Mark Verifying Authority(MVA)とは?VMC発行の仕組み
MVAエコシステムの仕組み、Verified Mark Certificateの発行が承認されている認証局、未承認CAからの購入がBIMI導入を失敗させる理由について解説します。
証明書チェーン:Mark Verifying Authority(MVA)とは?
Verified Mark Certificate(VMC)は、どの認証局でも発行できるわけではありません。VMCを発行するには、認証局はまずMark Verifying Authority(MVA)の認定を取得する必要があります。これは、AuthIndicators Working Group(一般にBIMI Groupとして知られる)が定める厳格な技術的、運用的、監査要件を満たした場合にのみ付与される資格です。
VMCを購入する前に、MVAエコシステムを理解することは不可欠です。未承認のソースから購入した証明書は、Gmail、Apple Mail、その他のBIMI対応メールクライアントに認識されず、ブランドロゴは受信トレイに表示されません。
Mark Verifying Authorityとは?
Mark Verifying Authority(MVA)は、AuthIndicators Working Groupによって正式にVMC発行を承認された認証局です。MVAは2つの重要な機能を果たします:
- 商標検証 — VMCを申請する組織が、ロゴに関連する商標の正当な所有者であることを確認します。
- 証明書発行 — 検証済みの商標をSVGロゴファイルとドメインに紐付ける、暗号署名されたVMCを発行します。
GoogleやAppleなどのメール受信者は、承認されたMVAが発行したVMCのみを信頼します。この承認リスト外の認証局が発行した証明書の場合、BIMIアサーション全体がサイレントに失敗します。ロゴは表示されず、送信者にエラーも通知されません。
2025年時点で承認されているMVA
AuthIndicators Working Groupが、承認MVAの正式なリストを管理しています。2025年時点で、3つの認証局がMVAステータスを保持しています:
| MVA | 備考 | |---|---| | DigiCert | 最初に承認されたMVA。DigiCertブランドでVMCを発行 | | Sectigo | VMCを発行。S/MIMEおよびコード署名に強い歴史を持つ | | GlobalSign | VMCを発行。エンタープライズPKIに強いプレゼンス |
重要: このリストは新しい認証局が承認プロセスを完了すると変更されます。購入前に必ずAuthIndicators Working Groupで最新のMVAステータスを確認してください。
認証局がMVAになる方法
承認プロセスは意図的に厳格に設計されています。認証局は、BIMI GroupがMVAステータスを付与する前に、以下のすべての要件を満たす必要があります。
1. 認証業務運用規程(CPS)の公開
認証局は認証業務運用規程(Certification Practice Statement)を公開する必要があります。これは、VMCの発行、管理、失効、更新の方法を正確に記述した詳細な公開文書です。CPSはVMC発行手順と商標検証ワークフローに具体的に言及している必要があります。
2. Certificate Transparency(CT)ログへの記録
発行されるすべてのVMCはCertificate Transparencyログに送信する必要があります。これは、発行されたすべての証明書の公開監査可能な追記専用記録です。これにより、メール受信者、研究者、ドメイン所有者が誤発行または不正な証明書を検出できます。
3. 証明書失効インフラの構築
認証局は証明書失効リスト(CRL)、または同等のOCSPレスポンダーを運用・維持する必要があります。これにより、侵害された、または誤って発行されたVMCを迅速に失効できます。メール受信者はロゴを表示する前に失効ステータスを確認します。
4. WebTrust VMC監査の受審
認証局は、認定された第三者監査人によるWebTrust for VMC監査を委託し、合格する必要があります。WebTrust監査は、認証局の実際の慣行が公開されているCPSと一致しているかどうかを評価します。これらの監査は毎年繰り返され、継続的なコンプライアンス負担が生じます。
5. CCADBへの登録
認証局はCommon CA Database(CCADB)に登録する必要があります。これは、Mozilla、Microsoft、Apple、Googleが信頼された認証局を追跡するために使用する共有リポジトリです。CCADB登録は、主要なプラットフォームベンダーからの信頼を求める認証局にとって必須条件です。
VMCの価格が1,000ドル以上する理由
上記で説明したコンプライアンスインフラの構築と維持には多大なコストがかかります。各承認MVAは以下を行う必要があります:
- 年次WebTrust監査への資金提供(監査サイクルごとに通常数万ドル)
- 高可用性CTログ送信パイプラインの運用
- 24時間365日のCRLおよびOCSPインフラの維持
- グローバルな商標登録機関全体でIP所有権を検証できる商標検証チームの配置
- CCADB登録の維持とブラウザおよびメールプラットフォームベンダーからのポリシー変更への対応
これらのコストは購入者に転嫁されます。年間1,000〜1,500ドルという市場価格を下回るVMCは警戒すべきです。発行元の認証局が完全なMVA承認プロセスを完了していない可能性があります。
VMC購入時にこれが重要な理由
承認されたMVAのみが受け入れられる証明書を発行できる
GmailとApple Mailは、BIMIロゴを表示する前に証明書チェーン全体を検証します。発行元の認証局が承認MVAリストにない場合、チェーン検証は失敗し、ロゴは表示されません。フォールバックも警告も部分的な表示もありません。
商標検証は形式的なものではなく法的要件
MVAは、公式の商標登録機関(USPTO、EUIPO、WIPOなど)を通じて商標所有権を確認することが求められています。このステップは、メールエコシステムとブランドの両方を保護します。適切な商標検証なしに発行されたVMCは非準拠であり、失効される可能性があります。
失効はいつでも発生する可能性がある
MVAが証明書が誤って発行されたことを発見した場合、または商標登録が失効した場合、VMCは失効される可能性があります。メール受信者はほぼリアルタイムで失効ステータスを確認するため、失効したVMCはすべての受信トレイで即座にロゴが消失します。
重要なポイント
- MVAステータスはAuthIndicators Working Groupによって付与されるものであり、認証局が自己宣言するものではありません。
- 現在承認されているMVAは3社:DigiCert、Sectigo、GlobalSign。
- 承認プロセスには、公開CPS、CTログ記録、CRLインフラ、WebTrust監査、CCADB登録が必要です。
- VMCの高価格は真のコンプライアンスコストを反映しており、恣意的なマージンではありません。
- 購入前に必ずMVAステータスを確認してください。未承認の認証局からの証明書はGmailやApple Mailで機能しません。
次のステップ
VMCを購入する前に、BIMIの基盤が整っていることを確認してください:
- DMARC適用 — ドメインに
p=quarantineまたはp=rejectのDMARCポリシーが設定されている必要があります。 - SVGロゴ準拠 — ロゴはBIMI SVG Tiny P/Sプロファイルに準拠している必要があります。
- 商標登録 — ロゴは、選択したMVAが認識する法域で商標として登録されている必要があります。
makeBIMI.comとveriBIMI.comで始めましょう
- makeBIMI.com — ロゴをBIMI準拠のSVG Tiny PSファイルに無料で変換し、VMC申請前にドメインの完全なDMARCオーディットを実行できます。
- veriBIMI.com — エンタープライズチーム向けのCA非依存VMCブローカーサービス。DigiCert、Sectigo、GlobalSignのすべての承認MVAの価格と発行スケジュールを、ベンダーロックインなしで単一プラットフォームから比較できます。