突撃！となりのエンジニア！なりすましメールの今と対策についてわかりやすく解説【後編】

田：小島さん、前回の話で「BIMIを導入するとロゴや青いマークが出る」と伺いましたが、これって設定さえすれば誰でも表示できるものなんですか？

小島さん：実は、BIMIの設定だけでは不十分なんです。Gmailなどで「このメールは本物だ」と認めてもらう必要があり、あの青い認証マークを表示させるには、「VMC（ロゴ所有証明書）」という電子証明書が必要になります。

田：証明書というと、Webサイトでいうところの「SSL証明書」みたいなものですね？

小島さん：まさにその通りです。SSL証明書に不備があると、いくら通信を暗号化していても、ブラウザで『このサイトは安全ではありません』という赤い警告画面が出ますよね。それと似たようなもので、BIMIのDNS設定だけをしても、VMCなどの証明書がないと、Gmail等では公式ロゴ自体が表示されないんです。もちろん青い認証マークも付きません。
そのため、DMARCやBIMIだけ対策をしていても、ユーザーにはそれが伝わりません。

田：そうなのですね…！ せっかく対策をするなら、最高ランクの「信頼」の証であるチェックマークまでつけたいところですね。

小島さん：はい。そしてここが重要なのですが、このVMCという証明書を自ら発行できる「認証局」としての機能を持っているのは、日本では弊社のグループ会社（GMOグローバルサイン）だけなんです。

田：日本で唯一の発行元ということは、価格もそれなりに……と思いきや、小島さんは「格安だ」と仰っていましたよね。

小島さん：はい。正直にいって、他社と比較しても圧倒的に低価格で提供している自負があります。

田：実際に価格はどのくらい違うんでしょうか？

小島さん：VMC（証明書）の単体価格だけでも競合より数万円安いですし、導入支援サービスで比較すると、他社の約8分の1の価格で提供できているケースもあります。

田：8分の1ですか！？ 逆に怪しいくらい安いですが（笑）、どうしてそんなことが可能なんですか？

小島さん：もちろん、安かろう悪かろうではありません。理由はシンプルで、「ロゴを表示させること」に特化したミニマムな構成をご提案しているからです。

田：どういうことか、もっと 詳しく教えてください。

小島さん：他社さんの多くは、全メールを完璧に判別して『拒否（reject）』すること自体をゴールにします。これには、正規のメールまで弾いてしまわないよう、膨大な調査が必要です。一方で弊社は、『BIMIによるロゴ表示』に必要なレベル（隔離：quarantine）の設定を最短ルートで目指します。セキュリティ効果を得つつ、ロゴ表示を最優先にすることで、大幅なコストダウンを実現しているんです。

田：DMARCの設定にはレベルがあるんですね。

小島さん：はい。「拒否（なりすましを全て遮断）」まで高めようとすると、万が一設定をミスした時に正規のメールまで届かなくなるリスクがあり、非常に慎重な調査（＝コスト）が必要です。
それに対して弊社の推奨する「隔離」は、怪しいメールを迷惑メールフォルダに振り分ける設定です。これなら、ロゴが表示されているメールは「100％本物」と判別できますし、万が一正規のメールが判定されても救出が可能です。

田：リスクを抑えつつ、コストも下げて、信頼の証（ロゴ）はしっかり手に入れる。まさに「いいとこ取り」ですね！

田：導入して終わりではなく、その後のサポートも重要ですよね。

小島さん：もちろんです。弊社の運用代行プランでは、どこから来たメールが拒否されたかなどのレポート分析や、メール環境の変化に合わせたチューニングを継続的に行います。

田：DMARCは一度設定して安心、というわけではないですもんね。

小島さん：はい。専門家が背後にいる安心感を持って、BIMIやDMARCを使い続けていただく。それが、自社ブランドとお客さまを守る一番の近道だと考えています。

田：なるほど。コストを抑えつつ、専門家と二人三脚で進められるなら、専任のシステム担当者がいない企業でも安心ですね！なりすましの被害者・加害者にならないために、早めの対策を検討したいところです。
（※現在、お問い合わせいただいた方限定で、初期導入費が初月50%オフになるキャンペーンも実施中です！詳しくは以下のリンクからチェックしてみてくださいね）

田：小島さんお忙しい中、お時間をいただいてありがとうございました！この企画でぜひなりすまし対策の大切さや対策方法の注意点や検討すべき内容が広まったら良いですね！
それでは、またの機会にお会いしましょう！最後までお付き合いいただき、ありがとうございました！