Defaults.Exposed › レポート
インターネット全体を採点した方法:ドメインセキュリティのA〜F評価手法(2026年版)
公開日 2026-06-28
参照ページ · 手法v7 · データ基準日:2026-06-28。 このページでは、本サイトに掲載するすべての数値の算出方法を説明します。公開統計はすべて集計値です。個別ドメインのグレードは、確認済みの所有者にのみ表示されます。
Defaults.Exposedは、公開インターネットから外部観測できる34項目のチェックのみを使用して、いかなるシステムにも触れることなく、ドメインをA+からFまで評価しています。 このページでは、その仕組みを包み隠さず説明します。測定対象、グレードの算出方法、データが示せることと示せないこと、そして私たちが守る倫理的ルールです。セキュリティグレードは、その背後にある手法と同じだけしか信頼できません。だからこそ、徹底した透明性を保っています。
測定対象
すべてのドメインを、5つのカテゴリーに分類された34項目のチェックで評価します。各チェックは、外部から誰でも観測できる情報に基づいており、プライベートシステムへのスキャン、ログイン、侵入は一切行いません。
- メール認証 ——このドメインはメールでなりすまされる可能性があるか?SPF、DKIM、DMARC(DARCが実際に強制執行されているか)、およびメール(MX)設定を含む。
- TLSと証明書 ——サイトは適切に暗号化されているか?証明書の有効性とホスト名の一致、最新のTLSバージョン、HSTSを含む。
- Webセキュリティヘッダー ——サイトはブラウザを保護しているか?Content-Security-Policy、クリックジャッキング対策(X-Frame-Options)、MIMEスニッフィング保護、Referrer-Policy、クロスオリジンヘッダーを含む。
- DNS ——ネーミング層は堅牢化されているか?DNSSEC、CAA、ネームサーバー設定を含む。
- インフラ ——逆引きDNSやIPv6サポートなどの補足的なシグナル。
34項目のうち、一部はスコアに影響するチェック(グレードに反映)で、残りは情報提供目的(ペナルティなしでコンテキストとして報告)です。
チェックの評価:合格・不合格・N/A
各チェックは3つの結果のいずれかに決定されます。
- 合格 ——保護が存在し、正しく設定されている。
- 不合格 ——保護が欠如しているか、機能していない。実際の失敗は実際の失敗です。強制執行されたSPFとDMARCのないドメインが低評価になるのは、それが実際になりすまし可能だからであり、集計方法の問題ではありません。
- N/A ——当該ドメインについて、チェックを正当に判定できない。N/A結果はグレードから除外されます。ドメインに不利に働くことは決してありません。
最後の点は重要です。私たちは、公正に評価できなかった事項でドメインにペナルティを与えません。
評価グレードの算出方法
グレードはA+、A、B、C、D、Fの6段階です。グレードは、実世界への影響が大きいチェック(メールのなりすましと通信セキュリティを重視)に向けて重み付けされており、ドメインが重要なセキュリティギャップをどれだけ解消しているかを反映します。高インパクトな基礎項目を正しく押さえ、軽微なギャップのみが残るドメインは上位に、なりすましを可能にする基礎に失敗するドメインはFになります。
同一の手法をすべてのドメインに等しく適用するため、グレードは全体集団で比較可能です——これこそが、TLD別・国別・業種別のリーグテーブルを意味あるものにしています。
データセットの規模
私たちは**333百万ドメインを追跡し、現在解決可能な約260百万のライブ集団を評価しています。公開統計はビルド時にこの集団から計算され、データの基準日**が付記されているため、どの時点の数値かが常に分かります。
データの更新頻度
スキャンフリートは継続的に稼働しています。全集団は定期的なサイクルで更新され、一部のTLDはより高頻度で再測定されるため、本サイトの数値は一度限りのスナップショットではなく、生きた測定値です。すべてのレポートには基準日が記載されており、主要な調査は定期版として公開されているため、トレンドを追跡できます。
データが示せること・示せないこと
限界は、発見と同じくらい重要だと考えています。
- 地域と業種は、企業登記ではなくドメインの末尾から判断します。 国の数値はその国のドメイン末尾(ccTLD)に基づき、業種の数値は業種特有の末尾に基づきます。
.comのような汎用末尾を使用する企業は、この規模では国や業種に帰属させることができません。これらのセグメントは、この注意点を明示した上で、集団を比較するのに「十分な精度」を持ちます。 - 私たちはドメインを評価するのであり、組織を評価するのではありません。 1つの企業が多数のドメインを所有する場合がありますが、各ドメインはその設定に基づいて個別に評価されます。
- 外部からの視点のみ。 公開インターネットから観測できることを評価します。ログイン画面の裏側は見ませんし、見ようともしません。
私たちのルール:集計のみ・所有者限定・EU居住
私たちが公開するすべての内容を3つのコミットメントが規定しています。
- 集計のみ。 公開するのは集団のパターン——TLD別・国別・業種別のリーグテーブル——です。個別の事業者名とそのグレードを記載したインデックスページは決して公開しません。
- 所有者限定。 個別ドメインのグレードとチェック別の内訳は、確認した確認済み所有者にのみ表示されます。
- EUデータ居住。 すべてのデータはEU内で保存・処理されます——コンプライアンス上の姿勢であり、意図的な信頼へのコミットメントです。
よくある質問
Defaults.Exposedはドメインのセキュリティスコアをどのように算出していますか? 34項目の外部観測可能なチェック(メール認証、TLS、Webヘッダー、DNS、インフラ)を実施し、それぞれを合格/不合格/N/Aとして採点し、実世界への影響に向けて重み付けして、A+からFのグレードを生成します。
評価対象ドメインをスキャンしたりハッキングしたりしますか? いいえ。すべてのチェックは公開インターネットから観測可能な情報に基づいています——受信メールサーバーや訪問者のブラウザが見るものと同じです。ログイン、侵入、プライベートシステムへのアクセスは一切ありません。
ドメインがFになる理由は何ですか? 最も一般的な理由は、強制執行されたSPFとDMARCがなく、メールでなりすまされる可能性があるためです——外部から検証可能な本物の脆弱性です。
特定の企業のドメインのグレードを確認できますか? あなた自身のドメインであり、所有権を確認した場合のみ可能です。個別の事業者のグレードを公開することはありません。
データの更新頻度は? 継続的に更新されます。全集団は定期的なサイクルで更新され、すべての数値には「基準日」が記載されているため、現在の状況が分かります。
実際にドメインを確認してみる
手法を理解する最も早い方法は、実際に試すことです。無料でプライベートに自分のドメインを確認し、34項目すべてのチェック結果と、わかりやすい説明・修正方法を確認できます。
ドメインを確認する → · インターネットのグレード分布 → · 集計データのみ。データはEU内で保存・処理されます。