DMARCとVMCが揃うと企業ロゴが表示されるBIMIを有効化できる
そのころGoogleはBIMIのパイロット運用を始めたばかり。SmartHRがBIMIを設定しても、多くのメール受信者にはメール送信者の企業ロゴを目にすることはない段階だった。そのため岩田氏も「まだいいかな」とBIMIの準備は見送っていた。
そして2021年7月、Googleは正式にBIMIへの対応を開始すると発表した。岩田氏はGoogleの発表を確認すると、ほぼすぐにBIMIの準備を始めた。
BIMIはDMARCの設定で「reject」または「quarantine」にしておく必要がある。SmartHRは2020年9月にDMARCのポリシーを「reject」に変えたので、ここはすでにクリア済みだ。もう1つ、VMC(Verified Mark Certificate:認証マーク証明書)をDNSに設定する必要がある。VMCとは認証された企業のロゴを、デジサートなどの認証局が認証する。
なおVMCでは商標登録済みのロゴが必要となる。SmartHRでは商標登録済みだったため、あとは認証局(デジサート)に申請すればいい状態となっていた。手続きに必要なものは揃っていたため、2021年8月にはBIMIを有効化できた。かなり早いペースで実現したケースと言えるだろう。
BIMIのいいところはDMARCでメーラーがなりすましの検証をするだけではなく、VMC(商標登録)を必要とすることで、経路も実態もある「なりすましではない」メールを分かりやすくメーラーで表示できることだ。
実際のなりすましメールを思い浮かべてみてほしい。本物らしいスペルのドメインが使われる。例えばSmartHRなら、なりすましは「smarth8.com」など紛らわしいドメインを取得してメールを送信してくる。こうした似た名前のドメインは取得できたとしても、商標登録まではまねできない。例えば悪意ある組織がSmartHRに似たロゴを特許庁に申請しても、実態がなければ特許庁が拒絶する。
BIMIはなりすましがとても難しく、メールにロゴが表示されるため利用者にも分かりやすい。「ロゴがあれば正規のメール」と視認しやすい。
BIMIを導入した効果について、SmartHRの岩田氏は「BIMIの効果は短期で得られるものではないと思っています」と話す。現時点でメジャーなメールサービスでBIMIが有効なのは、GmailやGoogle Workspaceとなっており、ロゴでメールの信頼性を確認しているユーザーはそう多くない。メール一覧で「ロゴがあると目立つ」くらいだ。
現時点ではBIMIに対応しているメーラーは限られており、DMARCのセットアップや商標登録にはハードルもある。Gmailで送信者アイコンにロゴを表示する方法はBIMI以外にもあるため、ロゴが表示されていればBIMIとは言い切れない。しかしBIMIが普及し「ロゴがついたメールは正規のメール」という認識が広まれば、ユーザーがなりすましに気づきやすくなる。BIMIを通じてメールボックスからなりすましが減り、メールが信頼おけるコミュニケーション手段として見直される契機になれることを期待したい。