dns

DNS攻撃に先手を打つ

DNS攻撃に先手を打つ Sherry Hildebrand Global Relationship Manager, MarkMonitor 2019年2月26日   2019年2月15日、ICANNは、ドメインネームシステム(DNS)への攻撃に関する報告を発表しました。公表されたDNSハイジャック攻撃の多くが政府、テレコム、およびネットインフラ関連に対するものでした。MarkMonitorはサイバーセキュリティに役立つ方法をご紹介します。   ●コアドメインでレジストリロックを使用する すべてのコアドメインには、レジストリロックと呼ばれる追加のロックを適用するようにしましょう。レジストリロックを適用すると、クライアントとレジストラの両方によって指定されたセキュリティプロトコルが確認されるまで、レジストリレベルでドメイン確認を凍結します。 これにより、意図しないネームサーバーの更新、ハイジャック、およびソーシャルエンジニアリング攻撃を防止できます。   ●不完全なネームサーバー委任を使用しない ドメインにリストされているネームサーバはすべて設定が必要です。MarkMonitorではご希望により、ドメイン転送サービスをご提供しております。セキュリティ対策として有効であるだけではなく、そのドメインのトラフィックを測定するのにも役立ちます。またドメインポートフォリオのスコア付けにも使用可能です。   ●多要素認証を義務付ける セキュリティ管理においてはユーザーが多要素認証を使用する必要があります。設定や管理が面倒ではありますが、ログイン認証情報が危険にさらされた場合に強力なセキュリティの壁となります。SNSアカウントもログインの際、多要素認証を設定するべきです。 また全てのアカウント、特にドメイン、DNS、Webサイトの管理アカウントへのログイン資格情報は決して共有されないようにしましょう。定期的に見直し、限られたユーザーのみがログイン情報にアクセスできるようにすることが重要です。 不正なログインを防ぐため、企業が考慮すべきセキュリティ方法もあります。IPアクセス制限とシングルサインオン(SSO)などです。   ●細かくユーザー権限を設定する 全てのユーザーが全ての情報にアクセスを必要としているわけではありません。ユーザーがアクセスする必要がある情報と、その情報で実行する機能を明確にしましょう。たとえば、あるユーザーは読み取り専用アクセスのみ必要とし、また他のユーザーは日常の業務を実行するのに部分的なアクセスのみを必要とするなどです。   ●ドメイン変更に関するメール通知を受信し、確認する アカウントのセキュリティ管理のために、ドメインが変更された場合、指定されたメールアドレスに自動通知することができます。このサービスでは自動的にメールが生成され、指定のメールアドレスに送信し、変更を通知します。   貴社のアカウントのセキュリティは大丈夫でしょうか?是非ドメインサービスグループにお問い合わせください。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

MarkMonitorが考えるオンライン上で非営利団体を守るためのヒント

MarkMonitorが考える、オンライン上で非営利団体を守るためのヒント Sherry Hildebrand Global Relationship Manager, MarkMonitor   2018年6月28日 本ブログは、Public Interest Registryに掲載されたものです。   米国議会は、6月を全米インターネット安全月間(National Internet Safety Month)として定めました。この機会に、オンライン上で組織のセキュリティを維持する方法についてお話ししたいと思います。   Public Interest Registryは、インターネットのセキュリティに対する意識を高めることを目的として、取引が盛んなドメインを管理し、また経験豊富な企業レジストラであるMarkMonitoに、特にドメイン名システム(DNS)のセキュリティについて、非営利団体がワールドワイドウェブ(WWW)上での安全を維持するヒントを共有してほしいと依頼しました。   業界では、DNSセキュリティ拡張(DNSSEC)を導入するなど大量のリソースで、DNSの安全を確保していますが、非営利団体がドメインのセキュリティをオンラインで強化するためにできる対策は、他にもあります。その一部を以下にご紹介します。   1. 優秀なレジストラをパートナーとして選定する 非営利団体がまず行うべきなのは、レジストラが、強力なポータルでセキュリティやコードの脆弱性を定期的にチェックしているかを確認することです。レジストラは、優れた内部セキュリティ管理を行い、それを証明し、セキュリティ分野での実績を持ち、エクスプロイトやセキュリティ脆弱性について最新情報を常に把握できていなければなりません。   2. 多要素認証を導入する 内部セキュリティ管理の多くでは、ユーザーに多要素認証の導入を義務付けています。設定やメンテナンスは多少の手間がかかりますが、ログイン認証情報が侵害された場合、最終的にセキュリティを支える強力な補足レイヤーとなります。SNSアカウントのログインにも、多要素認証を取り入れるようにしましょう。また、アカウント(特に、ドメイン、DNS、ウェブサイト管理アカウント)のログイン認証情報は絶対に共有せず、定期的に見直し、権限を持つユーザー数を制限することが極めて重要です。IPアクセス制限やシングルサインオンなど、不正ログインを防ぐために検討すべきセキュリティ対策は他にもあります。   3. ドメインロックを追加する コアドメインには、レジストリロックと呼ばれるオプションのロックサービスがあります。レジストリロックは、クライアントとレジストラが指定する高度なセキュリティプロトコルに変更するまで、レジストリレベルですべてのドメインの確認を停止します。ロックを追加することで、ネームサーバ変更時のエラー、乗っ取り、ソーシャルエンジニアリング攻撃を防ぐことができます。   4. EV(Extended Validation)証明書を利用する オンライン上での信頼を高めるため、全てのウェブサイトはSSL証明書を使用したHTTPSプロトコルでアクセスできるようにしましょう。コアドメインは、ウェブブラウザに視覚的に表示されるEV証明書を利用し、ユーザーが安全なウェブサイトであることを確認できるようにします。EV証明書で、フィッシング攻撃の影響を軽減できます。   5. メールのセキュリティ規格をチェックする メールプロバイダーが、最新かつ厳格な規格でメール配信サービスを提供しているか確認してください。例えば、DKIM(DomainKeys Identified Mail)を利用してメール署名が設定されているか、またSPF(Sender Policy Framework)やDMARC(Domain-based Message Authentication, Reporting & Conformance)レコードを適切に設定し、フィッシングメールがユーザーに送信されないようになっているかなどです。メールの量によっては、DMARCサービスプロバイダーを選択し、安全なメール配信の一助としてもよいかもしれません。   インターネットセキュリティは、インターネット上でビジネスを行う際、特に非営利団体にとっては欠かせないものです。多くのサポーターやボランティアなどが非営利団体とオンラインで正確なやり取り行うためには、コアドメインが最も貴重な資産となることも少なくありません。非営利団体が時間をかけて築いたサポーターとの信頼関係も、たった1度のフィッシング攻撃やソーシャルエンジニアリング攻撃で一気に崩れてしまいます。上記のセキュリティ対策であれば非営利団体が容易に導入することができ、情報の安全を守り、市民からの信頼を保つことができるのです。 […]