リスク管理Navi
サイバー/デジタルリスクNavi

サイバー/デジタルリスクNavi

用語集
掲載日:2025.08.07

BIMI(Brand Indicators for Message Identification)

サイバーセキュリティ IT-BCP デジタルリスク管理 プライバシー保護 情報セキュリティ
BIMI(Brand Indicators for Message Identification)

「BIMI(Brand Indicators for Message Identification)」とは、メール受信時に送信者のブランドロゴを、受信トレイ上に表示させるメール認証技術のことです。送信者名の横に第三者による認証を受けた企業のロゴが表示されるため、「なりすまし」ではない正当な送信者からのメールであることを一目で確認できます。本稿では、BIMIの導入が進む背景、効果とメリット、技術概要のほか、設定方法などをわかりやすく解説します。

目次

BIMIの導入が進む背景

BIMIは2018年頃に登場した比較的新しい技術で、近年、Gmail、Yahoo!メール、Appleメールなどの主要メールサービスで導入が進んでいます。BIMIの導入が進む背景には、メールを使ったサイバー攻撃の深刻化があります。

メールは私たちの生活やビジネスに欠かせないツールです。その一方で、有名企業や金融機関を装ったなりすましメールやフィッシング詐欺の手口も年々巧妙化し、被害が後を絶ちません。こうした悪質なメールは、受信者をだまして個人情報や金銭を奪おうとするもので、企業のブランドイメージを損ねることにもつながり、早急な対策が必要となっています。

BIMIの効果・メリットと課題

BIMIの最大の目的は、悪質なメールからユーザーを守り、メールの信頼性を向上させることです。受信メールに公式のブランドロゴが表示されるので、受信者は偽装メールを見分けやすくなり、銀行やECサイト、配送業者などの企業名をかたったフィッシングメールやスパムメールなどの詐欺対策として大きな効果があります。

また、BIMIによってブランドの価値や認知度を高めることが期待できます。受信者のメール一覧や通知画面にロゴが表示されることで、開封前の段階から視覚的に印象づけることが可能です。また、ロゴ表示されたメールの安心感が高まることで企業の信用につながり、開封率やクリック率の上昇も期待できます。

一方で、課題もあります。例えば、全てのメールクライアントがBIMIに対応しているわけではなく、現時点ではOutlookも非対応です。ほかにも、メール認証技術に依存するため、これらの脆弱性を突いて悪用されるケースもあり得ます。この場合はユーザーのロゴに対する信頼性が逆に被害を大きくする可能性があると言われています。実際に、アメリカに本社を置く国際宅配・ロジスティクス企業であるUnited Parcel Service(UPS)を装い、フィッシングメールが送信された事例がありました。公式ロゴを巧妙に模倣したものを使用し、正式なメールと思わせる手口です。

他のセキュリティツールと同様、BIMIにおいても継続的な管理・改善が必要となります。

BIMIを実現するための技術

BIMIは、既存のメール認証技術を基盤として、複数の技術を組み合わせて構築されています。

まずベースとなるのが、以下の3つのメール認証技術です。

  • SPF(Sender Policy Framework)
  • DKIM(Domain Keys Identified Mail)
  • DMARC(Domain-based Message Authentication, Reporting, and Conformance)

SPFは送信者のIPアドレスを検証し、DKIMは電子署名による改ざん検知を行い、DMARCは SPFとDKIMの認証結果を利用して、総合的に送信ドメイン認証を行い判定を下します。これにより、送信元の正当性を技術的に検証することが可能です。

さらに、BIMIに特有の技術として、「VMC(Verified Mark Certificates )」があります。VMCは、企業がロゴの法的権利を持っていることを証明するために、認証局が発行するデジタル証明書です。取得にはロゴの商標登録などが必要で、DigiCertやEntrustなどの認証局で有償で取得できます。VMCにより、悪意のある第三者によるロゴの悪用を防ぎ、信頼性が担保されます。

BIMIの設定手順

BIMIの設定に際しては、認証局から発行されたドメイン用のVMCが必要となります。VMCの発行には商標登録されたロゴが必要ですので、あらかじめ商標登録を出願するための費用と期間を考慮して準備しておきましょう[Gmailでは2024年9月から商標登録を持たないロゴでも利用できるCMC(Common Mark Certificate)へのサポートを開始しています]。

BIMIの設定方法と、メールの送信から受信者のメールクライアントにロゴが表示されるまでのおおまかな流れは以下の通りです。

企業(送信者側)での設定

  1. BIMIを導入する企業は、自社のドメインに対し、SPF、DKIM、DMARCの3つのメール認証技術を正しく設定します。
  2. 表示するロゴの画像をSVG形式で作成し、Webサーバー上に配置します。
  3. 並行して、認証局からロゴの所有権を証明するVMCを取得します。
  4. SVG形式のロゴやVMCのパス情報を記述したBIMIレコードを、DNSサーバーに追加します。

メール送信と受信

  1. メール送信時に、企業のメールサーバーがDKIM電子署名を自動的に付与します。
  2. メールを受け取った受信者のメールサーバーは、SPF認証、DKIM認証、DMARC認証を実施します。
  3. DMARC認証に成功すると、DNSサーバーのBIMIレコードを照会し、ロゴとVMCの情報を取得します。

ロゴの表示

  1. 取得したVMCの署名や有効性を検証します。
  2. すべての認証と検証が完了すると、受信トレイにロゴが表示されます。

このように、BIMIは複数の認証プロセスを経て、初めてロゴが表示される仕組みです。これにより、メールの高い信頼性とセキュリティが確保されます。

参考情報

総務省「特定電子メール等による電子メールの送受信上の支障の防止に資する技術の研究開発及び電子メール通信役務を提供する電気通信事業者によるその導入の状況 」
Google Workspace 管理者ヘルプ「BIMI を設定する」
Apple Support「AppleメールのBIMIサポートについて」
AuthIndicators ワーキング グループ「BIMI」
記事一覧

Related Articles おすすめの記事

フィッシングメール詐欺の手口と対策方法に関する解説書を公開、送信ドメイン認証の導入を推奨 フィッシング対策協議会

フィッシング攻撃

フィッシング対策の強化でクレジットカード会社に「DMARC」導入を要請 経産省/総務省/警察庁

チェックリストを収録、2024年版「フィッシング対策ガイドライン」を公開 フィッシング対策協議会

標的型メール攻撃

Related Services 関連サービス

サイバー攻撃対応演習・訓練コンサルティングサービス
情報セキュリティ監査サービス
セキュリティポリシー策定支援コンサルティングサービス
レッドチームサイバー演習コンサルティングサービス
経営陣向けサイバー演習・訓練コンサルティングサービス
脆弱性診断コンサルティングサービス
コンサルティング・サービス

人気記事ランキング

サイバーセキュリティ格付け制度(サプライチェーン強化に向けたセキュリティ対策評価制度)の勘所と今後の展望 ~企業はどう備えるべきか~ GSOC AI規制をめぐる、世界各国と日本の動向 ISO/IEC 42001 情報技術 - 人工知能(AI)-マネジメントシステム‐ガイドライン解説 SOC2とは?その必要性、準拠の進め方などを解説 FedRAMP(米国政府機関におけるクラウドセキュリティ認証制度) STRIDEモデル 防衛産業サイバーセキュリティ基準(新基準)に準拠する際の勘所 クルマにおけるサイバーセキュリティ規格 ISO/SAE21434とは ~規格の位置づけと重要性 ~ ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~

カテゴリ

用語集 ガイドライン コラム サイバー/デジタルリスク速報

キーワード(タグ)

サイバーセキュリティ IT-BCP デジタルリスク管理 IoT DX プライバシー保護 NIST 防衛産業 情報セキュリティ AI レジリエンス サプライチェーン 内部不正 感染症 人権

用語集

あ-か さ-な は-ま や-わ A-Z

業種(タグ)

IT 金融 卸売 製造 運輸 エネルギー 建設 医療・福祉 サービス 官公庁
メルマガバナー

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。 こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。

同意して閉じる
TOPへ戻る
Contact
Contact
お問い合わせ
Document
Document
資料ダウンロード
お電話でのお問い合わせはこちらから

03-3239-9209