企業向けニュース

ドメイン名の保護と管理:GandiとANSSIのセキュリティ推奨事項準拠について

非常に価値のある無形資産として、ドメイン名のポートフォリオを管理することは、全てのオンライングローバルビジネス戦略の基礎となっています。

企業が最適なプロバイダを選択し、その企業に必要な確認事項を特定することを支援するために、Agence National de la Sécuritédes Systèmes d’Informations (フランス国立サイバーセキュリティ庁) またはANSSIは「ドメイン名取得および使用ベストプラクティス」をまとめたガイドを公開しています。

Gandiの企業向けサービスに関連づけて、ニュース記事の中でこれらの各推奨事項を満たすための確認事項を紹介します。

ANSSI

ANSSIはサイバー攻撃の潜在的な脅威に対応するために2009年に設立されたフランスの政府機関です。 ANSSIはサイバーセキュリティに関連する事項に関する国家機関として、サイバーセキュリティ基準を設定し、企業や全ての市民の意識レベルを通知および向上させるための情報を公開しています。

2017年から公開されている情報の1つはドメイン名の取得と使用に関する推奨事項のドキュメンテーションです。これはドメインレジストラを選択するための基準にも焦点を当てた完全なガイドです。

企業がANSSIの推奨事項に準拠できるようにするために、Gandi 企業向けサービスが提供するドメイン名を取得して保護するためのベストプラクティスについて

ANSSIの推奨事項は組織的、法的、および技術的です。合計推奨事項の数は20あり、正確な回答を提供するために、今回のニュース記事ではANSSIの推奨事項に特化した記事で推奨事項のうち5つを扱うことにしました。

最初の5つの推奨事項は、プロバイダを選択するときに考慮に入れるDNS提供業者の信頼性基準に関連しています。

  1. レジストリロックを使用する
  2. 認証メカニズムが強化されたレジストラを選択する
  3. 可能な場合はレジストラロックを使用する
  4. DNSSECを使用できるレジストラを選択する
  5. 再販業者 (リセラー) と契約することのセキュリティリスクを見定める

1. 可能な場合は、レジストリロックを使用する

レジストリロックサービスを提供するレジストリを選択し、その機能について契約書上で保証を提供すると定められているレジストリ (トップレベルドメイン) を選びましょう。

Gandi 企業向けサービス:

レジストリロックは、2〜3人の承認作業に基づくドメイン名セキュリティメカニズムです。DNSレコード変更などの特定の重要な変更を行うことを困難にすることにより、機密性の高いドメイン名に追加のセキュリティ層を提供することができます。

このレジストリロックは、ドメイン名に対する以下の操作をブロックします。

  • ドメイン名を別の所有者またはレジストラに移管
  • ドメイン名の連絡先を変更
  • DNSサーバーの変更
  • ドメイン名の削除

このような各操作にはドメイン所有者とレジストラまたはレジストリの少なくとも2人の承認が必要になり、各リクエストはレジストラを経由する必要があります。レジストラは、レジストリにリクエスト内容送信する前に、リクエストを行った人の身元を確認することになります。

例えば、レジストリロックはデータの盗難を防ぐのに特に役立ちます。第三者がアカウントにアクセスし、ドメインへのフルアクセス権を持っていても、自分が管理する第三者のサーバーを指すようにDNSサーバーを変更しようとすると、レジストリロックのおかげでこの操作はレジストリによって拒否されます。

Gandi 企業向けサービスでは、.com、.fr、.net のレジストリロックを提供しており、次のトップレベルドメインでも提供しています。  .at, .bank, .be, .cc, .cl, .co.cr, .co.uk, .com.au, .hk, .mx, .sg, .cz, .fi, .gr, .ie, .insurance, .it, .lt, .name, .nl, .pt, .re, .rs, .se, .si, .tv, コム (日本語で .com) / .닷컴 (韓国語で .com) / .닷넷 (韓国語で .net)

レジストリロックの詳細については、corporate@gandi.net までお気軽にお問い合わせください。

2. 高レベルの認証機能を備えたレジストラを選択する

2要素認証や管理画面アクセス制限など、強力認証システムを提供するレジストラを選びましょう。

Gandi 企業向けサービス:

Gandi の管理画面は、従来の認証システム (ユーザー名とパスワード) によって保護されており、他のセキュリティオプションも追加可能です。

  • 多要素認証(TOTP、U2F)
  • IPアドレスを使用したアクセス制限

多要素認証は、アカウントにもう一段階の保護を追加します。多要素認証を有効化するとき、通常のパスワードでアカウントにログインするには、動的に生成された一意のコードを指定する必要があります。

  • スマートフォン、タブレット、またはコンピューター (TOTP) にインストールされたアプリケーション
  • 物理デジタルキー(U2F)

つまり、同僚が別のオンラインサービスのパスワードをGandiアカウントでも使用していたとして、そのパスワードが何らかの理由で盗まれてGandiでログインの試行がされたとしても、多要素認証を有効化している場合は Gandiにログインすることはできません。

IPアドレスベースのアクセス制限により、Gandiの管理ページへのアクセスを事前設定され許可されたIPアドレスのリストに制限することで、セキュリティレベルを高めることができます。

これらの2つのオプションに加えて、Gandiのプラットフォームでは、ユーザーごとにアクセス許可をカスタマイズして、チーム内で異なるアクセス許可を設定することもできます。このようにして透明性と実行された操作の追跡を柔軟かつ安全に行うことができます。

3. 可能な場合はレジストラロック (移管ロック) を使用する

ドメイン名の不正な移管操作を防ぐために、レジストラロックメカニズムを提供するレジストラを選択しましょう。

Gandi 企業向けサービス:

レジストラロックシステムは、ドメイン名の保護を強化します。この保護はドメイン名がユーザーの同意なしに移管されるのを防ぐために、ドメイン名にロックをかけることができます。このロックを無効にできるのは、必要な権限を持つユーザーのみです。

このサービスは、Gandi 企業向けサービスで提供されているほとんどのトップレベルドメインで利用でき、レジストリロックを補完することが可能です。

ドメインで転送ロックを有効にする

4. DNSSEC情報を受け入れるレジストラを選択する

DNSSECを使用できるレジストラを使用しましょう。

Gandi 企業向けサービス:

DNSSECとは公開鍵暗号化を使用してネームサーバー間で交換される情報に署名できるようにするプロトコルです。ルートDNSから「信頼の鎖 (chain of trust)」を確立し、DNSサーバーから送信されたデータを保護します。

データはエンドツーエンドで認証されて存在し、応答の信頼性を保証することで、第三者がその信頼の鎖を断ち切ることも不可能になります。

DNSSECを有効化にすると、DNSデータのリダイレクト (DNSハイジャックとも呼ばれます) からドメイン名が保護され、サイトのトラフィックがデータや情報を盗もうとしている不正なサイトにリダイレクトされないことが保証されます。

Gandi 企業向けサービスは、それをサポートする全てのトップレベルドメインで無料のDNSSECサービスを提供し、有効化プロセスも簡素化しました。必要な暗号鍵を管理しなくてもDNSSECチェーン全体をワンクリックで有効化できます。

Illustration du service DNSSEC

ドメイン名でDNSSECを有効化する

5. 再販業者 (リセラー) と契約することのセキュリティリスクを見定める

ドメイン名の所有者が再販業者 (リセラー) などのサービスプロバイダを使用する場合、リスク評価と管理方法について考慮する必要があります。

Gandi 企業向けサービス:

ドメインレジストラとして、Gandiはレジストリを直接処理し、顧客との緊密な関係を確立します。

ドメイン名のポートフォリオの管理を知的財産法律事務所などの第三者プロバイダに委託していて、そのドメイン名がGandiで管理されている場合はリスクを問題なくコントロールできます。

Gandi の管理画面は、ドメイン名の権限管理を柔軟に設定できるように設計されています。ドメイン名の所有者が操作権を留保し、第三者による操作の制限も設定可能です。

上記の5つの基準に対処することで、ドメイン名のセキュリティレベルを上げ、より安全に管理することができます。

詳細については corporate@gandi.netまでお問い合わせください。


Gandi でドメイン登録、レンタルサーバーを試して見ませんか?
https://www.gandi.net/ja

Gandi のSNSアカウントをフォローしてドメイン名関連のお役立ち情報や割引情報を受け取りましょう!

Twitter :https://twitter.com/Gandi_JP
Facebook :https://www.facebook.com/gandijapan