← ブログ一覧に戻る
ドメインセキュリティチェックリスト|担当者が確認すべき10項目
ドメインのセキュリティを確保するために確認すべき項目をチェックリスト形式で紹介。メール認証、SSL証明書、DNS設定など重要なポイントを網羅。
ドメインのセキュリティは、一度設定すれば終わりではありません。定期的なチェックと更新が必要です。この記事では、IT担当者が確認すべき項目をチェックリスト形式で紹介します。
チェックリスト概要
| カテゴリ | 項目数 | 確認頻度 |
|---|---|---|
| メール認証 | 3項目 | 月1回 |
| SSL/TLS | 2項目 | 週1回 |
| DNS | 2項目 | 月1回 |
| サブドメイン | 2項目 | 月1回 |
| アクセス管理 | 1項目 | 四半期 |
1. SPFレコードの確認
確認内容:
- SPFレコードが存在する
- すべての送信元が含まれている
-
-allまたは~allで終わっている - ルックアップ数が10以下
確認方法:
dig example.com TXT | grep spf
よくある問題:
- メール配信サービス追加後の更新忘れ
- 複数のSPFレコードが存在(1つにすべき)
2. DKIMの確認
確認内容:
- DKIMが有効になっている
- 公開鍵がDNSに登録されている
- テストメールで
dkim=passを確認
確認方法:
dig selector._domainkey.example.com TXT
よくある問題:
- セレクタ名の不一致
- DNSへの登録漏れ
3. DMARCの確認
確認内容:
- DMARCレコードが存在する
- ポリシー(p=)が適切に設定されている
- レポート送信先(rua=)が設定されている
- レポートを定期的に確認している
確認方法:
dig _dmarc.example.com TXT
推奨設定:
v=DMARC1; p=reject; rua=mailto:dmarc@example.com
4. SSL証明書の有効期限
確認内容:
- 証明書が有効(期限切れでない)
- 残り30日以上の有効期限がある
- 証明書チェーンが正しい
- TLS 1.2以上を使用している
確認方法:
echo | openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates
よくある問題:
- 自動更新の失敗
- 証明書更新後のサーバー再起動忘れ
5. HTTPSリダイレクト
確認内容:
- HTTPからHTTPSへリダイレクトされる
- HSTSヘッダーが設定されている
- 混合コンテンツ(HTTP読み込み)がない
確認方法:
curl -I http://example.com
# Location: https://example.com が表示されるか確認
6. DNSレコードの整合性
確認内容:
- Aレコードが正しいIPを指している
- MXレコードが正しく設定されている
- 不要なレコードが残っていない
- TTLが適切な値になっている
確認方法:
dig example.com ANY
7. ネームサーバーの状態
確認内容:
- NSレコードが正しく設定されている
- 複数のNSが設定されている(冗長性)
- NSサーバーが正常に応答する
確認方法:
dig example.com NS
8. サブドメインの棚卸し
確認内容:
- すべてのサブドメインを把握している
- 不要なサブドメインを削除した
- 各サブドメインの担当者が明確
確認方法:
- Certificate Transparency検索(crt.sh)
- RiskLensのサブドメイン検出機能
9. 開発環境のアクセス制限
確認内容:
- dev、stagingなどの環境にアクセス制限がある
- Basic認証またはIP制限が設定されている
- 本番データがテスト環境に存在しない
10. 管理アクセスの確認
確認内容:
- ドメイン登録者情報が正確
- DNS管理画面へのアクセス権限を持つ人が明確
- 2要素認証が有効になっている
- 退職者のアクセス権限が削除されている
月次チェックシート
以下のシートを毎月初に確認しましょう。
□ SPFレコード確認
□ DKIMテストメール送信
□ DMARCレポート確認
□ SSL証明書の残り日数確認
□ サブドメイン一覧の確認
□ DNS変更履歴の確認
四半期チェックシート
3ヶ月ごとに以下を確認します。
□ 管理者アカウントの棚卸し
□ アクセス権限の見直し
□ セキュリティポリシーの更新確認
□ インシデント対応手順の確認
□ バックアップの動作確認
自動化のすすめ
手動チェックには限界があります。以下の自動化を検討しましょう。
RiskLensで自動監視
- 毎日自動でドメインをスキャン
- 問題があればメール/Slackで通知
- 複数ドメインを一括管理
アラート設定例
| 項目 | アラート条件 |
|---|---|
| SSL証明書 | 残り30日を切ったら |
| SPF | 設定が変更されたら |
| DKIM | 認証失敗が増えたら |
| サブドメイン | 新しいサブドメインを検出したら |
問題発生時の対応フロー
SSL証明書の期限切れ
- 緊急で新しい証明書を発行
- サーバーに証明書をインストール
- 自動更新の設定を確認
- 監視アラートを設定
SPF/DKIM認証失敗
- エラーの原因を特定
- DNSレコードを修正
- テストメールで確認
- DMARCレポートで改善を確認
不正なサブドメインを発見
- サブドメインの内容を確認
- 正規のものか担当者に確認
- 不正であればDNSレコードを削除
- インシデントとして記録
まとめ
| 頻度 | 確認項目 |
|---|---|
| 毎日 | SSL証明書の残り日数(自動監視推奨) |
| 週1回 | メール到達率、認証状況 |
| 月1回 | DNS設定、サブドメイン |
| 四半期 | アクセス権限、ポリシー |
ドメインセキュリティは「設定して終わり」ではありません。RiskLensを活用して継続的な監視を行い、問題を早期に発見・対処しましょう。
まずは無料診断で現状を確認してみてください。