ドメインにまつわるトラブルはどうしたら防げるか。JPRSの園木氏と、「The Open Web Application Security Project(OWASP)」の日本支部に当たるOWASP Japanのリーダーを務める岡田良太郎氏に対策を尋ねた。OWASPは、Webアプリケーションのセキュリティー向上のための資料作成や勉強会の開催などを行うコミュニティー。
自動更新を申し込む
ドメイントラブルの原因の1つは、第三者にドメインを取得されてしまうことだ。園木氏は、トラブルを防ぐポイントは、ドメインを取得するときに、目的と使用期間などをあらかじめ考えておくことだという。
企業などの組織が初めて取得するドメインは、組織の看板となるWebサイトやメールアドレスのドメインに利用することになるだろう。そのドメインはたいてい、組織が続く限り所有し続けることになる。
一方、商品やサービスのプロモーションや、他組織と連携したプロジェクトなどで取得するドメインは、期間限定になる。このときは、ドメインの役割が終わるまでに失効させるか、所有し続けるかを決める必要がある。ドメインの取得時には、このことについても考えておこうというわけだ。
岡田氏は、ドメインを所有し続けると決めている場合には、取得時にドメインとTLS/SSL▼のサーバー証明書の自動更新を申し込むとよいという。ただし、「クレジットカードの有効期限切れで失効してしまったという事例もある。有効期限は必ず確認してほしい」と話す。
継続すれば第三者に取得されない
では、期間限定のドメインを継続するか、失効させるかはどのように決めるのか。園木氏と岡田氏は組織によってコストやリスクを考えて慎重に決断すべきだという(図3-1)。
まずドメインを継続するには、ドメインの更新料が毎年かかる。更新料は、ドメインの種類(.comや.net、.jpなど)と、レジストラやその代理店によって異なる。その金額は約1000円から数十万円と幅が大きい(図3-2)。
こうしたコストを負担してもドメインを継続させたほうがよい場合がある。ドメインの失効にはリスクが伴うからだ。
リスクとして一番大きいのは、失効させたドメインを第三者に取得されて、フィッシング目的の偽サイトの設置やスパムメールの送信などに悪用されることだ。フィッシングに悪用されると、組織の信用問題に関わる。
岡田氏は、「ドメインを手放せば、フィッシングのリスクを高める」と指摘する。手放したドメインをフィッシングサイトに使われると、疑われにくくなり、だまされる人が出やすいという意味だ。
継続のコストが負担になるのであれば、取得時に更新料の低いドメインの種類やレジストラを選ぶか、既に所有するドメインのサブドメイン▼を利用することも検討すべきだ。