局という第三者によって正規のロゴであることが証明されています。実際にメールにもその情報が紐づくため、見た目だけではない信頼性の担保につながります。
また、ロゴ表示によってメールの視認性が高まることで、ブランディング効果の向上も期待できます。実際に海外では、BIMIによるロゴ表示によってメールの開封率が20%以上向上したという事例も報告されています。
このようにBIMIは、セキュリティとマーケティングの両面において、非常に有効な技術といえるでしょう。
メールにロゴを表示すること自体はBIMI以外の方法でも可能ですが、ロゴが本当に正規のものかどうかまでは保証されません。その点、BIMIでは認証局という第三者によって正規のロゴであることが証明されています。実際にメールにもその情報が紐づくため、見た目だけではない信頼性の担保につながります。
また、ロゴ表示によってメールの視認性が高まることで、ブランディング効果の向上も期待できます。実際に海外では、BIMIによるロゴ表示によってメールの開封率が20%以上向上したという事例も報告されています。
このようにBIMIは、セキュリティとマーケティングの両面において、非常に有効な技術といえるでしょう。
2. BIMI導入の3つのハードル
―BIMIの導入は、どれくらい進んでいるのでしょうか。
国内企業を対象とした実態調査では、導入率は4%程度に留まっているという結果も出ており、導入はなかなか進んでいないのが現状です。
その背景として、BIMIを導入するうえで企業が直面する3つのハードルがあると考えています。一つ目が「DMARCポリシー引き上げの難しさ」、二つ目が「BIMIの手続きの煩雑さ」、三つ目が「ナレッジ不足」です。
その背景として、BIMIを導入するうえで企業が直面する3つのハードルがあると考えています。一つ目が「DMARCポリシー引き上げの難しさ」、二つ目が「BIMIの手続きの煩雑さ」、三つ目が「ナレッジ不足」です。
―DMARCポリシーの引き上げについては、どのような対応が必要になりますか。
DMARCポリシーがnoneのままではBIMIの要件を満たせないため、quarantineまたはrejectまで引き上げることが必須となります。
ただし、ポリシーを引き上げる前に、「正規メールの認証失敗をなくすこと」にまず取り組む必要があります。認証に失敗した状態でポリシーを強化してしまうと、本来届くべきメールまで隔離・拒否されてしまう可能性があるからです。
そのため、DMARCレポートをもとに社内の送信状況を整理したうえで、認証に失敗している送信環境を洗い出して適切に対処していく必要があります。この作業は情報システム部門だけでは完結せず、全社的な協力が不可欠になります。対象ドメインから配信しているメールの量や、送信環境の状況にもよりますが、半年以上の期間がかかる企業が多いと思います。
こうして安全に運用できる状態を整えてから、初めてポリシーを段階的に引き上げていきます。例えば、まず25%のメールにquarantineを適用し、1カ月様子を見て問題なければ、次は50%に上げてもう1カ月運用する、といったイメージですね。このポリシー引き上げのプロセスにも数ヶ月〜半年程度の期間が必要になります。
このように、前提となるDMARCポリシー強化に相応の期間と労力を要することが、BIMIをすぐに導入できない大きな要因となっているのです。
ただし、ポリシーを引き上げる前に、「正規メールの認証失敗をなくすこと」にまず取り組む必要があります。認証に失敗した状態でポリシーを強化してしまうと、本来届くべきメールまで隔離・拒否されてしまう可能性があるからです。
そのため、DMARCレポートをもとに社内の送信状況を整理したうえで、認証に失敗している送信環境を洗い出して適切に対処していく必要があります。この作業は情報システム部門だけでは完結せず、全社的な協力が不可欠になります。対象ドメインから配信しているメールの量や、送信環境の状況にもよりますが、半年以上の期間がかかる企業が多いと思います。
こうして安全に運用できる状態を整えてから、初めてポリシーを段階的に引き上げていきます。例えば、まず25%のメールにquarantineを適用し、1カ月様子を見て問題なければ、次は50%に上げてもう1カ月運用する、といったイメージですね。このポリシー引き上げのプロセスにも数ヶ月〜半年程度の期間が必要になります。
このように、前提となるDMARCポリシー強化に相応の期間と労力を要することが、BIMIをすぐに導入できない大きな要因となっているのです。
―BIMI取得の手続きにも何か難しい点があるのでしょうか。
BIMIを利用して受信トレイにロゴを表示するためには、そのロゴが正規のものであることを第三者機関である認証局に証明してもらう必要があり、「VMC証明書」の取得が必須になります。このVMCの取得にも、躓きやすいポイントがいくつかあります。
まず前提として、VMC証明書を申請するには商標登録されたロゴが必要です。商標登録には一般的に6〜8カ月程度、審査状況によっては1年以上かかる場合もあります。利用したいロゴが商標登録されていない場合は、真っ先に対応を進めるべきでしょう。
認証局へ申請する際には、ロゴをSVG(Scalable Vector Graphics)形式に変換する必要があります。作業自体はそれほど難しくありませんが、デザインツールを使用するため、社内にデザイナーがいない場合は外注が必要になるケースもあります。
その後、VMCの審査に進みます。審査は非常に厳格で、実際に顔を合わせてのオンライン面談で、申請担当者が実際にその企業に所属しているかどうかの確認が行われます。場合によっては、本人確認証や社員証などの提示を求められることもあるようです。
VMC証明書を取得した後は、証明書とSVG形式のロゴをHTTPSでアクセス可能なサーバー上に公開し、「このドメインからのメールにはこのロゴを表示する」という情報をBIMIレコードとしてDNSに登録します。
こうした複数の工程を経て、ようやくBIMI導入が完了します。すでに商標登録が済んでいれば、申請準備から審査、公開まで1カ月程度で完了すると思います。DMARCポリシー強化に比べれば、かかる期間としては短いですが、この過程で直面する「ナレッジ不足」という問題もあります。
まず前提として、VMC証明書を申請するには商標登録されたロゴが必要です。商標登録には一般的に6〜8カ月程度、審査状況によっては1年以上かかる場合もあります。利用したいロゴが商標登録されていない場合は、真っ先に対応を進めるべきでしょう。
認証局へ申請する際には、ロゴをSVG(Scalable Vector Graphics)形式に変換する必要があります。作業自体はそれほど難しくありませんが、デザインツールを使用するため、社内にデザイナーがいない場合は外注が必要になるケースもあります。
その後、VMCの審査に進みます。審査は非常に厳格で、実際に顔を合わせてのオンライン面談で、申請担当者が実際にその企業に所属しているかどうかの確認が行われます。場合によっては、本人確認証や社員証などの提示を求められることもあるようです。
VMC証明書を取得した後は、証明書とSVG形式のロゴをHTTPSでアクセス可能なサーバー上に公開し、「このドメインからのメールにはこのロゴを表示する」という情報をBIMIレコードとしてDNSに登録します。
こうした複数の工程を経て、ようやくBIMI導入が完了します。すでに商標登録が済んでいれば、申請準備から審査、公開まで1カ月程度で完了すると思います。DMARCポリシー強化に比べれば、かかる期間としては短いですが、この過程で直面する「ナレッジ不足」という問題もあります。
―具体的にはどのような問題が発生するのですか?
例えば、実際にベアメールがBIMIを導入した際にも、VMC証明書の申請時に、SVG形式に変換したロゴデータが却下されてしまうという問題がありました。BIMIでは一般的なSVG形式ではなく、セキュリティ要件を満たした専用フォーマットであるSVG Tiny PS(SVG Tiny Portable/Secure)形式でロゴを作成する必要があります。その形式で準備をしていたのですが、いざ申請してみると実装上のさらに細かな要件があることが分かり、データを何度も作り直すことになりました。
また、BIMIレコードを公開してからも、ロゴ表示の条件について発見がありました。BIMIはDMARC認証に合格したメールに対しロゴを表示する仕組みですが、実際にはDMARC認証に合格しただけではロゴが表示されないケースがあるのです。DMARCはSPFとDKIMのどちらかでアライメント(差出人ドメインと認証したドメインの一致)が取れていれば合格と判定されますが、受信側の表示ポリシーによってはより厳密な認証状態が求められます。SPF・DKIMのいずれかだけでなく、どちらのアライメントも満たす必要があるとなれば、送信環境によっては追加の整備が必要になるなと思いましたね。
このように、実際の申請や運用の過程で初めて気づくポイントも多く、手探りで進めざるを得ない部分があります。BIMI導入を実際に経験した企業や担当者が少なく、公開されている情報も限られているため、実務レベルで参照できる知見が十分に蓄積されていないことも、BIMI導入を難しくしている要因の一つといえるでしょう。
また、BIMIレコードを公開してからも、ロゴ表示の条件について発見がありました。BIMIはDMARC認証に合格したメールに対しロゴを表示する仕組みですが、実際にはDMARC認証に合格しただけではロゴが表示されないケースがあるのです。DMARCはSPFとDKIMのどちらかでアライメント(差出人ドメインと認証したドメインの一致)が取れていれば合格と判定されますが、受信側の表示ポリシーによってはより厳密な認証状態が求められます。SPF・DKIMのいずれかだけでなく、どちらのアライメントも満たす必要があるとなれば、送信環境によっては追加の整備が必要になるなと思いましたね。
このように、実際の申請や運用の過程で初めて気づくポイントも多く、手探りで進めざるを得ない部分があります。BIMI導入を実際に経験した企業や担当者が少なく、公開されている情報も限られているため、実務レベルで参照できる知見が十分に蓄積されていないことも、BIMI導入を難しくしている要因の一つといえるでしょう。
3. “ひと目で信頼できる”メールへ
―BIMIによって、企業のメールは今後どのように変わっていくのでしょうか。
これまでメール運用では「正しく届けること」が大きなテーマとされてきましたが、近年はそれに加えて、受信者がどう感じ、どう行動するかといった要素がより重視されています。迷惑メール報告などの受信者の反応が送信元の信頼性評価に影響する場面も増えており、単に届けるだけでは十分とはいえなくなっています。
受信者に「開封されるか」「読んでもらえるか」が送信者の評価としても重要になる中で、メールの信頼性を視覚的に示すBIMIは、その変化に向けた第一歩といえるでしょう。SSL証明書がWebサイトの信頼性を示す存在になったように、将来的にはBIMIも「導入していることが当たり前」であり、「導入していないメールは危ないのではないか」と認識されるようになっていく可能性もあります。
受信者がひと目で信頼できるメールを判別できるようになることで、ブランドの信頼性やメールマーケティングの効果が格段に高まることは間違いありません。これからのメール運用を考えるうえで、BIMIは重要な選択肢の一つになっていくのではないでしょうか。
受信者に「開封されるか」「読んでもらえるか」が送信者の評価としても重要になる中で、メールの信頼性を視覚的に示すBIMIは、その変化に向けた第一歩といえるでしょう。SSL証明書がWebサイトの信頼性を示す存在になったように、将来的にはBIMIも「導入していることが当たり前」であり、「導入していないメールは危ないのではないか」と認識されるようになっていく可能性もあります。
受信者がひと目で信頼できるメールを判別できるようになることで、ブランドの信頼性やメールマーケティングの効果が格段に高まることは間違いありません。これからのメール運用を考えるうえで、BIMIは重要な選択肢の一つになっていくのではないでしょうか。
―ベアメールでは2026年1月に「BIMI導入支援パッケージ」をリリースしました。これにはどのような背景があったのでしょうか。
ベアメールではこれまでDMARC運用サポートを提供してきました。ご利用いただいているお客さまから「DMARCポリシーをquarantine以上に引き上げたので、次はBIMI導入のサポートもお願いしたい」というお声をいただいたことが、サービス検討のきっかけになりました。
一方で、DMARCを導入していてもポリシーがnoneのまま運用が進んでいない企業も多く、「必要性は理解しているものの、社内で優先度を上げにくい」という声も少なくありません。情報システム部門では重要性が認識されていても、経営層やマーケティング、営業部門にとっては効果が見えにくく、関係部門の理解や協力を得ることが難しいケースもあります。
メール開封率の改善やブランド信頼性の向上といった成果がイメージしやすいBIMIを一つのゴールとして提示することで、企業全体がDMARCの意義を理解しながら取り組めるよう支援したいと考えたことも、サービスの提供を開始した理由の一つです。
一方で、DMARCを導入していてもポリシーがnoneのまま運用が進んでいない企業も多く、「必要性は理解しているものの、社内で優先度を上げにくい」という声も少なくありません。情報システム部門では重要性が認識されていても、経営層やマーケティング、営業部門にとっては効果が見えにくく、関係部門の理解や協力を得ることが難しいケースもあります。
メール開封率の改善やブランド信頼性の向上といった成果がイメージしやすいBIMIを一つのゴールとして提示することで、企業全体がDMARCの意義を理解しながら取り組めるよう支援したいと考えたことも、サービスの提供を開始した理由の一つです。
BIMI導入までの流れと「BIMI導入支援パッケージ」のサポート範囲
―BIMI導入だけではなく、DMARC運用やポリシー強化の段階からサポートしてもらえるのは心強いですね。
BIMI導入を進めたいと考えていても、その前提となるDMARCポリシーの引き上げが思うように進まず、どこから手を付ければよいのか分からないというご相談をいただくことがあります。実際に、DMARC分析を依頼しているベンダーに相談したものの、「現状ではポリシー強化は難しい」と言われてしまい、その理由や次に取るべき対応が見えなくなり困っていたお客さまもいらっしゃいました。
DMARCは一度設定して終わりではなく、状況を確認しながら運用を続けていく必要があります。さらに並行してBIMI導入に向けたロゴの商標登録やVMC取得の準備を進めるとなると、「いつ・何を・どの順番で進めればよいのか」悩んでしまうケースもあると思います。
ベアメールではこれまでDMARC運用支援を通じて、企業ごとの運用課題に向き合ってきました。その経験を踏まえ、DMARC運用からBIMI導入までを一つの流れとして整理し、ゴールまでの進め方をご提案できる点が、「BIMI導入支援パッケージ」の強みだと考えています。BIMIの導入を検討されている企業の方は、ぜひ我々に相談いただければと思います。
DMARCは一度設定して終わりではなく、状況を確認しながら運用を続けていく必要があります。さらに並行してBIMI導入に向けたロゴの商標登録やVMC取得の準備を進めるとなると、「いつ・何を・どの順番で進めればよいのか」悩んでしまうケースもあると思います。
ベアメールではこれまでDMARC運用支援を通じて、企業ごとの運用課題に向き合ってきました。その経験を踏まえ、DMARC運用からBIMI導入までを一つの流れとして整理し、ゴールまでの進め方をご提案できる点が、「BIMI導入支援パッケージ」の強みだと考えています。BIMIの導入を検討されている企業の方は、ぜひ我々に相談いただければと思います。
株式会社リンク
クラウド・ホスティング事業部 サービス企画部 部長
菱沼 憲司
株式会社リンクでエンジニアとしてベアメタルクラウド・ベアメールのサービス企画・開発、販売促進のためのプリセールスを担当する。
