2024年2月より順次適用が開始されたGmailの新しい送信者ガイドライン(同年4月に完全施行)をきっかけに、メール配信において「送信ドメイン認証(SPF / DKIM / DMARC)」への対応がスタンダードとなっています。
基礎的な設定を進める企業が増える一方で、より強固なセキュリティが求められる次のステップには、まだ高い壁が存在します。実際、DMARCのポリシーを「none(監視)」から「quarantine(隔離)」や「reject(拒否)」へ引き上げたり、さらにその先の「BIMI(Brand Indicators for Message Identification)」を導入してメールにブランドロゴを表示させている企業は、日本国内全体でまだわずか2〜3%程度にとどまっていると言われています。
そんな中、メール配信システム「ブラストメール」および「blastengine」を提供する株式会社ラクスライトクラウドは、自社ドメインにおけるDMARCポリシーの引き上げ(quarantine)と、BIMIの導入を行いました。
参考:メール配信システム「ブラストメール」「blastengine」がBIMI(企業ロゴ付きメール)を導入。あわせて、GMOブランドセキュリティと協業しBIMIの拡販・導入支援を開始。
本記事では、このプロジェクトを牽引した企画部門と、実作業を担ったインフラ部門の担当者に、プロジェクト発足の背景から、DMARCレポートの解析の苦労、そして無事にロゴが表示された瞬間の達成感やその後の反響まで、リアルな現場の声と体験談をお届けします。
※本記事はGMOブランドセキュリティ社との協業に関する取り組みを含みます。
BIMIについての詳細は、BIMのメリットから導入までのステップ、失敗しないためのDMARC移行ロードマップ、BIMI設定チェックリストまでをまとめたBIMI完全ガイドを無料でご用意しましたのでご活用ください。また、BIMIについてのお問い合わせやご相談も可能ですのでお気軽にお問い合わせください。
目次
- 1 登場人物プロフィール
- 2 第0章:BIMIとは?
- 3 第1章:BIMIプロジェクト発足の背景「提案する側として”自社ができていない”は許されない」
- 4 第2章:社内稟議の壁とVMC取得の「リアルな費用感」
- 5 第3章:ブラストメールとblastengineのBIMI導入までのスケジュール
- 6 第4章:最大の難関「DMARCレポート解析」とシャドーITの洗い出し
- 7 第5章:DMARCポリシーの変更。直面したトラブルとリカバリ方法
- 8 第6章:厳格なVMC審査とチーム間連携
- 9 第7章:認証済みブランドロゴ(Gmailでは青いチェックマークと共に表示)が表示された瞬間の達成感と、導入後の反響
- 10 第8章:これからBIMI導入・DMARCのポリシーの引き上げに挑むインフラエンジニア・担当者へ伝えたいこと
- 11 最後に
登場人物プロフィール
・近藤(企画担当):
BIMI導入のビジネスサイドの窓口として、VMCの取得やGMOブランドセキュリティ社との連携、インフラチームとの橋渡しを担当。
・清水(インフラ担当):
blastengineのDMARCポリシーの引き上げとBIMI設定作業を担当。
・安倍(インフラ担当):
ブラストメールのDMARCポリシーの引き上げとBIMI設定作業を担当。
第0章:BIMIとは?
BIMIとは、メール受信時に送信元のロゴマークを表示させることで、そのメールが正規の送信者から送られたものであることを証明する技術標準です。単なるアイコン設定ではなく、厳格なドメイン認証に基づいたセキュリティの証明で、なりすまし・フィッシングメールから顧客とブランドを守ります。
BIMI導入のメリット
BIMI導入には様々なメリットがありますが、大きく分類すると以下の3点になります。
- フィッシング詐欺・なりすましメール対策の強化 BIMI導入の前提条件として、DMARCポリシーの厳格化「quarantine(隔離)」または「reject(拒否)」に対応する必要があるため、強固なセキュリティ対策がなされている証明となります。
- 「ブランド認知」と「開封率」の向上 受信トレイに自社のロゴが表示されることで、受信者は一目で「正規のメールである」と判断でき、ブランドの認知拡大とメール開封率の向上につながります。
- メールマーケティングの効果改善 BIMIを実装することで送信元の正当性が可視化され、メールの到達率・開封率・クリック率等の改善が期待できます。また、受信トレイ内での視認性を高めることで、競合他社のメールに埋もれないブランドポジションを構築し、差別化を図ることが可能です。
第1章:BIMIプロジェクト発足の背景「提案する側として”自社ができていない”は許されない」
——本日はよろしくお願いします。まず、今回DMARCポリシーの引き上げからBIMI導入までを進めようと思われたきっかけや背景を教えてください。
近藤:昨今、なりすましメールやフィッシング詐欺が急増している中で、メール配信システムを提供する企業として、より安全なメール配信環境をお客様に提供する必要があると考えていました。BIMIの導入が最大の目的でしたが、導入のためにはDMARCのポリシーが「quarantine(隔離)」または「reject(拒否)」であることが必須なため、今回はnoneからquarantineへの引き上げを行いました。
また、お客様が抱える「メールが届かない」「メルマガの成果が出ない」といった課題を根本から解決するためには、DMARCのポリシー引き上げやBIMIの導入は重要な取り組みのひとつとなっています。そのため、我々からも「より安全で成果の出る配信のために、BIMIを導入しましょう」と積極的にお客様へ提案していきたいと考えていました。
しかし、それを提案する我々自身がBIMIを導入していなければ、全く説得力がありません。まずは自社でのBIMI導入を行い、胸を張って提案できるロールモデルになる。それが、今回BIMI導入を進めた最大の動機です。
——2024年4月のGmail送信者ガイドライン変更は、やはり大きなきっかけになりましたか?
近藤:はい、非常に大きなきっかけでした。それ以前は、お客様からDMARCについて質問を受けたりすることはほとんどなく、私自身もあくまで「知識として知っている」という程度でした。しかし、ガイドライン変更のタイミングで、業界全体でDMARCについて積極的にキャッチアップする人が急増したのを感じました。
ただ、このガイドラインが施行された当初は、「DMARCポリシーはとりあえず『p=none(監視)』にしておけば問題ない」という空気感があったのも事実です。近年はなりすましメールやフィッシング詐欺が増えており、自社ドメインにおけるDMARCポリシーの引き上げは以前からの検討事項でもありました。
——企画部門から「自社ドメインにロゴを出したい(BIMIを導入したい)」と言われた時、インフラチームのお二人は率直にどう感じましたか?
清水(インフラ):正直なところ、最初は「そもそもBIMIとは何なんだ?」という状態からのスタートでした。そのため、まずはBIMIの仕組みそのものについて調査することから始めました。
安倍(インフラ):私も最初はBIMIという言葉自体を知りませんでした。ただ、色々と調べていくうちに、普段自分が受信しているメールで企業ロゴが表示されているのは、まさにこの設定の有無によるものなのだと分かりました。なりすまし防止というセキュリティの観点からも、我々のドメインで早急に導入すべきだと強く感じましたね。
第2章:社内稟議の壁とVMC取得の「リアルな費用感」
——BIMIを導入するためにはVMC(認証マーク証明書)の取得が必要ですが、費用対効果の面で社内稟議や予算取りに苦労はありましたか?
近藤(企画):はい、社内での合意形成を取ることには非常に苦労しました。特に国内においては、まだBIMIを導入している企業自体が少なく、BIMIを導入したことによる具体的な効果(到達率の向上や開封率の改善など)が明確な結果として表れていない段階だったからです。前例が少ない施策に対して予算を通すのは、どの企業でも難しいポイントだと思います。
——実際のところ、VMCの取得にはどの程度の費用がかかったのでしょうか?
近藤(企画):直接的な費用としては、VMCの発行に年間約20万円(税込)のコストが発生しました(※費用は発行機関・プランにより異なります)。最初は「証明書に年間20万円か」と少し抵抗を感じる部分もありました。
しかし、月額に換算すると1万5000円程度です。他のマーケティング施策やセキュリティ対策にかかる費用と比較すると、決して高くはなく、むしろ割安なのではないかと感じるようになりました。
——最終的に稟議を通せた決め手は何だったのでしょうか?
近藤(企画):我々のようなメール配信に深く関わる事業者が率先してBIMIに対応することで、メール界隈全体にBIMIの普及を促し、DMARCなどの送信ドメイン認証への関心を高めることができるという「啓蒙的な価値」を強く訴求した点です。自社が身をもって実践することで得られる知見は、サービス提供者として価格以上の価値があると感じていました。
第3章:ブラストメールとblastengineのBIMI導入までのスケジュール
——BIMI導入までの全体のスケジュールを教えてください。どのように進んだのでしょうか?
清水(インフラ):私が担当した「blastengine」は、実作業開始からBIMI有効化まで約2か月というスケジュールで進行しました。
| 日付 | 担当 | 作業内容 |
|---|---|---|
| 1/7〜2/17 | 近藤・インフラ | 社内外への影響調査 |
| 1/20 | インフラ | DMARCポリシーをquarantine(隔離)へ引き上げを行ったが、不具合発覚の為切り戻し |
| 2/2 | インフラ | DMARCポリシーをquarantine(隔離)へ引き上げ |
| 2/9 | インフラ | ドメイン認証用TXTレコードをDNSに追加 |
| 2/18 | 近藤 | VMC(認証マーク証明書)の発行完了、GMOホスティングサービス側にSVG資材を配置 |
| 3/2 | インフラ | BIMIレコードの記載(BIMI有効化)、不要レコード・環境の削除 |
——約2か月!非常に早いですね。スムーズに進んだ要因は何でしたか?
清水(インフラ):インフラ側でのDNS設定と、ビジネス側(近藤さん)でのVMC発行手続きを完全に切り分け、並行して進められたことが大きいです。VMCの審査を待っている間に、DMARCレポートの監視や不要なレコードの整理といった環境整備を済ませておくことで、証明書が発行されたらすぐにBIMIを有効化できる体制を作っていました。
安倍(インフラ):私が担当した「ブラストメール」は、事前の影響調査と並行して作業を行い、実質的な設定期間はblastengineよりも少し短縮できました。
| 日付 | 担当 | 作業内容 |
|---|---|---|
| 1/7〜2/17 | 近藤・インフラ | 社内外への影響調査 |
| 2/12 | インフラ | ドメイン認証用TXTレコードをDNSに追加 |
| 2/17 | インフラ | DMARCポリシーをquarantine(隔離)へ引き上げ |
| 2/18 | 近藤 | VMC(認証マーク証明書)の発行完了、GMOホスティングサービス側にSVG資材を配置 |
| 2/24 | インフラ | BIMIレコードの記載(BIMI有効化)、GMO側でDNS認証が完了したため、ドメイン認証用TXTレコードを削除 |
——通常、DMARC導入は各部署との調整で数ヶ月〜半年かかることも珍しくありません。なぜここまで早く進められたのでしょうか?
近藤:確かに、世間一般のスピード感と比較するとかなり早いかもしれません。また、大企業になればなるほど、メール送信を行っているポイントが多岐にわたります。各事業部が独自に契約しているMAツールやCRM、人事労務系ツールなどが部門ごとに点在しており、それら全てを特定してSPF/DKIM設定を揃える「全社的な棚卸し」に時間がかかるのが一般的です。
清水:弊社の場合は、インフラチームが自社のメール配信の全体像を高い解像度で把握できていたため、調査フェーズを大幅に短縮できました。ただし、これは会社の規模によるものだけではないと考えています。大企業であっても、まずは「全社のドメイン利用状況を可視化」し、現状の送信元を洗い出すことから始めれば、スムーズに進めることができるはずです。
——DMARCのポリシー変更(noneからquarantineへ)を行うにあたり、お二人は過去に経験があったのでしょうか?
清水(インフラ):私は過去にDMARCポリシーを「p=none(監視のみ)」に設定した経験はありました。しかし、それ以上の厳しいポリシー(quarantineやreject)への引き上げに関しては未経験でした。そのため、具体的な設定手順や気をつけるべきポイントなどについては、AIを相手に壁打ちをして、疑問を一つひとつ潰しながら慎重に進めていきました。
安倍(インフラ):私はDMARCの設定自体が初めてでした。NotebookLMを活用し、Webで検索した信頼できる情報をソースとして追加してAIに読み込ませ、設定方法や動作確認の手順に問題がないか、一つひとつ確認しながら進めました。
——p=none(監視のみ)からp=quarantine(隔離)に引き上げるまで、どのくらいの期間、何を確認していましたか?
清水(インフラ):blastengine側では、9日間DMARCのレポートを監視し続けました(※環境・規模により推奨監視期間は異なります)。レポートを解析して、DMARCの要件を満たしていないメール送信元の設定箇所を特定し、各担当者に連絡して修正してもらうという作業を繰り返しました。
安倍(インフラ):ブラストメール側では、2週間分のDMARCレポートをしっかりと確認しました。社内の利用者には影響範囲の説明と設定変更の依頼を行い、外部システムに関しては、エンジニアに依頼を起票し、影響の確認とDKIMなどの設定可否の確認を徹底的に行いました。
第4章:最大の難関「DMARCレポート解析」とシャドーITの洗い出し
——プロジェクトを通じて、最も困難だったポイントはどこでしょうか?
清水・安倍:やはり、準備段階における「DMARCレポートの解析」です。DMARCのレコードをDNSに設定すること自体は難しくありません。しかし、各所から送られてくるメールのアライメントを揃えるための調査が想像以上に大変でした。
——その難解なXMLレポートをどのように解析したのですか?
清水(インフラ):XMLの生データは膨大なタグと数値の羅列であり、そのままでは傾向を掴めません。そのため、DMARCレポートを可視化・集計できる解析ツールを活用しました。まずはデータを人間が直感的に把握できる形式に変換し、送信元のIPアドレスや、SPF・DKIMそれぞれの認証結果を一覧化するところから始めました。
——レポートを解析したことで、把握していなかったSaaSや外部サービスからの「野良送信」は見つかりましたか?
安倍(インフラ):はい、自社管理外と思われるサーバーからの送信を検知しました。レンタルサーバーやプロバイダのメールサーバーからの送信履歴があり最初は驚きましたが、送信元のIPアドレスが国内の主要プロバイダや教育機関のものであり、メルマガのような大量送信の痕跡もなかったため、これは悪意のあるなりすまし送信ではないと分析しました。最終的には、受信者がメールを別のメールアドレスに転送した際に、DMARCのアライメントが崩れてしまった正規のメールであると判断しました。
第5章:DMARCポリシーの変更。直面したトラブルとリカバリ方法
——DMARCのポリシーを「quarantine(隔離)」へ引き上げる際、設定を保存する時の心境はいかがでしたか?また、トラブルはありましたか?
清水(インフラ):DNSに記述するDMARCの書式が間違っていないかどうか、少し不安はありました。ただ、事前のチェックツール等で入念に確認していましたし、万が一DMARCの認証に失敗しても「quarantine」であれば迷惑メールフォルダに入るだけで済むため、そこまで極度の緊張感はありませんでした。
しかし、blastengine側で実際にquarantineに変更したとき、動作確認の中で一部のメールが迷惑メールフォルダに入ってしまう事象を発見しました。ただ、トラブルへの備えとしてDNSのTTL(キャッシュの有効期間)をあらかじめ短く設定していたため、すぐにポリシーを「none」に切り戻すことができ、リカバリは瞬時に完了しました。
安倍(インフラ):ブラストメール側の作業は、清水が担当したblastengineの作業完了から約1週間後に行いました。先行事例としての知見があり、blastengineの作業を踏まえての実施だったため、私の方は大きな緊張感もなく、特段のトラブルも一切発生しませんでした。
第6章:厳格なVMC審査とチーム間連携
——BIMI導入にあたり、SVG画像の準備やVMC取得の審査はいかがでしたか?
近藤(企画):社内にSVG形式のロゴ画像自体はあったのですが、BIMIの厳格な要件に対して、タグの属性が一部欠如していることが判明しました。しかし、今回証明書の発行をお願いしたGMOブランドセキュリティさんから、事前チェックツールの提供や適切な修正アドバイスをいただけたおかげで、スムーズに要件を満たす画像を作成することができました。
VMC取得の審査については、こういった対応が初めてだったため、認証局による本人確認には多少の抵抗感がありました。ただ、こうした厳格な審査を通過するからこそ、「このロゴがついたメールは確実に本物である」という確固たる信頼の証になるのだと実感しました。
——なるほど。ちなみにVMCの取得には、表示させるロゴの「商標登録」が必須条件になりますよね。その点での苦労はありましたか?
近藤(企画):弊社の場合はすでにサービスロゴの商標登録を済ませていたため、そこがボトルネックになることはなく非常にスムーズに進みました。
しかし、これからBIMI導入を検討される企業様がロゴの商標登録をゼロから始めるとなると、特許庁の審査を通過するまでに通常1年前後(※審査状況により異なります)かかる場合があります。
そのため、BIMI導入の際はまず自社ロゴが商標登録済みかどうか(VMCの要件を満たす公的な知的財産機関に登録されているか)を法務部門などに確認することが、スムーズに進めるための絶対に欠かせない第一歩になります。
——インフラ側と企画側でのチーム間連携で、気づきや反省点はありましたか?
清水(インフラ):BIMIのロゴ資材(SVGファイル)の配置先について、自前でサーバーを準備する前提で作業を進めていましたが、GMOさんのホスティングサービスが無料で利用できることが後々発覚しました。そこだけ事前にすり合わせができていればよかったと反省しています。ただ、不明点などは近藤さん経由ですぐに回答をもらえたので非常に助かりました。
また、DNSの設定周りについては、今回はAWSのRoute53を使用していたため、ドキュメントやAIを活用して書式ミスがないように細心の注意を払いました。登録する内容はGMOブランドセキュリティさんが例示してくれたので、迷うことなく登録できました。
安倍(インフラ):企画側から作業手順やチェックツールを事前に共有いただいたおかげで、実作業は非常にスムーズに進みました。ただ、事前の調査に一定の時間を要したため、例えば「DMARCレポートをツールに集計する」といった定型作業と、「この送信元は正しいか否かという技術的な判断を要する精査」をチーム内でうまく切り分けて分担できていれば、プロジェクト全体のスピードをさらに上げられたと反省しています。
第7章:認証済みブランドロゴ(Gmailでは青いチェックマークと共に表示)が表示された瞬間の達成感と、導入後の反響
——すべての設定が完了し、認証済みブランドロゴ(Gmailでは青いチェックマークと共に表示)が受信トレイに表示された時、率直にどう思いましたか?
清水(インフラ):ロゴが出たことで、どのサービスからのメールかが視覚的に非常にわかりやすくなったと感じました。ユーザー側も「これは正規のメールだ」とすぐに判断できる大きなメリットがありますね。
安倍(インフラ):我々が行ってきた一連の複雑な設定に誤りがなかったことの絶対的な証明でもあるので、とにかく安心しました。
——VMCは更新が必要な「証明書」ですが、運用面での懸念はありますか?
清水(インフラ):既存のSSL証明書などと同じ管理フローに組み込めるため、懸念はありません。VMC証明書の有効期限を監視する仕組みを入れ、期日が近づいたら通知が来るように設定しました。実際の更新手続きやGMO側への資材配置は近藤さん(企画側)にお願いしようと思っています。
安倍(インフラ):私も既存フローに組み込めると思いますし、運用上の懸念は特にありません。
——BIMI導入後、何か数値や反応で変化を感じた効果はありましたか?
近藤(企画):何より一番の変化は、お客様からのダイレクトな反響です。我々が配信しているメルマガやご案内メールにブランドロゴが表示されるようになったことで、「Gmailで表示されているこの青いチェックマークはどうやって出したのか?」「自社でもBIMIを導入したい」といったご相談をいただくようになりました。
受信トレイの中で視覚的に目立つだけでなく、「安全なメールを配信している企業」としての信頼感がお客様に伝わっていると実感しています。まさに自社がロールモデルとなって、お客様のセキュリティ意識を牽引していくという狙い通りの効果が出ていますね。
第8章:これからBIMI導入・DMARCのポリシーの引き上げに挑むインフラエンジニア・担当者へ伝えたいこと
——最後に、これからDMARCポリシーの引き上げや、BIMIの導入に挑む他社のインフラ担当者に向けて、アドバイスをお願いします。
清水(インフラ):導入できる環境があるのであれば、絶対にした方が良いものだと思います。導入の難易度自体は、すでにDKIMやSPFなどの認証が導入できている環境であれば、決して高くありません。ただし、いきなりポリシーを引き上げるのではなく、事前にDMARCのレポートをしっかりと確認し、quarantineに変更しても本当に問題ないかを入念に確認してから進めることが重要です。
安倍(インフラ):コスト面(VMC取得費用)や技術的なハードルとの折り合いがつくのであれば、メールの信頼性を視覚的に保証できるため、ぜひ導入すべきだと思います。成功の鍵は、事前の調査を十分に行うことです。また、無料の解析ツールには処理能力の限界があるため、複数のドメインに大量のメールを配信している規模の企業様の場合は、有償ツールの利用も初期段階から検討することをおすすめします。
最後に
最後までお読みいただき、ありがとうございます。
記事内でも触れた通り、DMARCのポリシー引き上げやBIMIの導入は、「DNSに1行レコードを追記して終わり」という単純なものではありません。難解なDMARCレポートの解析、社内稟議の壁、シャドーITの洗い出し、そして厳格なVMC審査など、乗り越えるべき多くの壁が存在します。
しかし、それを乗り越えた先にある「セキュリティの向上」と「ユーザーからの視覚的な信頼獲得(ブランドロゴの表示)」は、今後のビジネスにおいて計り知れない価値をもたらします。
- DMARCレポートの見方が全くわからない
- 予算取りの稟議が通らない
- ポリシーを引き上げると重要な業務メールが届かなくなるのが怖い
このようなお悩みをお持ちの企業様は、ぜひ一度お気軽にご相談ください。
また、BIMIについての詳細は、BIMのメリットから導入までのステップ、失敗しないためのDMARC移行ロードマップ、BIMI設定チェックリストまでをまとめたBIMI完全ガイドを無料でご用意しましたのでご活用ください。
15年連続顧客導入シェアNo.1(※ミックITリポート2025年8月号「クラウド型eメール一斉配信サービスの市場動向と中期予測(売上高/アクティブ法人顧客数)」より)のメール配信システムを提供し、27,000社以上(※2025年XX月時点)のメール配信を支援してきた我々が、自社でBIMI導入をしたリアルな経験をもとに、貴社の環境に合わせた最適なご提案から、安全で到達率の高いメール配信環境の構築までを全力でサポートいたします。
BIMIに少しでも興味がある方は以下のリンクよりお問い合わせください。
