Defaults.Exposed › 修正
ドメインセキュリティを修正する — 無料のステップバイステップガイド
当社が採点するすべての問題を修正するための、わかりやすいガイド。SPF、DKIM、DMARC、DNSSEC、TLS、証明書、HTTPセキュリティヘッダーを網羅します。それぞれが何であるか、ビジネスにどんなコストをもたらしうるか、そしてお使いのプロバイダーでの具体的な設定方法を解説します。
- CAAレコード
CAAレコードは、ドメインの設定に記す短い指示で、あなたのウェブサイトの『鍵マーク』のセキュリティ証明書を発行してよい証明書会社を名指しします。これをオンにすると、他のどの会社もあなたの名前で有効な証明書を静かに作れなくなります。 - CDN / WAF とホスティング
ウェブサイトの裏側の配管を2つの面から読み取ります。攻撃をろ過しトラフィックの急増を吸収する保護の盾(Web Application Firewall付きのCDN、Cloudflareのような)の背後にいるか、そして実際に誰があなたのDNS・ウェブサイト・メールを運用しているかの地図です。どちらも当社の採点では情報提供で—評点を動かしません—が、オリジンサーバーが攻撃や停止にどれだけさらされているか、プロバイダーがどれだけ絡み合っているかを描きます。前に盾があり、プロバイダーが賢く分散しているのが、回復力のあるビジネスの姿です。 - Content-Security-Policy(CSP)
Content Security Policyは、ウェブサイトがすべての訪問者のブラウザに渡す安全のルールで、どのコードを実行してよいかを正確に伝えます。これがないと、悪意あるものが何らかの形でページに入り込んだ場合(コメント欄、ハッキングされたプラグイン、第三者スクリプトなどから)、ブラウザはそれを自由に実行します。鍵マークが出たまま、顧客が入力するカード番号やパスワードを静かに抜き取るコードも含めて。 - DKIM
DKIMは、あなたの会社が送るすべてのメールに付く、目に見えない改ざん防止の封印です。これにより受信側のメールプロバイダーは、そのメールが本当にあなたから来て、途中で変えられていないことを確認できます。これがないと、あなたのメールは偽造されやすく、改ざんされやすく、迷惑メールに振り分けられたり拒否されたりする可能性がぐっと高まります。 - DMARC(メールなりすまし対策)
DMARCは、あなたの会社の名前を偽るメールを実際にブロックするよう、世界中のメールプロバイダーに指示する唯一の設定です。SPFとDKIMは錠を確認し、DMARCは偽造が検査に失敗したとき何が起きるか—捨てる、印を付ける、通すか—を決めます。誤って設定すればドメインは完全に偽造可能、正しく設定すればなりすましは受信トレイで止まります。 - DNSSEC
DNSSECは、ドメインの住所録に押すデジタルの封印です。『このドメインはどこにあるか?』への答えが本当にあなたから来て、途中で改ざんされていないことを、インターネットが証明できるようにします。これがないと、答えは偽造されえ—訪問者が静かに別の場所へ送られます。 - HSTS(Strict-Transport-Security)
HSTSは、ウェブサイトがすべてのブラウザに与える1行の指示です。『常に安全な暗号化接続で戻ってきて、決して安全でないほうは使わないで』。これがないと、共有Wi-Fiで鍵マークが静かに剥がされ、サイトへの最初の訪問が露出します。 - HTTPS と 強制セキュアリダイレクト
HTTPSはブラウザのアドレスバーに出る鍵マークで、ウェブサイトと顧客の間を行き来するすべてを暗号化し、途中で読まれたり改ざんされたりしないようにします。強制セキュアリダイレクトは、訪問者が『https://』を付けずにアドレスを入力しても、自動的にその暗号化版に着地させます。この2つがそろって初めて、ウェブサイトは安全と見なされる最低条件を満たします。 - IPv6サポート
IPv6は、インターネットのアドレス体系の、より新しくはるかに大きな版です。古いほう(IPv4)が空き枠を使い果たしたために導入されました。IPv6サポートを加えると、あなたのウェブサイトとメールが古いネットワークだけでなく最新のネットワークでも到達できます。当社の採点では情報提供で—持たなくても評点は下がりません—が、現実の到達性の問題です。増えつつあるモバイルや海外の顧客がIPv6のみのネットワークで接続し、あなたがサポートしていて初めて滑らかに到達できます。修正は無料で、DNSとホスティングの設定にあります。 - MIMEスニッフィング対策(X-Content-Type-Options)
ブラウザがファイルの本当の正体を推測するのを止める1行のヘッダーです。これがないと、誰かがサイトにアップロードしたファイル—あるいはあなた自身のページ上のファイル—がブラウザに誤解され、コードとして実行されることがあり、まさにそれが、無害そうなアップロードを顧客のセッションを盗む手段に変える攻撃の一部です。 - MXレコード(メール設定)
MXレコードは、あなたのドメイン宛のメールをどこへ届ければよいかを世界に示す道しるべです。これが欠けていたり壊れていたりすると、あなたの会社に送られたすべてのメール(顧客の問い合わせ、パスワード再設定、請求書、契約書)が送信者へそのまま跳ね返ります。MXがなければ、受信トレイもありません。 - Referrer-Policy
Referrer-Policyは、ウェブサイトがすべての訪問者のブラウザに渡す1行の指示で、別のサイトへリンクをクリックしたときにあなたのウェブアドレスのどれだけが一緒に持ち出されるかを制御します。これがないと、訪問者が見ていたページの完全なアドレス—検索語・口座番号・再設定リンク・内部のページパスまですべて—が、次に着地したサイト(広告主・分析会社、リンク先がどこであれ)に静かに手渡されます。 - SPF(Sender Policy Framework)
SPFとは、どのメールサービスがあなたの会社を名乗ってメールを送ってよいかを、ドメインの設定に記したものです。これがないと、世界中の誰でもあなたになりすましたメールを送れてしまい、しかもあなたが本当に送った正規のメールほど顧客の迷惑メールフォルダに振り分けられやすくなります。 - TLS証明書の健全性
あなたのSSL/TLS証明書は、訪問者が本当にあなたのウェブサイトと話していること(偽者ではないこと)を証明するデジタル身分証で、ブラウザの鍵マークを支えています。この検査は、その証明書が有効で信頼され、もうすぐ期限切れにならず、強く最新の暗号で作られているかを見ます。 - クリックジャッキング対策(X-Frame-Options)
他のウェブサイトがあなたのサイトをこっそり自分の中に読み込まないよう、ブラウザに指示する1行の設定です。これがないと、詐欺師があなたの本物のログイン済みページを偽ページの裏に隠し、顧客に意図しないクリック—支払いの承認、パスワード変更、アクセス権の付与—をさせられます。 - クロスオリジン分離ヘッダー(COOP / CORP / COEP)
他のウェブサイトがあなたのサイトとどう関われるか—ポップアップで開く、画像やスクリプトを埋め込む、リソースを自分のページに引き込む—を制御する3つの任意のブラウザ指示です。これらは基本の必須ではなく最新の強化策で、当社の採点では情報提供です。欠けていても評点は下がりません。ただし安全な2つは静かなフィッシングと帯域窃取のギャップを閉じ、慎重な買い手のITチームは整っていれば気づきます。 - ネームサーバー設定(多様性とSOA)
ネームサーバーは、あなたのウェブサイトとメールがどこにあるかをインターネット全体に伝える名簿です。それらがすべて1つのネットワークにあって、それが落ちると、あなたのビジネスは同じ瞬間にインターネットから消えます—サイトもメールも、すべて。そしてそれらのサーバーの時計設定がいい加減だと、あなたが行った変更が何日も反映されないままになります。 - 最新の暗号化(TLSバージョンと暗号スイート)
TLSは、訪問者とウェブサイトの間を流れるデータを暗号化する鍵です。その鍵を信頼できるものにするのは2つ。最新バージョンのTLSを使うこと(古く破られたものではなく)、そして強い暗号スイート(実際の暗号化のレシピ)を使うことです。このページは両方を扱い、さらに評点には影響しないが知っておく価値のある関連設定にも触れます。 - 逆引きDNS(PTR)
逆引きDNSは、あなたの会社のメールを送るサーバーの身分証です。GmailやMicrosoft 365のような受信プロバイダーが、送信アドレスの背後にいるのが誰かを調べて、整合性の取れた名前が返ってくると、あなたのメールは正規に見えます。身分証がない、あるいは名前と番号が食い違っていると、まったく本物の請求書や見積書が疑わしいものとして扱われ、静かに迷惑メール化されたり拒否されたりします。