>>Digicertの記事はこちら
Gmailは現在、VMCを使用して商標ロゴを受信トレイに表示しており、より多くのメールクライアントがこれに続くと予想されています。
こうした現状と今後の展望を把握するため、サイバーセキュリティの専門家チームを再び結集しました。Jeremy Rowley、Dr. Avesta Hojjati、Mike Nelson、Jason Sabin、Dean Coclin、Stephen Davidson、Tim Hollebeek、Brian Trzupek という顔ぶれです。
このチームが 2022 年のセキュリティ界を見通した予測を詳しく見てみましょう。
>>VMCの詳細についてはこちら。
Gmail BIMI(Brand Indicators for Message Identification:認証済みメールにブランドロゴを表示する規格)パイロットを終了し、Verified Mark Certificates(VMC:認証マーク証明書)を販売するにあたり、このパイロットを可能にしてくれた参加者に感謝するとともに、得られた教訓をいくつか紹介したいと思います。
VMCは、企業のロゴをメールに表示することができます。これは、Twitterの青いチェックマークやInstagramの検証済みバッジと同じような概念です。VMCは、エンドユーザーがお客様のブランドを認識するのに役立ち、また、DMARC(Domain-based Message Authentication, Reporting, and Conformance:電子メールの送信元ドメイン認証技術)に準拠することで、なりすましに対する保護レイヤーとして機能します。
デジサートは2019年10月に、これらの新しい証明書のためのパイロットの一部として、CNNにVMCを初めて発行しました。また、2020年7月に開始されたGmailのBIMIパイロットにも参加しました。この数ヶ月間、先駆的な組織に最初のVMCを発行してきましたが、この新しいタイプの証明書に関する貴重な教訓やよくある質問を目の当たりにしてきました。メールクライアントにブランドロゴを表示させたいと考えている組織の方に、知っておいていただきたいことがあります。
VMCをリクエストする前に、パイロットの実施中に学んだいくつかのヒントとよくある落とし穴をご紹介します。
1.ロゴが正しいフォーマットであることを確認する
BIMIに必要な独自の新しいSVGフォーマットには、当初いくつかの課題がありましたので、その方法をまとめたブログを作成しました。
VMCにはSVGロゴが必要で、SVG Tiny 1.2形式で、SVG Portable/Secureプロファイルに準拠している必要があります。
BIMIワーキンググループでは、この変更を行うためのグラフィック変換ツールをいくつか用意しています。
さらに、あなた(または才能あるデザイナー)がAdobe Illustratorを使って自分で作成することもできます。
こちらのブログでは、ロゴをSVGに書き出すための手順を紹介しています。
2.ロゴが対象となる管轄区域のいずれかで商標登録されていることを確認する。
商標登録されているロゴは、商標権者に法的保護を与えているため、BIMIでは、組織がVMCを受ける前に、登録商標であるロゴを使用することを要求しています。
現在、VMCガイドラインで認められている知的財産権事務所は下記の8機関のみです。
・米国特許商標庁(USPTO)
・カナダ知的財産庁
・EU知的財産局
・英国知的財産局
・ドイツ特許商標庁
・日本特許庁
・スペイン特許・商標庁 O.A.
・IP Australia
です。
3.送信ドメインにDMARCが適用されていることを確認する。
送信側のドメインはDMARCが適用されている必要があり、「p=quarantine」または「p=reject」のいずれかのDMARCレコードが必要です。パートナーであるValimail社のドメインチェックツールやBIMIグループのドメインチェックツールを使って、ドメインがDMARCに準拠しているかどうかを確認することができます。
お客様のドメインがまだDMARCに準拠していない場合は、VMCの要件を満たすために>>DMARCを設定する方法をご覧ください。
4.デジサートが手配する公証人との面談の準備と意思があること
デジサートは、近くにいる公証人が、あなたの組織の代表者と都合の良い場所で会えるように手配します。代理人の場合は、公証人がチェックするIDを提出し、宣言書にサインしていただきます。公証人からの情報がないと先に進むことはできません。
5.最初に何をすべきか知る必要があります。そうしないと、コストがかかったり、プロセスが遅れたりする可能性があります。
VMCをご注文いただく前に、こちらの手順をご確認ください。これらの手順を踏む前にVMCのリクエストを提出した場合、VMCの承認が遅れてしまいます。
ロゴの商標登録やDMARCへの対応には時間がかかる場合がありますので、今からVMCを申請する準備をしておいてください。
また、この試験を可能にしてくれたパイロット参加者にも感謝したいと思います。VMCの効果についてのパイロット参加者の声は、
こちらのプレスリリースをご覧ください。
パイロットリスト
昨年、当社はValimail社と提携し、企業がBIMIに備えられるように支援し、より一貫性のある安全なEメールエコシステムを確保できるようにしました。Valimail社は、DMARC分野のリーダーです。ゼロトラストのIDをベースとしたフィッシング対策のパイオニアである同社は、送信者のIDを検証し、認証するためのクラウドネイティブプラットフォームを提供しています。DMARCレポートを解釈するための最も完全で効果的な可視化ツールを提供し、DMARCの実施を達成したお客様の中で最も高い成功率を誇っています。また、Microsoft 365のお客様にDMARCサービスを提供している最大の企業であり、世界で最も急成長しているDMARCベンダーでもあります。DMARCの実施についてサポートが必要な場合は、Valimail社のサイトで詳細をご覧ください。
組織が業務を継続し、利益を吟味するようになると、結果的にセキュリティ技術の効率化が推進されるようになります。セキュリティチームは、これまで以上にリソースの利用を効率化して実績をあげることが求められるでしょう。2022 年は、組織がリソースの利用を効率化して実績をあげられるような技術が重視され、新たな年のセキュリティのイノベーションにおいて自動化が重要な役割を果たすことになると考えられます。最近 デジサートが実施した調査では、PKI 証明書管理の自動化を少なくとも検討しているという企業が 91%に達しました。AI(人工知能)と ML(機械学習)の技術は、こうした自動化を推進するうえで不可欠な役割を、今後も果たし続けるはずです。
デジサートからいち早くVMCを手に入れることができます。始めるのを待つ必要はありません。ロゴの登録やDMARC準拠の手続きには数週間かかることがあり、組織の規模が大きくなればなるほど時間がかかる可能性があります。組織がDMARCに準拠していること、ロゴが商標登録されていること、適切なフォーマットであることを確認することで、VMCを取得するための準備ができます。VMCの準備については、こちらをご覧ください。
・SSLサーバー証明書
・コードサイニング
その他証明書
・バウチャ(クーポン)
