MarkMonitorが考えるオンライン上で非営利団体を守るためのヒント

1. 優秀なレジストラをパートナーとして選定する

非営利団体がまず行うべきなのは、レジストラが、強力なポータルでセキュリティやコードの脆弱性を定期的にチェックしているかを確認することです。レジストラは、優れた内部セキュリティ管理を行い、それを証明し、セキュリティ分野での実績を持ち、エクスプロイトやセキュリティ脆弱性について最新情報を常に把握できていなければなりません。

2. 多要素認証を導入する

内部セキュリティ管理の多くでは、ユーザーに多要素認証の導入を義務付けています。設定やメンテナンスは多少の手間がかかりますが、ログイン認証情報が侵害された場合、最終的にセキュリティを支える強力な補足レイヤーとなります。SNSアカウントのログインにも、多要素認証を取り入れるようにしましょう。また、アカウント（特に、ドメイン、DNS、ウェブサイト管理アカウント）のログイン認証情報は絶対に共有せず、定期的に見直し、権限を持つユーザー数を制限することが極めて重要です。IPアクセス制限やシングルサインオンなど、不正ログインを防ぐために検討すべきセキュリティ対策は他にもあります。

3. ドメインロックを追加する

コアドメインには、レジストリロックと呼ばれるオプションのロックサービスがあります。レジストリロックは、クライアントとレジストラが指定する高度なセキュリティプロトコルに変更するまで、レジストリレベルですべてのドメインの確認を停止します。ロックを追加することで、ネームサーバ変更時のエラー、乗っ取り、ソーシャルエンジニアリング攻撃を防ぐことができます。

4. EV（Extended Validation）証明書を利用する

オンライン上での信頼を高めるため、全てのウェブサイトはSSL証明書を使用したHTTPSプロトコルでアクセスできるようにしましょう。コアドメインは、ウェブブラウザに視覚的に表示されるEV証明書を利用し、ユーザーが安全なウェブサイトであることを確認できるようにします。EV証明書で、フィッシング攻撃の影響を軽減できます。

5. メールのセキュリティ規格をチェックする

メールプロバイダーが、最新かつ厳格な規格でメール配信サービスを提供しているか確認してください。例えば、DKIM（DomainKeys Identified Mail）を利用してメール署名が設定されているか、またSPF（Sender Policy Framework）やDMARC（Domain-based Message Authentication, Reporting & Conformance）レコードを適切に設定し、フィッシングメールがユーザーに送信されないようになっているかなどです。メールの量によっては、DMARCサービスプロバイダーを選択し、安全なメール配信の一助としてもよいかもしれません。

インターネットセキュリティは、インターネット上でビジネスを行う際、特に非営利団体にとっては欠かせないものです。多くのサポーターやボランティアなどが非営利団体とオンラインで正確なやり取り行うためには、コアドメインが最も貴重な資産となることも少なくありません。非営利団体が時間をかけて築いたサポーターとの信頼関係も、たった1度のフィッシング攻撃やソーシャルエンジニアリング攻撃で一気に崩れてしまいます。上記のセキュリティ対策であれば非営利団体が容易に導入することができ、情報の安全を守り、市民からの信頼を保つことができるのです。

本稿はジャスティン・マック（Justin Mack）の協力を得て執筆しました。