【日本証券業協会 ガイドライン改正対応】証券取引の安全を守る「メール送信ドメイン認証」と「BIMI」の重要性

2025年10月15日、日本証券業協会（日証協）は「インターネット取引における不正アクセス等防止に向けたガイドライン」を大幅に改正・施行しました。

この改正は、2025年前半に証券業界で深刻化したフィッシング詐欺や不正ログイン事案を受け、「もはや従来の対策では顧客の資産を守れない」という強い危機感のもとで行われたものです。今回の改正における最重要トピックは以下の3点に集約されます。

• 多要素認証（パスキー等）の必須化: フィッシング耐性の強化
• 即時通知の徹底: ログイン・取引時のリアルタイムメール送信
• メールの正当性確保: 送信元認証による「なりすまし」の排除

特に3番目の「メールの正当性確保」は、他の施策の実効性を左右する極めて重要な基盤です。せっかく即時通知を実装しても、その通知メール自体が「なりすまし」に脆弱であれば、顧客は本物と偽物の区別がつかず、被害を食い止めることはできません。

本記事では、改正ガイドラインが求める技術要件を解剖。SPF/DKIM/DMARCの厳格な運用から、視覚的な信頼を担保するBIMIの導入、そして即時性を担保するインフラ設計まで、セキュリティ担当者が今すぐ着手すべき実務を解説します。

日証協ガイドライン改正の核心：なぜ今「メールの正当性」が問われるのか

2025年10月に施行された改正ガイドラインは、証券会社のインターネット取引サービスに対して、従来よりも格段に高いセキュリティ水準を要求しています。その背景と、ガイドラインが「メールの正当性確保」にまで踏み込んだ理由を理解することが、対策の第一歩です。

参考：「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正について

改正の背景：不正アクセス・フィッシング被害の激増

2025年前半、日本の証券業界はかつてない規模の不正アクセス被害に見舞われました。攻撃者はフィッシング詐欺やリスト型攻撃（他のサービスから流出したID・パスワードの流用）によって顧客のログイン情報を窃取し、顧客の口座で不正な株式売買を行う事案が多発しました。この事態を受け、日証協は「インターネット取引における不正アクセス等防止に向けたガイドライン」を抜本的に見直し、2025年10月15日付で改正版を施行したのです。

金融庁も証券会社各社に対して緊急の対策強化を要請するなど、証券取引のセキュリティは国家レベルの喫緊の課題として位置づけられています。このガイドライン改正は、単なる「業界の自主規制の更新」ではなく、証券会社の経営判断に直結するコンプライアンス上、極めて優先度の高い対応事項と言えるでしょう。

改正ガイドラインの主要な改正ポイント

改正ガイドラインは、以下の4つの柱で構成されています。

改正ポイント	内容	対応の緊急度
フィッシング耐性のある多要素認証の必須化	ログイン時・出金時・出金先口座変更時にパスキー等の多要素認証を実装	最高
不正売買・不正出金の検知・防止	不正取引を検知するシステムの利用状況確認の義務化	最高
顧客へ送付するメール等の正当性の確保	メールやSMSの送信元の真正性を技術的に担保する措置	高
内部管理態勢の強化と顧客への周知・注意喚起	ログイン・取引時の即時通知、認証失敗時のアカウントロック機能の自動発動	高

この表の3番目「メール等の正当性の確保」は、技術的に言い換えると「送信ドメイン認証（SPF/DKIM/DMARC）の厳格な設定と、可能であればBIMIによる視覚的な送信者識別の導入」に他なりません。さらに4番目の「即時通知」は、メール配信インフラの「速度」「可用性」「到達率」に対する要求です。

「メール等の正当性の確保」がガイドラインに明記された意味

改正ガイドラインが「顧客へ送付するメール等の正当性の確保」を明確に要求した背景には、深刻な構造的問題が存在します。

多要素認証を導入し、ログイン検知の即時通知を実装したとします。しかし、もしその「ログイン検知通知メール」の送信ドメインにDMARCが設定されていなければ、攻撃者はそのドメインを「なりすまし」て、「お客様の口座に不審なログインがありました。今すぐこちらからパスワードを変更してください」というフィッシングメールを送ることが技術的に可能です。しかも、送信者名も差出人アドレスも本物と見分けがつかない完璧な偽装です。

顧客は、正規のログイン通知とフィッシングメールを区別する術を持ちません。セキュリティを強化するために増やされた通知が、逆にフィッシング攻撃の入口を増やしてしまうという本末転倒な事態が起こり得るのです。これが、ガイドラインが「メールの正当性の確保」を独立した要件として明記した決定的な理由です。

送信ドメイン認証（SPF/DKIM/DMARC）の徹底を優先すべき理由

ガイドラインが求める「メールの正当性の確保」を技術的に実現するための最も基本的かつ重要な施策が、送信ドメイン認証の3要素（SPF・DKIM・DMARC）の厳格な設定です。

SPF・DKIM・DMARCの役割と関係性

• SPF（Sender Policy Framework）: メールの送信元IPアドレスが、そのドメインの正当な送信サーバーとして登録されているかをDNSレコードで検証する仕組みです。「このドメインからのメールを送って良いのは、このサーバー群だけです」と宣言するもので、なりすまし送信の第一関門となります。
• DKIM（DomainKeys Identified Mail）: メールに電子署名を付与し、送信途中でメール本体が改ざんされていないことを検証する仕組みです。送信側の秘密鍵で署名し、受信側がDNSに公開された公開鍵で署名を検証します。
• DMARC（Domain-based Message Authentication, Reporting, and Conformance）: SPFとDKIMの認証結果に基づき、「どちらかの認証に失敗したメールをどう扱うか」を送信ドメインの管理者がポリシーとして宣言する仕組みです。

この3つの中で、ガイドライン対応の文脈で最も重要なのがDMARCです。SPFとDKIMはあくまで「認証の手段」ですが、DMARCは「認証に失敗したなりすましメールを”受信させない”と命令する唯一の手段」だからです。

金融機関に求められるDMARCポリシー：「p=reject」への移行

DMARCポリシーには3段階があります。

• p=none（監視）: 認証に失敗しても、メールは通常通り配信される。認証結果のレポートだけを受け取る。
• p=quarantine（隔離）: 認証に失敗したメールを、受信者の迷惑メールフォルダに振り分ける。
• p=reject（拒否）: 認証に失敗したメールを、受信者に一切配信しない（完全に拒否する）。

証券会社のように顧客の金融資産を守る責任を持つ組織においては、p=none（監視のみ）の状態のままガイドライン対応を完了したとは到底言えません。改正ガイドラインが求める「メールの正当性の確保」を真の意味で達成するためには、最終的にp=quarantineまたはp=rejectまで段階的にポリシーを引き上げ、自社ドメインから送信される「なりすましメール」を強制的にブロックする体制を構築する必要があります。

ただし、いきなりp=rejectに設定すると、自社の正規メール（各事業部門が利用している外部SaaS経由の送信や、CRMツールからのマーケティングメールなど）がSPF/DKIMの設定漏れによって意図せずブロックされるリスクがあります。まずはp=noneでDMARCレポート（集約レポート: rua）を収集・分析し、すべての正規送信元を洗い出してSPF/DKIMを正しく設定した上で、p=quarantine→p=rejectへと段階的に移行するロードマップを策定することが、安全かつ確実な進め方です。

BIMI導入でメールに企業ロゴを表示させる

送信ドメイン認証（SPF/DKIM/DMARC）は、メールの「技術的な真正性」を受信サーバーに対して証明する仕組みです。しかし、一般の顧客（エンドユーザー）には、受信したメールのSPFやDKIMの認証結果は見えません。顧客は依然として「メールの見た目」で本物か偽物かを判断しなければならないのが現状です。この「技術と顧客体験の間のギャップ」を埋める最先端のソリューションが、BIMI（Brand Indicators for Message Identification : ビミ）です。

BIMIとは？技術的な仕組みとメリット

BIMIは、メールの受信ボックスにおいて、送信者のブランドロゴ（企業ロゴ）を視覚的に表示する標準規格です。Gmailをはじめとする主要なメールクライアントが対応しており、BIMIが設定されたドメインからのメールには、送信者名の横に公式のブランドロゴアイコンが表示されます。BIMIの導入には以下の技術的前提条件があります。

• DMARCポリシーがp=quarantineまたはp=rejectであること: BIMIは、DMARCが厳格に運用されていることを前提としています。つまり、BIMI導入の第一歩はDMARCのポリシー強化です。
• VMC（Verified Mark Certificate / 認証マーク証明書）の取得: 企業のロゴが商標登録されていること、そしてそのロゴの正当な利用権を持つ企業であることを第三者認証局（DigiCert等）が証明する電子証明書です。

BIMIのメリットは、セキュリティ対策としての効果とマーケティング効果の二面性にあります。

• フィッシング詐欺・なりすましメール対策の強化：BIMI導入の前提条件として、DMARCポリシーの厳格化「quarantine（隔離）」または「reject（拒否）」に対応する必要があるため、強固なセキュリティ対策がなされている証明となります。
• 「ブランド認知」と「開封率」の向上：受信トレイに自社のロゴが表示されることで、受信者は一目で「正規のメールである」と判断でき、ブランドの認知拡大とメール開封率の向上につながります。
• メールマーケティングの効果改善：BIMIを実装することで送信元の正当性が可視化され、 メールの到達率・開封率・クリック率等の改善が期待できます。また、受信トレイ内での視認性を高めることで、競合他社のメールに埋もれないブランドポジションを構築し、差別化を図ることが可能です。

BIMI導入済みの証券会社一覧

実際に、日本の主要証券会社の間では既にBIMIの導入が進んでいます。以下は、BIMIを導入済みの主な証券会社です。

証券会社名	主な対応ドメイン	VMCステータス	備考
SBI証券	sbisec.co.jp	VMC取得済み	ネット証券最大手
楽天証券	rakuten-sec.co.jp	VMC取得済み	楽天グループによる導入
野村證券	nomura.co.jp, nomura.com	VMC取得済み	野村ホールディングスとして複数ドメインで対応
大和証券	daiwa.co.jp	VMC取得済み	accounts.daiwa.co.jp等でも導入
マネックス証券	monex.co.jp	VMC取得済み	—
岡三証券	okasan.co.jp	VMC取得済み	岡三証券グループ
三菱UFJモルガン・スタンレー証券	sc.mufg-terrace.com	VMC取得済み	三菱UFJフィナンシャル・グループ
SBIネオトレード証券	sbintd.jp	VMC取得済み	SBIグループ
GMO外貨	gaikaex.com	VMC取得済み	FX等の金融関連サービス

※出典：なりすまし対策ポータル ナリタイ BIMI対応組織リスト（2026年2月時点で確認）

この表を見れば明らかなように、日本を代表する主要な証券会社はすでにBIMIの導入を完了しています。多くの主要証券会社がすでにBIMI対応を進めていることからも、業界全体として対応が急務となっている領域と言えます。

BIMIについての詳細は、BIMIのメリットから導入までのステップ、失敗しないためのDMARC移行ロードマップ、BIMI設定チェックリストまでをまとめたBIMI完全ガイドを無料でご用意しましたのでご活用ください。BIMIについてのお問い合わせやご相談も可能ですのでお気軽にお問い合わせください。

>>BIMI完全ガイドを無料でダウンロードする

>>BIMI導入について無料で相談・問い合わせする

ガイドラインが求める「即時通知」とメール基盤の性能

改正ガイドラインでは、不正ログインの検知時や重要な取引の発生時に、顧客へ即時に通知することが求められています。この「即時性」の要件は、メール配信インフラの「速度」「可用性」「到達率」に対する極めて厳しい非機能要件です。

遅延はリスク：数分の差が被害額を決定する

証券取引の世界では、不正ログインが発生してから数分以内に不正な売買注文が執行され、顧客に巨額の損害が発生するケースが報告されています。つまり、不正ログイン検知の通知メールが5分遅れれば、その5分で被害が確定してしまう可能性があるのです。

自社のメール配信サーバー（MTA）が、マーケティング用のメルマガ大量配信やシステムの定常的なバッチ処理メールでキューが詰まっている状態で、最も緊急性の高い「※不正ログイン検知通知」のメールが配信キューの後ろに行列を並ぶといった事態は、顧客保護の観点から極力回避すべき重大なリスクです。

トランザクションメールとプロモーションメールの分離

この問題を解決するためのアーキテクチャ設計の原則は、「トランザクションメール（システム通知）」と「プロモーションメール（マーケティングメール）」の配信インフラを物理的に分離することです。

• トランザクションメール：ログイン通知、注文確認、パスワードリセット、二要素認証コードの送信など、即時性と到達率が最も重要なメール。専用のIPアドレスとドメインで、高速・高到達率の配信エンジンから送信すべきです。
• プロモーションメール：キャンペーン案内、ニュースレター、マーケット情報配信など。受信者からの「迷惑メール報告」やバウンス（不達）の発生率がトランザクションメールより格段に高いため、同一IPで運用するとトランザクションメールの到達率に悪影響を及ぼします（IPレピュテーションの連鎖降下）。

この「用途別のインフラ分離」は、ガイドライン対応の文脈において、単なるベストプラクティスではなく必須の設計方針です。

blastengineで実現する、ガイドライン準拠のメール配信基盤

改正ガイドラインが求める「メールの正当性の確保」「即時通知」「到達率の最大化」を、すべてエンジニアリングの力で実現するための最適なインフラパーツが、blastengine（ブラストエンジン）です。

blastengineのガイドライン対応における技術的メリット

blastengine（ブラストエンジン）は、お客様のシステムとSMTPリレーやAPIで連携することで、トランザクションメールや一斉配信を高速かつ確実に行えるメール配信サービスです。運用・メンテナンスはblastengine側で行うため、常に高いIPレピュテーションを維持し、エンジニアをメールサーバー管理の煩雑な業務から解放します。特徴は以下の通りです。

• 99%以上の高い到達率：国内キャリアやISPに最適化された独自の送信ロジックにより、大切な通知が迷惑メールフォルダに振り分けられるリスクを最小限に抑えます。
• 柔軟なシステム連携：REST APIやSMTPリレーを用いることで、PythonやJavaなど言語を問わず、既存のシステムと最短当日からスピーディに連携可能です。
• 運用コストの劇的な削減：初期費用無料、月額3,000円からという業界最安クラスの料金体系ながら、バウンスメール（不達）の自動処理機能なども標準で備えています。入できます。

単なるメール送信ツールにとどまらず、BIMI導入によるブランドロゴの表示のご相談など、企業の信頼性を高めるセキュアなインフラを提供しているのが特徴です。

エラーメールはWebhookでリアルタイムに検知できるため、顧客データベースへの自動反映も容易に構築できます。保守・メンテナンスの手間を省きつつ、金融グレードの堅牢な配信環境を手軽に手に入れたい企業に最適なソリューションといえます。まずは以下の公式サイトより無料トライアルをお試しください。

ブラストエンジン公式サイト：https://blastengine.jp/

マーケティング配信には姉妹サービス「ブラストメール」

証券会社のマーケティング部門が顧客向けに配信するニュースレターやキャンペーンメール等のプロモーション配信には、blastengineの姉妹サービスである「ブラストメール」が最適です。

ブラストメール（blastmail）は、15年連続で導入社数シェアNo.1を獲得し、27,000社以上に導入されている日本最大級のメール配信システムです。直感的なHTMLメールエディタとフィルタ配信（セグメント配信）機能を備え、月額4,000円〜という低コストで本格的なメルマガ配信を開始できます。

システム通知にはblastengine、プロモーション配信にはブラストメールという「用途別インフラ分離」を実施することで、IPレピュテーション管理の最適化とガイドライン準拠を同時に達成できます。

公式サイト：シェア1位のメール配信システム「ブラストメール」

まとめ：顧客の金融資産と信頼を、メールインフラの力で守り抜く

日本証券業協会の改正ガイドラインは、証券会社のセキュリティ対策を「多要素認証」から「メール通知の正当性確保」に至るまで、エンドツーエンドで底上げすることを求めています。そしてこの「メールの正当性確保」を技術的に実現するのが、送信ドメイン認証（SPF/DKIM/DMARC）のp=rejectまでの段階的な強化と、BIMIによる顧客への視覚的な信頼提供です。

• 送信ドメイン認証は「技術的な信頼」のインフラであり、DMARCポリシーの段階的強化が金融機関のスタンダード。
• BIMIは「視覚的な信頼」のインフラであり、顧客がフィッシングメールと正規メールをひと目で区別できる唯一の手段。
• 即時通知の要件を満たすには、トランザクションメールとプロモーションメールの配信インフラの物理的な分離が必須。
• blastengineは、DMARC/BIMI対応、高到達率、高速配信、API連携を一括で提供し、ガイドライン準拠を実現する最適なインフラパートナー。

セキュリティ対策は「コスト」ではなく「顧客の金融資産と企業の信頼を守るための投資」です。改正ガイドラインへの対応を、メールインフラの刷新と強化のきっかけとして捉え、blastengineと共に金融グレードのメール配信基盤を構築してください。