Defaults.Exposed › 評価方法
評価方法 — どう評価するのか
すべてのドメインは、5つのカテゴリ(メールセキュリティ、TLS & 証明書、Webセキュリティ、DNSセキュリティ、インフラ)にわたる34項目のチェック(評価に算入する25項目+参考9項目)で評価されます。その仕組みをそのまま説明します。ブラックボックスはありません。
評価の仕組み
各チェックは合格、不合格、またはN/Aを返します。ドメインのスコアは、そのドメインに該当するチェックで獲得した得点の割合であり、それを文字評価にマッピングします。
| 評価 | スコア |
|---|---|
| A+ | 95% 以上 |
| A | 90% 以上 |
| B | 80% 以上 |
| C | 70% 以上 |
| D | 60% 以上 |
| F | 60% 未満 |
評価は相対的でもあります。パーセンタイルは、固定のチェックリストに対してだけでなく、そのTLDの全体集団に対してドメインがどの位置にあるかを示します。
ノーデータルール(N/Aは決して不合格として数えません)
あるチェックが本当に評価できない場合(タイムアウトや、伏せられたレコードなど)はN/Aとされ、スコアから除外されます。あなたの不利になることは決してありません。これは実際の失敗(DMARCがない、HTTPSがない)とは異なり、後者は本物の不合格です。SPF/DMARCがないドメインは正当に低スコアになります。なりすまされ得るからです。
原則
- 独立かつ外部から。 インターネット上の誰もが観測できるものを測定します。あなたのシステムへのアクセスは不要です。
- 公開は集計のみ。 私たちは傾向(TLD別、国別、業種別)を公開します。個別ドメインの評価は、その所有確認済みの本人にのみ表示し、公開することは決してありません。
- 透明。 チェック項目の全リストは以下のとおりで、修正は無料です。
- EU内で処理。 データはEU内で処理されます。
34項目のチェック
各チェックと、それがあなたのビジネスにとって何を意味するか、そして評価に算入されるかどうか。リンクをたどると「何を失うか+どう直すか」の完全ガイドが見られます。
メールセキュリティ
あなたのドメインがメールで偽装され得るか、そしてあなた自身のメールが受信トレイに届くかどうか。
| チェック | あなたのビジネスにとっての意味 | 評価に算入? |
|---|---|---|
| SPFレコード | あなたを装ったメールの送信を犯罪者に阻止させ、あなたのメールが受信トレイに届くのを助けます。 | 評価対象 |
| SPFポリシーの強度 | 弱いSPFは警告するだけですが、厳格なSPFは偽造を実際にブロックします。 | 評価対象 |
| DMARCポリシー | なりすましメールを拒否するようメール事業者に指示する設定。なりすまし対策の中核となる制御です。 | 評価対象 |
| DMARCレポート | 誰があなたを装ってメールを送っているかを報告し、不正利用や設定ミスを発見できます。 | 評価対象 |
| DKIM | メールが本当にあなたから送られたことを証明する暗号署名。到達性も高めます。 | 評価対象 |
| MXレコード | そもそもあなたのドメインがメールを受信できるよう正しく設定されているか。 | 評価対象 |
| 逆引きDNS (PTR) | あなたのメールサーバーが正当に見えるようにし、メッセージが迷惑扱いされにくくします。 | 評価対象 |
TLS & 証明書
鍵マーク — あなたのサイトへの通信が、有効で最新の証明書で暗号化されているかどうか。
| チェック | あなたのビジネスにとっての意味 | 評価に算入? |
|---|---|---|
| HTTPS利用可能 | これがないと、ブラウザは訪問者に「保護されていない通信」と警告し、訪問者は離脱します。 | 評価対象 |
| 証明書が有効 | 信頼され、正しく発行された証明書。無効なものは恐ろしげなブラウザ警告を出します。 | 評価対象 |
| 証明書の有効期限 | まもなく期限切れになる証明書は、全画面警告とともにサイトをオフラインにします。 | 評価対象 |
| 署名アルゴリズム | 最新で破られていない署名アルゴリズム(旧式のSHA-1ではない)を使用しているか。 | 評価対象 |
| 鍵の強度 | 暗号が総当たりで破られないよう、十分な鍵長があること。 | 評価対象 |
| TLSバージョン | 最新のTLS(1.2/1.3)。古いバージョンは破られており、セキュリティ審査に落ちます。 | 評価対象 |
| 暗号スイートの強度 | 通信中のデータを保護する強力な暗号化。 | 評価対象 |
| TLS圧縮 | 既知の攻撃手法を避けるため、圧縮が無効化されていること。 | 参考情報 |
| OCSPステープリング | より高速でプライバシーに配慮した証明書失効チェック。 | 参考情報 |
| セキュアな再ネゴシエーション | TLS再ネゴシエーション攻撃から保護します。 | 参考情報 |
Webセキュリティ
訪問者のブラウザを一般的な攻撃から守るHTTPヘッダー。
| チェック | あなたのビジネスにとっての意味 | 評価に算入? |
|---|---|---|
| HSTS | 毎回の訪問で安全な鍵マークを強制し、顧客が安全でない接続に格下げされるのを防ぎます。 | 評価対象 |
| HTTP→HTTPSリダイレクト | httpで来た訪問者を、安全なバージョンへ直接送ります。 | 評価対象 |
| Content-Security-Policy | 改ざんされた、または注入されたスクリプトがあなたのサイトから顧客データを盗む可能性を減らします。 | 評価対象 |
| クリックジャッキング対策 | 攻撃者があなたのサイトを埋め込み、顧客をだまして何かをクリックさせるのを防ぎます。 | 評価対象 |
| MIMEスニッフィング対策 | ブラウザがファイルを誤解釈し、攻撃者に悪用される事態を防ぎます。 | 評価対象 |
| Referrer-Policy | 訪問者が他サイトへ移動する際、どんなアドレス情報が漏れるかを制御します。 | 評価対象 |
| クロスオリジンヘッダー (COOP/CORP/COEP) | クロスサイトのデータ漏洩に対して堅牢化する高度な分離機能。 | 参考情報 |
DNSセキュリティ
あなたのドメインの基盤が乗っ取られたり、オフラインにされたりし得るかどうか。
| チェック | あなたのビジネスにとっての意味 | 評価に算入? |
|---|---|---|
| CAAレコード | あなたが選んだ事業者以外が、あなたのドメインのSSL証明書を発行するのを防ぎます。 | 評価対象 |
| DNSSEC (DS) | 攻撃者がドメインを乗っ取り、訪問者を偽サイトへ誘導するのを防ぎます。 | 評価対象 |
| DNSSEC (DNSKEY) | DNSSEC保護を実際に機能させる署名鍵。 | 評価対象 |
| ネームサーバーの冗長性 | 独立した複数のネームサーバーにより、一つの障害でオフラインにならないようにします。 | 評価対象 |
| SOA設定 | 正しく設定されたDNSの「権威の起点(SOA)」レコード。 | 評価対象 |
| IPv6対応 | 最新のインターネットプロトコルで到達可能であること。 | 参考情報 |
インフラ
サイトがどこでどのようにホストされているかの背景情報(参考であり、評価を変えることはありません)。
| チェック | あなたのビジネスにとっての意味 | 評価に算入? |
|---|---|---|
| CDN / WAF検出 | コンテンツ配信ネットワーク/Webアプリケーションファイアウォールがサイトを保護しているかどうか。 | 参考情報 |
| ホスティング事業者 | サイトがどこでホストされているかを特定します。 | 参考情報 |
あなた自身のドメインが34項目すべてでどの位置にあるか見てみませんか? 無料チェックを実行する → (非公開。ドメインの評価は所有確認済みの本人にのみ表示します)。