HENNGEのソリューションといえば「HENNGE One」を思い浮かべる方が多いかもしれませんが、実は他にもSaaSソリューションを提供しており、その一つである「Customers Mail Cloud」は 2022年から売上高2.5倍の成長を続けています。
メール配信基盤や、BIMI導入のコンサルティングサービスを手がけるMessaging Business Division事業部長 執行役員の大久保さんに、HENNGEのオウンドメディア「変化|へんか」編集部がお話を伺います。
── まずは大久保さんについて少し教えてください。
Messaging Business Division(以下、MBD)で、プロダクトオーナーとして「Customers Mail Cloud(以下、CMC)」の基盤開発に携わってきました。現在は、MBDのDivision Managerとして、組織づくりや採用に注力しています。
── MBDの主要な事業であるCMCは、どんなプロダクトなのでしょうか?
CMCは、「クラウドからのメール送信を簡単に。確実に。」をコンセプトとしたクラウド型メール配信サービスです。
ひと言で言えば、クラウドから簡単かつ確実にメールを送信できる、フルマネージド型のメール配信基盤を提供するSaaSです。中央官庁や、数百万人規模の顧客を抱えるBtoC企業に導入いただいており、ワンタイムパスワードの送信や取引確定通知など、企業の基幹業務においてシステムが自動送信する通知メールの配信に活用されています。
── 通知にはやはりメールが用いられることが多いのでしょうか?
近年、オンライン消費の増加や企業のDX推進に伴い、電子メールは重要なコミュニケーション手段として利用が拡大し続けています。一方で、なりすましメールを入口としたフィッシング詐欺などのリスクも高まっており、各携帯キャリアやMicrosoft、Googleなどのプロバイダーは厳しいメールセキュリティ対策を講じています。そのため利用者に確実にメールを届けるには、メールセキュリティに関する深い知識が求められます。
CMCは、そうしたセキュリティ対策を考慮し、高い到達率・高い可用性・高いセキュリティでメールを届けられるよう設計された配信基盤です。中央官庁が運営するポータルサイトやインターネットバンキングなどで利用されており、知らず知らずのうちにCMCを通じて送信されたメールを日々受け取っているかもしれません。
── メール配信としてのCMCはどのような立場のプロダクトなのでしょうか?
CMCの特徴は、ミッションクリティカルなメールを自動送信するためのサービスである点です。デジタル庁や厚生労働省、文部科学省などの中央官庁をはじめ、金融、保険、教育、人材、IT、電力、ガス、運輸など幅広い業界の大手企業で導入いただいています。
DX推進により、近年は郵送からメールへの切り替えが進んでいます。例えば保険業界では、年次の契約更新通知を郵送からメールに切り替えたことで、大幅な効率化とコスト削減が実現されました。そうした背景から、CMCの導入ニーズは年々高まっています。
── メールが企業活動において重要な役割を担うようになったのですね。
そうですね。メールの到達性が、事業に大きな影響を与えるようになってきていると思います。
また企業活動だけでなく、受験の出願や結果通知などもメールで行われることが増えました。以前、高校入試のオンライン出願時に案内メールが届かなかったトラブルが大きなニュースになりましたが、メールの到達性が人生をも左右する時代になっていると言えるかもしれません。
── メールの重要性が増すとともに、メールセキュリティについても重要度が増しているんですよね?
メールは古くからある標準的なプロトコルを使用しているため、簡単に運用できると思われがちですが、昨今のなりすましメールを入り口としたフィッシング詐欺の横行に伴い、その運用は非常に複雑化しています。
2023年2月には、経済産業省・警察庁・総務省が連名で、クレジットカード会社などに対してフィッシング対策の強化を要請しました。その一環として、メール送信者のドメインが正当であるかを検証する「DMARC」という認証技術の導入が推奨され、多くの企業がDMARCをはじめとしたメールセキュリティ技術の導入を進めています。
現在、受信側(生活者側)はMicrosoftやGoogleといったプラットフォーマーにシェアが集中しており、セキュリティ対応が進みやすい状況にあります。
これらの大手メールプロバイダーが、増加するなりすましメールへの対策として、新たな技術やルールを次々に導入し、セキュリティを強化しているためです。
一方、送信側(企業側)には多様なシステムが存在するので、各企業がそれぞれセキュリティを強化する必要があります。CMCでは、企業向けにDMARCをはじめとした安全なメール送信の仕組みを包括的に提供することで、セキュリティ対策の強化に貢献しています。
── 送信側のセキュリティ対策としてこれまでは「SPFやDKIMの設定さえしておけば大丈夫」と言われていましたが、現在ではどのような技術が登場しているのでしょうか?
先ほども軽く触れましたが、メールセキュリティ分野で近年注目されている技術が「DMARC」と「BIMI」です。
現在、銀行や企業のドメインを偽装した「なりすましメール」が大きな社会問題になっています。こうしたメールのリンク先にアクセスすると、本物そっくりにつくられた偽サイトに誘導され、IDやパスワードなどの機密情報が盗まれる危険性があります。この被害は消費者にとどまらず、企業にもブランド価値や信用の毀損といった影響を及ぼしています。
この問題への対策として注目されているのがBIMIです。BIMIは、厳格な認証を通過したメールにのみ、商標登録されている企業やブランドのロゴを表示する技術で、これにより受信者はメールが正規のものであることをひと目で判断できるようになります。そして、この“厳格な認証”を行うための技術がDMARCです。
実際、当社の組織ドメイン hennge.com も我々 Messaging Business Division が支援をしてDMARCポリシーを引き上げ、現在はBIMIに対応しています。社内で日々利用しているメーラーで自社のブランドロゴが表示されたときの反響は大きかったです。
── DMARCとBIMIについて、もう少し詳しく説明をお願いします。
DMARCは、SPFとDKIMという2つのメール認証技術を補強する仕組みです。SPFやDKIMでは、送信者が正規かどうかの確認はできますが、認証に失敗したメールの扱いは受信者の判断に委ねられます。これに対して、DMARCを導入すると、SPFとDKIMの認証結果に基づき、認証に失敗したメールの処理方法(受け入れる、隔離する、拒否する)を、 送信者があらかじめ指定できるようになります。
BIMIは、DMARCで「認証に失敗したメールは拒否せよ」とあらかじめ設定されており、そのうえでSPFとDKIMの両方で認証が成功した場合にのみ、メールにロゴを表示させる仕組みです。
── しかし自分のメールボックスを見てみると、ロゴが表示されているメールはほとんどなく、BIMIを導入している企業はまだ少ないように感じます。BIMIの導入には、やはり手間がかかるのでしょうか?
そうですね。特にハードルが高いのが、DMARCで「認証に失敗したメールは拒否せよ」と設定する部分です。自社のメールが100%認証に通る自信がなければこの設定を行うことは難しく、多くの企業では設定の不備により自社のメールが届かなくなるリスクを避けるため、慎重に対応しています。
とはいえ、DMARCの導入は急速に重要性を増しています。経済産業省や警察庁、総務省が連名で導入を推奨しているほか、GoogleでもGmailに1日5,000通以上のメールを送信する事業者に対し、DMARCの導入を義務化しています。こうした状況を踏まえ、CMCではSPF、DKIM、DMARCの設定に対応し、BIMIの導入に必要な環境を整えるためのサポートを提供しています。
── HENNGEはメール業界の世界的なコミュニティであるM3AAWGに参画していると伺いましたが、具体的にはどのようなことを行っているのですか?
はい。M3AAWGは、Google、Microsoft、Amazon など多くのプラットフォーマーが参加し、フィッシングやウイルスなどのセキュリティの脅威への対策を議論・共有するコミュニティです。米国西海岸、東海岸、および、ヨーロッパと年3回のミーティングが開催されており、海外出張として当社社員が参加しています。Gmail のメール送信者ガイドラインも M3AAWG のミーティングで会話されており、メール業界の最新の動向を知ることができます。
DMARCやBIMIについても、M3AAWGで取り扱われている技術テーマの1つです。
── すばらしいですね。そのような活動がCMCだけではなく、HENNGE Oneにも活かされているのですね。hennge.com に BIMIを導入する上では、どのような苦労がありましたか?
当社においては、hennge.com のみならず、当社が保有している全てのドメインの洗い出しとメール送信での利用状況を把握するところからスタートしたので、まず、保有ドメインの全容を把握するための調査に苦労しました。全ての保有ドメインにDMARC p=none の設定を行い、DMARCレポートを受信してメール送信での利用状況を把握しました。なりすましメールの送信防止の観点では、「メール送信に利用していないドメインは、p=reject を宣言しておく」ということも大事でして、メール送信の有無に関わらず、全ての保有ドメインにDMARCを設定し、ドメインを保護することを推奨します。
hennge.com においては、様々なメール送信元が存在しており、特にマーケティングで利用しているメール送信において、DKIMへの対応に時間を要しました。また、なりすまされているものも含め、相当な数のサブドメインがDMARCレポートによってレポーティングされることが判明し、なりすまし、自社利用、転送メールなど「なぜこのドメインがレポートされているのか」の原因特定と対処への意思決定に時間がかかりました。
全ての調査とメール認証(SPF/DKIM)の対応を終えた後に、DMARCポリシーを引き上げていきましたが、この過程では幸い大きなトラブルはなく、p=quarantine までDMARCポリシーを引き上げることができました。
── HENNGEでは、どんなBIMI導入に関するサポート提供しているのでしょうか?
まさに上記でお話ししたような、DMARC / BIMI 導入に関する支援をご提供しています。BIMIの導入をご検討されている場合は、その前段として、DMARCポリシーを quarantine 以上に引き上げる必要があります。また、BIMI導入においては、知財としてのロゴデータやVMC証明書の用意といった特殊な知見も必要になってきますが、そういった準備もご支援することができます。CMCというメール認証に対応したメール配信サービスと合わせて、ワンストップで、BIMI導入までご支援できることが当社の強みだと思います。 DMARC / BIMI 導入にご興味のある方は、以下ページから、お気軽にお問い合わせいただければ幸いです。
https://lp.smtps.jp/dmarc/active
