domain management

次世代のWHOISが誕生

次世代のWHOISが誕生 Brian King MarkMonitor 2019年8月26日 今日、何十年にも渡り繰り広げられてきた、ドメイン名所有者情報の構造や処理方法を改善するための取り組みが、重要な節目を迎えました。今後、これまでの43番ポートを使用するWHOISプロトコルに代わる新たなドメイン名所有者情報表示メカニズムとして、RDAP(Registration Data Access Protocol)が使用されることになります。   RDAPの起源 一般的にWHOISと呼ばれるドメイン名登録者情報は、何十年にも渡り、さまざまな政策議題として、ICANNで議論されてきました。ICANNのワーキンググループは、ドメイン名登録者に義務付けるべき情報の種類や、ドメイン名登録者情報の非公開化に対する是非、またデータアクセス性に関わる政策の開発に注力しています。このような、時に政治色の濃い対立的な議論とは全く別に、広義のICANNコミュニティは、そうした政策議論の行く末に関わらず、少なくともドメイン名登録者情報の形式を統一させるべきという意見で以前から一致していました。   2002年には、このような議論が起こっていましたが、2019年8月26日をもって、ついに登録者情報出力プロトコルとしてRDAPを利用することがドメイン名のレジストリやレジストラに義務付けられました。   現状 現時点では、43番ポートを使用する既存のWHOISプロトコルを使って登録者情報を送信することが義務付けられています。ただし、ICANNと「契約者」(ドメイン名のレジストリやレジストラ)は、このプロトコルの廃止(早ければ2020年中)までの適切なタイムラインについて、すでに議論を進めています。   新プロトコルを使って送られるデータセット名からも、アクセスプロトコルとそのデータ自体の略記という2つの意味を持つ「WHOIS」(略語に見えるが、略語ではない)という言葉が消えます。WHOISに代わる次のプロトコルとしてRDAPが使用されることになりますが、このプロトコルを使って送信されるデータのためのキャッチーな略語は、まだ見つかっていません。ICANNコミュニティの多くの人々が、「登録者情報」という説明的な言葉を使用しており、驚くべきことに、ICANNですら、キャッチーな略語を定めることをあきらめたようです。代わりに、whois.icann.orgを新しい登録者情報検索サイト(https://lookup.icann.org)にリダイレクトしています。   メリット 今後、国名フィールドは、必ず「US」のように表示されます。43番ポートを利用したWHOISでは、任意のデータ形式が認められていたため、国名フィールドは、US、USA、United Statesと記入されるか、該当のレジストラ特有の記入方法に基づき埋められていました。主権の問題を難しくさせる地理的な要素を検討しなければならない可能性が輪をかけて、この問題を悪化させていました。   一方、RDAPは、ccTLDの割り当てにも活用されている、ISO 3166-1 alpha-2(2文字の国名コード)と同じ国名コードによる出力を義務付けています。国名やその他の登録者情報フィールドのデータ表記方法を統一させれば、ブランド所有者やサイバーセキュリティ専門家にとって、サイバースクワッティング、フィッシング、ボットネット、その他の攻撃者の検出や、最終的には、複数のドメイン名を1つのUDRP(統一ドメイン名紛争処理方針)手続きにまとめる作業が遥かに容易になります。   さらに技術的なメリットとして、レジストリからレジストラへの照会メカニズム(通称「ブートストラッピング」)が確立されました。つまり、レジストリへの問い合わせはレジストラに照会され、そのレジストラから信頼の置けるデータが戻されます。これは現在、登録者情報を保管していない「シン」レジストリに該当します。   また、RDAPには、国際化対応、安全なデータ送信、また、将来的な政策によって許可または義務付けられる場合に「アクセス権の分化」に対応するための技術的機能が加わるなど、ブランド所有者にとってうれしいメリットもあります。このアクセス権の分化は、EPDPフェーズ2ポリシー策定作業の結果次第で、将来的に登録者情報のSystem for Standardized Access/Disclosure(アクセス/開示標準化システムを意味し、Unified Access Model(アクセス統一モデル)、Standardized Access Model(アクセス標準化モデル)、またはAccreditation and Access Model(認証とアクセスモデル)ともいう)を実現するための技術基盤になる可能性があります。   ブランドオーナーがやるべきこと 43番ポートを使用したWHOISプロトコルの廃止後、現在WHOISデータを取り扱っている組織や個人は、RDAPクライアントを構築するか、既存のクライアントを使ってRDAPデータにアクセスする必要があります。一部のブラウザはすでに、RDAPの出力を人間に分かりやすい形式にパースしています。参考までに、Firefoxブラウザでhttps://rdap.markmonitor.com/rdap/domain/markmonitor.orgをご覧下さい。   RDAPコンプライアンスがレジストリやレジストラの責任となったため、ドメイン名登録者としてのブランド所有者が、自身の登録者情報に何らかの対応を行う必要はありません。ただし、IANAレジストラリストから、お使いのレジストラがRDAPサーバーアドレスを発行済みであるか検討し、契約義務を準拠の上、適切に新プロトコルに従っていることを確認することができます。   MarkMonitorのシニアドメインプロダクトマネージャーであるジャスティン・マック(Justin Mack)は、引き続きICANN RDAPパイロットグループに参加し、今回のドメイン名システムに関する重要な変更のために貢献しています。このワーキンググループは、コミュニティの利益のため、レジストリとレジストラがポリシーの実現に向けて協力している証といえるでしょう。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

.XXXブロックが終了: 全てのアダルトTLDをカバーする新サービス

.XXXブロックが終了: 全てのアダルトTLDをカバーする新サービス Brian King Director of Internet Policy and Industry Affaires, MarkMonitor 2019年7月17日   ブランド権利者にとって前向きな展開が起こっています。アダルトコンテンツ専用の.XXXトップレベルドメイン(TLD)を運営するICMレジストリは、新しいブロッキングメカニズムであるAdultBlockとAdultBlock +を発表しました。 新ブロッキングサービスは.XXXのみならず、アダルトコンテンツのTLDの4つ、.XXX、.PORN、.ADULT、および.SEX、すべてをカバーします。 背景 ICMレジストリは、ICANNの大規模な新gTLDプログラムに先立ち、2011年の「Sunrise B」フェーズでブロックするブランド保護を最初に紹介しました。 アダルトコンテンツとブランドの関連付けに対する懸念と、防御的登録よりも低コストでブランドを保護することができることから、多くのブランド権利者はSunrise Bブロックを利用しました。 一回の料金で、Sunrise Bブロックは、ICMレジストリが運営する.XXX TLD契約の最初の10年間有効です。 このサービスが10年を迎え、Sunrise Bの有効期限が近づいてきたことから、ICMレジストリはSunrise Bプログラムを新しいブロッキングサービスに置き換えることを決定しました。これによりSunrise Bで得られた65,000以上のブランドの成功が再び、DPMLとTRExといった今日使用可能なブロッキングサービスにより近いサービスで繰り返されることが期待されています。   何が新しいのか? どちらのブロックも4つのTLDすべて(.XXXだけではありません)をカバーし、プレミアム名を含み、さまざまなレジストラに転送できます。 さらに、最初のSunrise Bの10年間とは対照的に、クライアントは1、3、5、または10年間の期間を選択できます。 認定を受けるには、ブランド権利者は商標をブロックするためにTrademark ClearinghouseからのSMDファイルが必要です。もしくは2019年12月31日までにSunrise Bブロッキングを繰り越しすれば、追加の認証は必要ありません。アップグレードされたAdultBlock +は、商標のすべての可能な「ホモグリフ」バリエーションを網羅しています。例えば、 I & l & ĺ(大文字のi、小文字のL、アクセント付き小文字のL)もカバーされます。   何が現行サービスと同じか? ホモグラフブロックがよく知られている場合は、AdultBlock +のホモグラフブロックは、同じくホモグラフをカバーしているUniregistryのUni EPS +へのレジストリの接続を通して提供されます。多くのブランド権利者はブロッキングを単純化し、既存のブロッキングサービスと統合したいというレジストリに対するブランド保護コミュニティからの要請に、ICMレジストリが応えてくれたと、この決定を歓迎しています。   ブランドオーナーは何をすべきか? ブランドの所有者は、自分がブロックしたい商標が適格であるか確認するために、Sunrise BブロックとTMCHファイリングを棚卸しておく必要があります。   MarkMonitorのクライアントの方で、既存の防御登録の代わりとして、またはブランド保護戦略の一部として、AdultBlockまたはAdultBlock +を利用するのが妥当かどうかについて、客観的なアドバイスが必要でしたら、CSMにお問い合わせください。 […]

ICANN65:マラケシュからのドメイン最新情報

ICANN65:マラケシュからのドメイン最新情報 Brian King Director of Internet Policy and Industry Affairs, MarkMonitor 2019年7月15日 MarkMonitorは、モロッコのマラケシュで開催されたICANNフォーラムの最新情報をまとめたウェビナーを開催しました。ICANNの専門家である、グローバルポリシーおよび業界開発担当バイスプレジデントのスタットン・ハンモック(Statton Hammock)、インターネットポリシーおよび業界問題担当ディレクター、ブライアン・キング(Brian King)が詳しく解説しております。 スタットンとブライアンはEPDP(Expedited Policy Development Process)において、以前は開示されていたWHOISデータを新しい登録データポリシーに置き換える作業や、登録データへのアクセスと開示の標準化システム (SSAD: System for standardized Access and Disclosure)におけるEPDPのフェーズ2作業ステータスに関する最新情報をわかり易くお届けします。 是非MarkMonitorのICANN専門家によるウェビナー資料をご覧ください。上記メイントピックのみならず、今後のプロセス作業部会の新規gTLDについて、次のgTLDラウンドに影響を与える権利保護メカニズム作業部会、統一ドメイン名紛争処理ポリシー(UDRP)の更新など、ICANNポリシー開発におけるホットトピックもカバーしております。 主な最新情報、次のステップの予定表、ICANNのポリシー開発についてはウェビナー概要資料(日本語版)をご覧ください。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

ドメイン管理を野球に例えると?

ドメイン管理を野球に例えると? Akino Chikada Senior Portfolio Marketing Director, MarkMonitor 2019年7月9日 RBI:打点。すべてのチームが欲しがる打点、しかし全てのチームが打点を得られるわけではありません。貴社のドメインはユーザをホームに送れていますか?それともストライクゾーンの外なのにバットを振らせていませんか?賢いドメイン名戦略は複雑なウェブの相互作用により実現できます。ドメインの世界ではドメイン名のニーズに関して戦略的な決定を行うのに、さまざまな役割を持った担当者が協力して活動しています。あなたのチームの主要なプレーヤーを見てみましょう。   バッターアップ:ICANN The Internet Corporation for Assigned Names and Numbers (ICANN)は、インターネットプロトコル(IP)アドレススペースの割り当て、プロトコル識別子の割り当て、gTLD、国コード(ccTLD)のトップレベルドメイン名のシステム管理とルートサーバーのシステム管理機能を担当する国際的な非営利団体です。   指名打者:レジストリ 各トップレベルドメイン(TLD)に登録されているすべてのドメインの正式なマスターデータベース(レジストリオペレーターとも呼ばれる)は、マスターデータベースを保持し、ゾーンファイルを生成します。これにより、コンピュータは世界中のトップレベルドメインとの間でインターネットトラフィックのやり取りができるようになります。.COMのVerisignやTLDの.NETなどがあります。   ピッチャー:レジストラ レジストラは、ドメイン名の登録に関する記録(連絡先や技術情報など)を管理し、登録者に代わって情報をレジストリに送信します。 MarkMonitorは、企業ドメインポートフォリオ専門のICANN認定レジストラです。   ピンチヒッター:サードパーティプロバイダ サードパーティプロバイダはドメイン登録やエリアにおけるプレゼンスなど、特定のドメインネームサービスを提供しています。 登録エリア内の連絡先/会社組織を持つことを求めるccTLDを登録するための前提条件となります。MarkMonitorが自身で現地の要件を満たせない場合に、利用することがあります。たとえばccTLDレジストリがTLDが特定の国に登録されることをレジストラに要求する場合などです。   一塁で待っている選手:登録者 ドメイン名を登録してる所有者や関係者、個人(または組織)は、打点を狙い、ホームランを待っているプレイヤーです。   プレーオフ? MarkMonitorがあなたのチームのコーチだとしましょう。企業ドメイン名レジストラおよびブランド保護のリーダーとして20年以上の経験を持つMarkMonitorは、豊富な知識を有しています。さまざまな利害関係者との包括的なコミュニケーションを通じて、困難な環境を乗り越えます。   MarkMonitorのグローバルリレーションシップマネジメント(GRM)グループは、 TLDのタイプ(gTLDまたはccTLD)によって、関連する企業や団体 – 通常はレジストリ(主にgTLDおよび一部のccTLD用)、場合によってはサードパーティプロバイダ(通常は特別な要件を持つccTLD用) – との関係を構築しています。GRMグループは、要件を決定し、エンジニアリンググループと協力して、可能な場合にはレジストリオペレータのバックエンドシステムへの自動接続を確立するために、当社のドメインオペレーションチームと連携します。これらの自動接続を介して、ポータルからドメインの登録やそれ以外の重要な作業といった、クライアントのドメイン名管理のために必要なかつ重要なコマンドを送信できます。   ピンチの時 特別な要件や自動化に適さないTLDについては、ドメインオペレーショングループのccTLDスペシャリストがレジストリや第三者プロバイダと直接連携して、日々の取引を管理します。ドメインの譲渡、連絡先の更新などの他、比較的まれですが、レジストリの機能停止やハッキングなども含まれます。レジストリおよびサードパーティのプロバイダレベルで強力な関係を維持することで、迅速かつ効果的に発生するあらゆる問題に対処し、クライアントのドメインが適切に保護され、維持されるようにします。   代表はあなたです MarkMonitorは、クライアントサービスマネージャ(CSM)またはクライアントパートナーシップマネージャ(CPM)とのEメール連絡に限らず、タイムリーな業界最新情報(例:新gTLD四半期レポート)、通常のウェビナー、クライアント訪問、など様々なチャネルで、ドメインをご登録されている方に情報提供を行っています。クライアントイベント(MarkMonitorサミットなど)において、MarkMonitorはクライアントがドメインポートフォリオを管理する際、重要となる情報を提供しながら、常に業界をリードするサービスをご提供するために、関連団体や企業と協調するようにしています。   ICANNに関しては、MarkMonitorのGRMグループがICANNコミュニティ内での業界の保護活動およびポリシー開発活動に積極的に関与しています。ドメインに関する様々な場面で、リーダーシップを発揮し、クライアントを保護しています。MarkMonitorは、ドメインエコシステム内で高レベルのアクティビティと可視性を維持しています。そして、絶えず変化する環境の中で、さまざまなエンティティと継続的にコミュニケーションを取り、連携しています。   この複雑な分野でドメイン管理戦略を立てるうえでMarkMonitorがお客様をどのように支援し続けることができるかについては、下記までお問い合わせください。 […]

MarkMonitor 20年の知見2019年のドメイン戦略

MarkMonitor 20年の知見:2019年のドメイン戦略 Chris Niemi Manager, Domain Service 2019年6月11日 MarkMonitorはオンライン上のブランド保護およびコーポレートレジストラ事業として20周年を迎えます。MarkMonitorのクライアントの多くはFortune 1000企業です。ビッグブランドにとって信頼できる戦略的パートナーに成長したと言えるでしょう。独自のデータと分析能力を比類ない専門知識と組み合わせることで、MarkMonitorは、ブランド保護戦略においてドメイン名ポートフォリオの有効性と価値の最大化を目的とした有意義な判断を行うためのソリューションを提供します。   ドメイン戦略チーム MarkMonitorには、ドメイン分野のエキスパート、クライアントサービスマネージャー(CSM)がいます。またドメイン戦略チームで構成されるクライアントサービス部門が提供する情報など、さまざまなソリューションをクライアントに提供しています。クライアントサービス部門はクライアントパートナシップマネージャー(CPM)と呼ばれる専門家と、クライアントのためにカスタマイズされた調査、分析、およびガイダンスを提供するメンバーで構成されています。 ドメイン戦略チームは、ジオターゲティングドメインスコアリング™(Geo-Targeted Domain Scoring™)などのデータ駆動型ソリューションを開発しています。またさまざまな戦略ソリューションをクライアントに提供するためコンサルティングサポートを提供しています。   ジオターゲティングドメインスコアリング™(Geo-Targeted Domain Scoring™) MarkMonitorの標準ドメインスコアリングは、ドメインポートフォリオの健全性を評価するための実用的なフレームワークを提供します。当社独自のアルゴリズムは、1000ポイント単位でドメインをスコア付けします。 変数は、ビジネス要因(例えば、ポートフォリオ内の特定のブランド文字列の普及率)を客観的な市場ベンチマーク(例えば、特定のTLDの世界的人気、キーワード検索量、およびトラフィック概算)と組み合わせて個々のスコアを導き出します。結果はMarkMonitorポータルにアップロードされ、見直しのために簡単にエクスポートできるため、ポートフォリオ調整が容易です。コスト削減すべきドメインも特定できます。 ビジネスを自国の特定の地域に集中して展開しているクライアントのために、MarkMonitorは、企業の本社所在地と地理的に親和性のあるTLD内のドメインに特化し、カスタマイズされた地域ターゲットドメインスコアリングを提供しています。世界的に重要なTLDのドメインは、コア(すなわち最高得点)ドメイングループから完全に消えることはありません。しかしドメインスコアはローカル地域を明確に反映することになります。   ポートフォリオアドバイザリーサービス MarkMonitorは、ドメインスコアリングと独自のクライアント要件を活用して、クライアントがドメインポートフォリオの規模を適切に決定できるように支援します。 各ドメインが評価されることで、登録失効のための(低価値)候補および回復および/または登録のための(高価値)ドメイン名が識別され、クライアントのリスク許容度のフィルターを通して最適化の洞察が得られます。クライアントのビジネスの必要性とクライアントのドメインポートフォリオの調整をもたらす重要な決定をするのをサポートします。   ブランドの確立サポート デジタル時代に新しいブランドを確立するには複雑なプロセスが伴います。関連部署は複数の事業グループにまたがり、しばしば外部部門も関与することがあります。 そのような複雑なプロセスの中で、重要なポイントの見落としは常に存在するリスクです。 MarkMonitorは、コーポレートドメイン分野のエキスパートとして、オンラインIP、ドメイン名、ソーシャルメディアの処理が適切にブランド確立プロセスに統合され、煩雑にならないようにするために必要なガイダンスを提供しています。   次のステップ MarkMonitorのブランド保護戦略のサポートやその他のドメインコンサルティングについては、ドメインサービスグループにお問い合わせください。 業界をリードするサイバーセキュリティ、サービス、およびテクノロジーをクライアントに提供してから20年が経ちました。MarkMonitorはこれからもクライアントのドメインポートフォリオ管理およびブランド保護アプローチを強化するための最適な戦略を開発、ご提供して参ります。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

サイバーセキュリティのポイント2019年ニューヨークサミットより

サイバーセキュリティのポイント 2019年ニューヨークサミットより MarkMonitor 2019年6月4日 5月7日、ニューヨークにて毎年恒例のMarkMonitorサミットが開催されました。著名なセキュリティブロガーであり、調査ジャーナリストでもあるBrian Krebs氏が基調講演を行い、最新のオンラインのスキームとネット詐欺について紹介、分析しました。 Krebs氏はブランドと消費者へのダメージや時間の経過に伴うサイバー脅威の進化を、判断が困難な曖昧なものから悪名高いものまで実例を用いて定量化しました。 共通テーマはブランド権利者への脅威です。 それは決して収まることはなく、変容し続けます。決定的な解決策がない場合は、備えと対応を規定しておくことが重要です。   新たなDNSの脅威 Krebs氏は最近のDNSハイジャックの例の一つとして、イランがサポートしていると見られるハッカーによって行われた事例を挙げました。 米国国土安全保障省(DHS)の一部門であるCISA(サイバーセキュリティおよびインフラストラクチャー機関)は、この事件により非常に稀有なケースですが、緊急指令を出しました。この事件以前には、ヨーロッパのネットインフラに関連する無数のサイト、および中東の企業や政府機関のDNS情報の違法操作が起こっています。 この攻撃は様々な侵害可能ポイントから侵入していましたが、その中でも2要素認証(2FA)やレジストリロックを採用していないレジストラアカウントが多く含まれていました。 これらのアカウントは、標的型スピアフィッシング攻撃によって侵害され、その結果、レジストリとレジストラ間でコマンドを送受信するために使用される言語であるEPPによってDNS情報が非常に短い期間(文字通り数分間)で変更されました。 短時間ではありますが、サイトの偽DV証明書を発行し、ハッカーが関連するシステムやサイトのデータを収集するのには十分な時間でした。   ドメインセキュリティの重要性 このサイバー攻撃の事例から、2FAの使用義務付けている企業専用レジストラを利用する必要性があることがわかります。 これ以外の不具合もありますが、問題となっているドメイン所有者がMarkMonitorがクライアントに提供しているようなサービスシステムを使用していたならば、侵害の大部分は避けられたかもしれません。これらの安全策に加えて、レジストリロック(利用可能な場合)を利用すれば、DNSを変更するEPPコマンドが送信されるのを防ぐことができます。 仮にMarkMonitorのクライアントに不正な変更が行われた場合、DNSモニタリングにより、レジストリで公開されたDNSとクライアントアカウントに表示されたDNSの不一致の警告が表示されます。   セキュリティのコツ Krebs氏は、リスクをできるだけ軽減するために、職場で採用できるチェックリストを紹介し、「悪人はたった一度の成功でよいが、善人は誤りを犯さず、100%正しいことをしなければならない」と話しています。   あなた/貴社は外部からどのように見られていますか(“壊れた窓”理論) 貴社の公開データをネット犯罪者が見た時、侵害が簡単なターゲットと見られるでしょうか? 幅広いリテールレジストラを使用しているか、レジストリで重要なドメインをロックしているか、登録機関がアクセス可能なDNSを使用しているかなどはWHOISから確認することができます。 解決策を探る 第三者のリスクを管理する あなたのシステムやサイトを利用しているパートナーやベンダーは誰ですか?そのセキュリティレベルは信頼できるものでしょうか? これもまた – ドメインの世界では – 定期的なペネトレーションテストを行い、ソーシャルエンジニアリングとスピアフィッシング訓練を行う時はいつでも、レジストラに直接レジストリと連携し、二要素認証を義務付けることが大切です。 二要素認証 多くのリスクは、従業員とベンダー間で二要素認証を徹底させることで簡単に軽減できます。 定期的なセキュリティの確認/テストを実施 テスト前に受験者に情報を提供しないようにしましょう。 違反対応計画を立てる そして対応訓練を実施する。 従業員/ユーザー/顧客アカウントへのパスワードスプレー攻撃 最近の攻撃では、最も使用頻度の高いトップ100のパスワードを単純にランダムに適用しています。それらを企業の電子メールのアクティブディレクトリリストに適用しています。 DNSとSSLの変更を監視、記録、警告する 不正な変更が発生した場合に即座に対応できるように、リアルタイムに警告されるようにします。 アラート設定はRSSと同様に簡単です。 MarkMonitorは常に管理するドメインのDNSを監視して、レジストリレコードがMarkMonitorの保有情報と一致することを確認しています。MarkMonitorは何年にもわたりこのDNS監視機能を実施してきました。そしてこの機能により、多数のレジストリ運用者がシステム侵害を特定する前に警告を発することができるのです。 積極的にセキュリティ保護に取り組む 重要なのは、脆弱性が検出されたときに第三者からのフィードバックに耳を傾け、それらの意見をすぐに却下しないことです。   デジタルの脅威からあなたのブランドを保護することについての詳細は、最新のビジネス調査レポートをご覧ください。 MarkMonitorのソリューションについてはこちら 英語原文はこちら

WHOISの今後ICANN理事会がEPDPフェーズ1最終報告書を承認

WHOISの今後:ICANN理事会がEPDPフェーズ1最終報告書を承認 Brian King Director of Internet Policy and Industry Affairs 2019年6月4日 2019年5月15日に開催されたICANN理事会の特別会議において、EPDPのフェーズ1最終報告書に盛り込まれた方針に関する推奨事項29件中27件が承認されました。本フェーズ1報告書は、EUの一般データ保護規制(GDPR)に準拠したWHOIS(現「登録データ」)の再開発を目的とした、ICANNコミュニティによる総意に基づく方針(コンセンサスポリシー)の策定に向けたボトムアップの取り組みが始まったことを意味します。ICANN理事会は、同コミュニティがコンセンサスポリシーを策定するまでの短い期間、登録データをGDPRに準拠させるための緊急対策として暫定仕様(Temporary Specification)を可決していましたが、本報告書に加え、EPDPのフェーズ2を以って、この暫定仕様が終了します。 EPDPのフェーズ2では、登録データにアクセスする合法的な根拠を持つ組織が、実際にデータにアクセスするための枠組みを定めるための取り組みが、すでに始まっています。     方針内容 ボトムアップのコンセンサスポリシー案は過去に承認されているため、EPDPの推奨事項の大多数について、ICANN理事会は十分に検討することなく、これらを承認することが予想されていましたが、実際、その通りになりました。ICANN理事会は、最終的な「サニティチェック」として、ICANN(法人)に委託された義務の下で、カリフォルニア州非営利公益法人(California Nonprofit Public Benefit Corporation)としての公共の利益のために、フェーズ1報告書に盛り込まれる推奨事項29件中2件を却下しました。 MarkMonitorが先日開催したウェビナーの中で、現行の暫定仕様に基づき登録データが公開可能になり、新登録データポリシー(Registration Data Policy;ICANN使用のタイトル)に基づきデータの取得が可能になる変更内容について説明しました。変更点の一部をご紹介します。   管理者情報がなくなります。 レジストラが登録者に技術窓口を指定する機能を提供する義務がなくなります。 レジストラが技術窓口に対応する場合、技術者情報は、名前、電話番号、Eメールアドレスの3項目に制限されます。 WHOISが提供する31項目(Phone/Fax Extension(電話/FAXの内線番号)フィールドを個別に数えない)のうち、登録データポリシーの下で義務付けられる項目は3件のみです。概要は、以下の表をご覧ください。     除外された項目 EPDPのフェーズ1では、目的2が大きな物議を醸し、知的財産所有者、政府、サイバーセキュリティ専門家、消費者保護団体は、暫定仕様に記載され、GDPRに義務付けられる通りに、登録データを処理するという目的を明示的に認めるように要求しました。 一方で、保護団体は、この問題におけるICANNの役割を最小限に制限することを求め、レジストリやレジストラは、このデータを合法的に第三者に提供できることを認める前に、確実な法的根拠を求めました。最終報告書では、第三者のタイプを明示的に指定せずに第三者アクセスを推進することで、安全で安定性や回復力のあるDNSの調整というICANNの役割(Mission(ミッション)やBylaws(定款)にまとめられる通り)を認めた、混合型の「暫定」目的2によって、この膠着状態が解消されました。 先日、ICANNと欧州委員会(EC)の間で交わされた公開通信の内容から、ICANNの目的と第三者の目的を区別するために明確性を向上させる必要性が明らかとなったため、理事会はさらなる改善のため、この目的を却下し、差し戻しました。 また、現在Organization(組織)フィールドに記載されるすべてのデータの一斉消去をレジストラに認める推奨事項12の内容を一部却下しました。推奨事項12は、このフィールドには法人名しか意図されていないにも関わらず、個人データが含まれる可能性があるため削除する必要があることが理解できない、ICANNコミュニティの人々に関わる問題でした。 ところが、理事会は、このデータを全消去すると、「登録者を特定するための情報が失われる可能性がある」と警告しながら、Organizationフィールドの非公開を義務付ける推奨事項12の一部を承認しました。その結果、Organizationフィールドは、要請があった場合に、レジストラの裁量で公開するか、フェーズ2で判断される「知る必要がある場合」に限り、公開されることになります。   今後の展望 理事会が、分野別ドメイン名支持組織(GNSO)の圧倒的多数によって可決されたコンセンサスポリシーを一部でも却下した例は、ほとんどありません(初めてのことかもしれません)。却下された推奨事項について、GNSO評議会との協議が始まります(https://www.icann.org/resources/pages/bylaws-2018-06-22-en#annexA1ICANN Bylaws, Annex A-1, Section 6.c.)。GNSOは、この結果に基づき、推奨事項を確定または修正の上、理事会に再提出することができます。 承認された推奨事項は、ICANNの実装フェーズに入ります。このフェーズでは、レジストラとレジストリが2020年2月29日までに、新ポリシーへの準拠を達成させる必要がありますが、理事会は「実装が複雑であり、また、データ保護当局(DPA)その他のソースから推奨事項に対する追加フィードバックが提供される可能性があるため、期日までに完了しない可能性がある」と警告しています。この期間中、レジストラとレジストリは、現行通り、暫定仕様のルールに基づき、事業を継続することができます。 MarkMonitorは、EPDPのフェーズ2における登録データへのアクセスモデルを統一するための取り組みも含め、継続的に、知的財産所有者、消費者保護団体、サイバーセキュリティ専門家をサポートします。ご質問やご提案がある場合、または本活動への参加をご希望の場合は、MarkMonitorまで直接ご連絡ください。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

SSLサーバー証明書に騙されない!すべてのカギマークが安全とは限りません

SSL証明書に騙されない!すべてのカギマークが安全とは限りません。 Stefanie Ellis Portfolio Marketing Manager, MarkMonitor 2019年5月16日 Facebookでつながりのあるセキュリティ業界以外の友人を対象に、アドレスバーに表示される南京錠アイコンとその意味について、非公式の調査を行いました。結果は、「わからない」、「閲覧中のウェブサイトが安全であるという意味」や「httpsの末尾の『s』がついている理由」という回答に分かれました。残念ながら、南京錠やhttpsの末尾の「s」は、閲覧中のウェブサイトが有効かつ正規のもので、そのウェブサイトは安全であるという誤った認識を持っていることがわかりました。   南京錠アイコン(あるいは、「Secure」という言葉や、時には組織名)とhttpsの末尾の「s」は、閲覧中のウェブサイトの所有者が、ユーザーのブラウザからウェブサイトに転送されるデータを暗号化するSSLサーバー証明書を購入していることを意味しています。   ところが、ウェブサイト自体は、必ずしも正規で安全なものであるとは限りません。この違いが重要なのです。   SSLサーバー証明書とは何か? SSLとは、ウェブサーバーとブラウザ間の通信チャネルを暗号化するテクノロジー名である「Secure Sockets Layer」の頭文字です。ウェブアドレスに含まれるhttpの末尾の「s」は、このテクノロジーが使われていることを示しています。送信データの機密性を守るためのものです。   SSLによるユーザーデータの保護は、業界基準として、インターネット全体で広く活用されています。通信チャネルをSSL暗号化するためには、ウェブサイトの所有者が認証局(CA)からSSLサーバー証明書を購入しなければなりません。   (命名規則に関する注記:SSLは、Transport Layer Securityを意味するTLSとも呼ばれます。これは、基本的に新しいバージョンのSSLです。多くのベンダーは「SSL/TLSサーバー証明書」というフレーズを使用していますが、これらのプロトコルは証明書そのものではなく、サーバー設定で決まるものであるため、正確には「SSLやTLSを使用していることの証明」と呼ぶべきでしょう。ここでは、SSLサーバー証明書と総称します。)   ほとんどのユーザーが知らないこと 購入可能なSSLサーバー証明書には、さまざまなレベルがあります。ベーシックな証明書は、ドメイン認定(DV)型です。これは、単に申請者がドメイン名を管理していること(WHOISの連絡先宛てに送信されたEメールに返信する、特定のTXTレコードをそのドメイン名のDNSゾーンファイルに追加する、あるいは特定のテキストファイルをドメイン名のウェブサイトに追加すること)を証明するものです。   企業認証(OV)SSLサーバー証明書の認定プロセスには、ドメイン所有権や組織情報の確認作業が含まれるため、DV証明書よりも認定に時間がかかります。推奨されるのは、OV証明書です。CAが発行前に最も厳しい認証プロセスを適用しているのは、拡張認証(Extended Validation: EV)SSLサーバー証明書です。そのため、EV証明書は、金融機関やeコマースサイトで一般的に多く使用されています。   各種ブラウザで、EV、OV、DV証明書を区別する方法は標準化されていません。Firefoxでは、EV証明書を所有するウェブサイトの場合、アドレスバーに会社名が表示され、OVやDV証明書の場合には、セキュアなウェブサイトの名前がリストに記載されます。 ところが、ChromeではEV、OV、DVの違いを区別しておらず、「Secure」と示しているだけです。   HTTPSは、サイトが安全だという意味ではない サイバー犯罪者は、インターネットユーザーにサイトが安全であると信じさせるためのトリックを考え出しました。   最近まで、多くのサイバー犯罪者は、コストの点から自身のサイトにSSLサーバー証明書を登録していませんでした。またCAもSSLサーバー証明書を発行する前に組織の審査を行っていました。ところが最近になって、この取り組みを主導していたLet’s Encryptなどの組織とComodoが、短期(90日間)限定のSSLサーバー証明書付きドメインの発行にかかる手数料を廃止したことで情勢が変わり、SSLサーバー証明書を使用するためのプロセスが大幅に簡略化されました。   それにより証明書を購入できない多くのウェブサイトや、証明書を管理する技術的知識のないウェブサイトのトラフィックを安全なものへと変えることができます。ところが、不運にも、正規のユーザーを保護するために暗号化されるウェブサイトが増える一方で、サイバー犯罪者にこの取り組みを悪用されるケースもまた、大幅に増加しました。   SSLサーバー証明書を無料で簡単に登録できるようになったことで、サイバー犯罪者に、一般ユーザーの「https/南京錠/『Secure』表示=安全なサイト」という認識を悪用した攻撃手段を与えてしまうことになりました。SSLサーバー証明書がセキュリティに関して間違った印象を与え、さらに多くのユーザーがフィッシングサイトの被害にあっています。   MarkMonitorは、SSLサーバー証明書を使用しているフィッシングサイトの数を追跡しています。以下のグラフは、2018年1月から2019年2月の期間に確認された、SSLサーバー証明書を使用しているフィッシングサイト割合を示したものです。10月に証明書を使用しているフィッシングサイト数が急増し、ピーク値を記録しましたが、2019年2月現在もほぼ横ばいになっています。   ウェブブラウザはこの問題を防止できない ウェブブラウザは長期に渡り、httpsの安全性を信用するようにユーザーを促してきました。ところが、一般的に、SSLサーバー証明書は通信チャネルの暗号化は証明しているものの、そのウェブサイトの信頼性を認定してはおらず、ウェブアプリケーションのセキュリティを示すものでもありません。   ウェブブラウザは、安全なオンライン体験の確立を重視しているため、消費者の保護を強化する責任の一端を担っています。Google ChromeやMozilla Firefoxは、クレジットカードやパスワードの入力欄が含まれるウェブサイトページが暗号化されていない場合、必ずアドレスバーに「Not Secure」と表示するようにしました(HTTPSではなく、HTTPを使用しているサイトは、SSLを使用していないことを意味します)。また、Chrome 62では、データ入力欄が含まれるすべてのページで、同じ対応を行っています。 […]

ドメインとサイバーセキュリティのトレンドを理解する

ドメインとサイバーセキュリティのトレンドを理解する Akino Chikada Portfolio Marketing Director 2019年5月6日 ドメインを取り巻く状況は絶えず変化しています。   最初のドメイン名が登録された1980年代以降、どのくらいの時間が経過したか考えてみましょう。 最初のドメイン名は.netと.comでした。 25年前に遡ってみると、企業はマーケティングのプロモーションから知的財産のオンライン保護まで、さまざまな理由から革新的なドットブランドを登録しました。   一般的なトップレベルドメイン(gTLD)の販売、継続的な法的および政治的変化、ならびにサイバー脅威の複雑化によって、ドメインポートフォリオの管理はより重要かつ複雑なものとなっています。誰が更新、管理、およびセキュリティの責任者になるのか、ポートフォリオの最適化および合理化のために何をするべきなのかに至るまで、考慮すべき点が多数あります。   デジタルセキュリティに関する最新レポート 新しい調査では、ブランドの構築と顧客の信頼の維持におけるドメインの重要性が広く認識されているものの(43%の回答者が重要であると答えています)、セキュリティ(56%)やコスト( 40%)、ドメインの追跡(34%)などの課題も浮き彫りになりました。   これは、特に複数のドメインを持つブランドに当てはまります。   また、グローバルビジネス調査によると、ブランドの56%が最大100個のドメインを所有していますが、そのうち4分の3以上が実際にアクティブであると答えたのはわずか18%のみでした。 ドメインを追跡し、その価値をモニタリングすることは、コアドメインを確実に保護する管理戦略の重要な部分です。   さらに大きな課題は、サイバーセキュリティがブランド保護と重なっていることです。 理想的には、これらの要素を統合してブランドを安全に保ち、顧客を保護するための包括的な戦略を形成することでしょう。   企業がサイバー犯罪の影響を受けている 過去12か月の間に62%のブランドが何らかの形のサイバー犯罪を経験し、23%が自社のドメインを標的としたサイバー攻撃を経験しています。この結果は、ドメインとオンライン上のブランド保護の重要性を浮き彫りにしています。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

ドメインを守る、ブランドを守る

ドメインを守る、ブランドを守る Chrissie Jamieson Global Head of Marketing, MarkMonitor 2019年4月29日 激しい競争と変化を特徴とする市場では、ドメインがブランドアイデンティティを確立するための鍵となります。 それらはまた、より広範な事業戦略の中核をなすものであり、いかなる場合でも保護されなければなりません。   ドメイン名管理とサイバーセキュリティに取り組むための最善の方法は何でしょう? より広範なブランド保護戦略にしっかりと適合しているでしょうか。 ブランド侵害、詐欺、ブランドの濫用など、ネットにおける様々なリスク要素がお互いにどのように影響しているのでしょうか。   MarkMonitorは、ブランド保護、ドメイン名管理およびサイバーセキュリティの現状について、マーケティング、法務、およびITの意思決定者700人に聞き取りを行い、これらの疑問に答えるため最新のグローバルビジネス調査を行いました。回答者は、イギリス、アメリカ、フランス、ドイツ、そしてイタリアの各業界の方々にお願いしました。   調査結果:縦割りされるブランド保護の責任 ドメイン管理とセキュリティ業務は組織内で縦割分担されていることが判明しました。回答者の約半数(46%)がITとITセキュリティ部門がドメイン名管理を担当していると回答したのに対し、13%のみが複数の部署が携わるプローチを取っていると回答しました。   この縦割アプローチは、更新プロセスに関する調査結果にも表れています。 部署間の協働を含む、また更新手続きに対応する計画を立てている回答者は25%にすぎませんでした。 26%が更新通知のみに依存しているのに対し、21%は更新管理を1人の担当者が対応していました。ドメイン名の管理はブランドの健全性にとって非常に重要です。管理とセキュリティ対応に対するこのような縦割りアプローチは、組織をオンライン上のリスクに危険にさらす可能性があります。   リソース調達の課題 調査によると、ブランドの4分の1(25%)が、ドメイン名管理だけでなく、ブランド保護全体として、予算不足を大きな課題として挙げています。すべてのドメインがビジネスに価値を付加することを確実にしながら、組織のドメインポートフォリオを最適化すること、実用的および商業的な目的のために売却されないことが重要です。これによりリソースはコアドメインによりよく費やすことができます。   ところが調査によると、ブランドの32%がドメインの価値を監視しておらず、さらに6%が監視しているかどうかわからないと回答しています。   ドメインポートフォリオの合理化は、ビジネス利益の観点とセキュリティの観点の両方から重要です。10のブランドのうち4近く(39%)がgTLDを登録しており、そのうちの32%が偽装を経験し、ドメインを濫用されていると回答しました。   さらに、39%がBrexitが自社のドメイン戦略に影響を及ぼしている、46%がGDPRが自社のドメイン戦略に影響を及ぼしている、18%がGDPRの規制によりドメイン侵害に対する執行が困難になっていると述べています。   ドメインポートフォリオを管理するということは、単にドメイン名を登録してそれを更新するだけではありません。ドメイン名管理はセキュリティを含み、ドメインの価値を監視し、より幅広いブランド保護戦略に対応する必要があります。 オンラインブランド保護のライフサイクルの全容を知るには、MarkMonitorの最新のレポートをご参照ください。   MarkMonitorのソリューションについてはこちら 英語原文はこちら