ドメインにまつわるトラブルはどうしたら防げるか。JPRSの園木氏と、「The Open Web Application Security Project(OWASP)」の日本支部に当たるOWASP Japanのリーダーを務める岡田良太郎氏に対策を尋ねた。OWASPは、Webアプリケーションのセキュリティー向上のための資料作成や勉強会の開催などを行うコミュニティー。

自動更新を申し込む

 ドメイントラブルの原因の1つは、第三者にドメインを取得されてしまうことだ。園木氏は、トラブルを防ぐポイントは、ドメインを取得するときに、目的と使用期間などをあらかじめ考えておくことだという。

 企業などの組織が初めて取得するドメインは、組織の看板となるWebサイトやメールアドレスのドメインに利用することになるだろう。そのドメインはたいてい、組織が続く限り所有し続けることになる。

 一方、商品やサービスのプロモーションや、他組織と連携したプロジェクトなどで取得するドメインは、期間限定になる。このときは、ドメインの役割が終わるまでに失効させるか、所有し続けるかを決める必要がある。ドメインの取得時には、このことについても考えておこうというわけだ。

 岡田氏は、ドメインを所有し続けると決めている場合には、取得時にドメインとTLS/SSLのサーバー証明書の自動更新を申し込むとよいという。ただし、「クレジットカードの有効期限切れで失効してしまったという事例もある。有効期限は必ず確認してほしい」と話す。

継続すれば第三者に取得されない

 では、期間限定のドメインを継続するか、失効させるかはどのように決めるのか。園木氏と岡田氏は組織によってコストやリスクを考えて慎重に決断すべきだという(図3-1)。

図3-1●ドメインを継続するかどうかを判断する
ドメインを手放すと第三者が悪用する恐れがある。ただ、保有し続ければ更新料がかかる。
[画像のクリックで拡大表示]

 まずドメインを継続するには、ドメインの更新料が毎年かかる。更新料は、ドメインの種類(.comや.net、.jpなど)と、レジストラやその代理店によって異なる。その金額は約1000円から数十万円と幅が大きい(図3-2)。

図3-2●主なドメインの更新料
約1000円から数十万円と幅が大きい。金額は「お名前.com」の場合。
[画像のクリックで拡大表示]

 こうしたコストを負担してもドメインを継続させたほうがよい場合がある。ドメインの失効にはリスクが伴うからだ。

 リスクとして一番大きいのは、失効させたドメインを第三者に取得されて、フィッシング目的の偽サイトの設置やスパムメールの送信などに悪用されることだ。フィッシングに悪用されると、組織の信用問題に関わる。

 岡田氏は、「ドメインを手放せば、フィッシングのリスクを高める」と指摘する。手放したドメインをフィッシングサイトに使われると、疑われにくくなり、だまされる人が出やすいという意味だ。

 継続のコストが負担になるのであれば、取得時に更新料の低いドメインの種類やレジストラを選ぶか、既に所有するドメインのサブドメインを利用することも検討すべきだ。

この先は有料会員の登録が必要です。「日経NETWORK」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら