GmailでBIMIにVMCは必要?(2026年版)
GmailでBIMIにVMCは必要?(2026年版)
BIMI導入を計画する際、管理者から最も多く寄せられる質問は、暗号化証明書が必要かどうかです。はい。GmailまたはApple Mailでロゴを表示するには、Verified Mark Certificate(VMC)またはCommon Mark Certificate(CMC)を取得する必要があります。
本記事では、メールボックスプロバイダー間のポリシーの違いと、大手プロバイダーが証明書ベースの検証を義務付けている理由について解説します[1]。
BIMIの2つの階層
Brand Indicators for Message Identification(BIMI)プロトコルでは、2つの実装階層が定義されています:
- 自己申告型BIMI: ドメイン所有者がロゴファイルを参照するDNSレコードを公開します。第三者による身元確認は行われません。
- 認証型BIMI: ドメイン所有者がロゴファイルと、認定認証局(CA)が発行した
.pem証明書の両方を参照するDNSレコードを公開します。
Yahoo方式(自己申告型)
Yahoo MailとAOLは自己申告型の階層を受け入れます。ドメインでDMARCをp=quarantineまたはp=rejectで適用し、ロゴがW3C SVG Tiny P/S仕様に準拠していれば、これらのクライアントでロゴが表示されます。VMCは必要ありません。
GoogleおよびApple方式(認証型)
Gmail、Google Workspace、iOS Mail、macOS Mail、iCloud Mailは認証型の階層を必要とします。これらのクライアントは自己申告型レコードを拒否します。BIMIレコードに有効な証明書を参照するa=タグが含まれていない場合、これらのクライアントはレコードを無視し、汎用のシルエットプレースホルダーを表示します[2]。
GmailとAppleが証明書を要求する理由
証明書要件は、DMARCの保護における特定のギャップに対処するためのものです。
DMARCは、メッセージがFromヘッダーに記載されたドメインから発信されたことを検証します。しかし、DMARCはドメイン所有者が特定のロゴを表示する法的権利を持っているかどうかは検証しません。証明書要件がなければ、攻撃者がsecure-bank-alerts.comを登録し、そのドメインでDMARCを適用した上で、正規の銀行のロゴを参照する自己申告型BIMIレコードを公開することが可能になります。
このような視覚的なスプーフィングを防ぐため、GoogleとAppleはEntrustやGlobalSignなど、WebTrust監査を受けた認証局に身元確認を委託しています。
VMCを申請する際、認証局は組織に対して公証人による身元確認を行い、公式の商標登録簿に対してロゴを検証します。この確認が完了して初めて、認証局は証明書を発行します。
青いチェックマーク
Gmailは、VMCを導入したドメインの送信者名の横に認証済みの青いチェックマークを表示します。このチェックマークは、送信インフラストラクチャとブランドアイデンティティの両方が暗号的に検証されていることを受信者に示します。
[!NOTE]
Common Mark Certificate(CMC)を使用すると、登録商標がなくてもGmailでロゴを表示できますが、青いチェックマークは有効になりません。
導入手順
GmailとApple Mailでロゴを表示するには、以下の手順を完了してください:
- 技術的な前提条件を満たす。 ドメインでDMARCを適用し、W3C SVG Tiny P/S仕様に準拠したロゴファイルを作成します。ファイル作成を自動化するには、makeBIMIをご利用ください。
- 証明書を取得する。 認証局への申請には、商標に関する書類とコンプライアンス審査が必要です。企業では通常、veriBIMIなどの代行サービスを利用して、インフラストラクチャの監査、商標確認の管理、最終的な証明書の発行を行います。
自己申告型レコードはテスト用途に適しています。GmailとApple Mailでの本番運用には証明書が必要です。
参考文献
[1] AuthIndicators Working Group. "BIMI Certificates." BIMI Group, https://bimigroup.org/bimi-certificates/ [2] Google Workspace Admin Help. "Set up BIMI." Google Support, https://support.google.com/a/answer/10911320