## この記事でわかること - 独自ドメインを取得した直後に固めるべき「守り」の設定5つ - なぜ取得直後にやるのが最も安全で手間が少ないのか - 会社で取得した場合に、個人任せをやめて確認すべき追加の3点 独自ドメインは、取得して Web サイトやメールにつないだら終わり、ではありません。むしろ取得した瞬間から、乗っ取り・失効・名義トラブルといった「失うリスク」が始まります。この記事では、取得直後に固めておく守りの設定を、優先順位の高い順に整理します。取得後にやること全体の俯瞰は[ドメイン取得後にやること|初期設定チェックリスト](/blog/domain-after-registration)にまとめているので、本記事は「セキュリティ(守り)」に絞って深掘りします。 ## 守りを固めないと、取得後に何が起きるか ドメインは「持っているだけ」では守られません。設定を放置すると、主に次の3つが起こり得ます。 - **乗っ取り**:登録者の連絡先情報を書き換えられ、知らないうちに別の事業者へ移管されてしまう - **失効**:更新を忘れて期限が切れ、サイトもメールも一斉に止まる。最悪、第三者に取得される - **名義トラブル**:担当者個人や制作会社の名義のままで、いざという時に会社が動かせない 特に乗っ取りと失効は、メールの停止という形で取引先との連絡を直撃します。ドメインを狙った[更新を装う詐欺メール](/blog/domain-renewal-scam-email)も後を絶ちません。「いま自分のドメインが誰の名義で、どんな状態か」が曖昧な方は、先に[ドメインの所有者を確認する方法](/blog/domain-owner-check)で現状を把握しておくと、この記事の設定が進めやすくなります。 ## 取得直後にやる「守り」の設定5つ 下の5つを、上から順に設定するのがおすすめです。1と2は乗っ取りを直接防ぐ要なので、最初に固めます。 ![取得直後に固める守りの設定5つを優先順位順に並べたチェックリスト](/blog/domain-after-registration-security/security-checklist.svg) ### 1. Transfer Lock(移管ロック)をかける 移管ロックは、ドメインが無断で別の登録事業者へ移されるのを防ぐ仕組みです。技術的には登録情報に `clientTransferProhibited`(クライアント移管禁止)というステータスを立てた状態を指します。ICANN のルールでは、登録者の請求に応じてこのロックを設定できます。各ステータスコードの意味は[ドメインのステータスコード一覧](/blog/epp-domain-status-codes)で詳しく解説しています。 多くの登録事業者では管理画面から数クリックで有効にでき、解除も同じ画面から自分でいつでも行えます(自分で外せない事業者の場合でも、解除を請求すれば5日以内に解除される決まりです)。通常はロックを ON のままにしておき、正規に移管したいときだけ一時的に外すのが安全です。 なお ICANN のルールでは、登録者の氏名・組織名・メールアドレスを変更すると、その後60日間は別の登録事業者への移管がロックされます。これは連絡先を勝手に書き換えて移管する不正を防ぐための保護です。名義変更の予定があるなら、この60日ロックを見越して段取りを組んでください。 ### 2. レジストラアカウントに2段階認証を設定する 移管ロックをかけても、ドメインを操作できる管理画面(登録事業者のアカウント)そのものが乗っ取られては意味がありません。ログイン ID とパスワードだけの状態は危険です。 登録事業者の管理画面に**2段階認証**を設定し、パスワードが漏れても本人以外はログインできない状態にします。これはドメインの守りの土台であり、メールや SNS など他の重要アカウントと同様、最初にやるべき設定です。 ### 3. 自動更新を ON にし、連絡先メールを最新にする ドメインの失効は、悪意ある攻撃ではなく「更新忘れ」で起きるのが大半です。自動更新を ON にし、さらに**登録している連絡先メールアドレスが今も受信できるか**を必ず確認します。 更新の通知や、万一のトラブル時の本人確認は、この連絡先メールに届きます。退職した担当者のアドレスや、もう使っていないアドレスのままだと、重要な通知をすべて見落とします。支払いに使うクレジットカードの有効期限が切れて自動更新が静かに失敗する事故も多いので、支払い手段もあわせて見直してください。 ### 4. Whois 情報公開代行を確認する ドメインの登録者情報(Whois / RDAP)には、氏名・住所・電話番号・メールが含まれます。これがそのまま公開されると誰でも閲覧でき、ドメインを狙った詐欺や営業の標的になりやすくなります。 多くの登録事業者は「Whois 情報公開代行(プライバシー保護)」を無料または低価格で提供しており、登録者の個人情報の代わりに代行業者の情報を表示してくれます。設定済みかどうかを確認しましょう。公開のリスクと注意点は[Whois公開で個人情報がさらされるリスク](/blog/whois-privacy-risk)で詳しく扱っています。 ### 5. 管理者アカウントを法人で一元化する 最後に、ドメインを「誰が管理しているか」を整理します。担当者個人のメールやアカウントに紐づいたままだと、退職や担当交代でアクセスできなくなります。会社の資産であるドメインは、法人で管理を一元化しておくのが安全です。複数のドメインを持っている場合は[複数ドメインの管理と棚卸し](/blog/multiple-domain-management)もあわせて整えると、抜け漏れが防げます。 ## 会社で取得したら、追加で押さえる3点 法人でドメインを取得した場合、「担当者個人に任せきり」になっていると、本人がいなくなった瞬間に詰みます。次の3点を確認してください。 ![会社のドメインを個人任せにした場合と法人で一元化した場合の比較](/blog/domain-after-registration-security/personal-vs-company.svg) - **登録者の名義**:個人名ではなく法人名義になっているか。制作会社に任せた場合、相手の名義のままになっていないか。名義の落とし穴は[制作会社にドメインを任せるときの名義リスク](/blog/agency-domain-ownership-risk)で解説しています - **連絡先と支払い**:通知の届くメールを個人ではなく共有の管理用アドレスにし、支払いを法人カードや請求書払いにする。担当が異動しても更新が切れない状態にします - **状態の可視化**:移管ロック・2段階認証・更新期限・名義を台帳にまとめ、担当者以外も把握できるようにする 情シスや総務の担当者にとって、この「個人任せの解消」が取得後にやることの本命です。属人化したままのドメインは、退職や異動のたびに静かにリスクが積み上がります。 ## よくある質問 ### 取得直後でなく、後からでも設定できますか? できます。ただし移管ロックや2段階認証は、乗っ取りが起きる前に有効にしてこそ意味があります。失効も名義トラブルも起きてからの復旧は時間とコストがかかるため、取得直後にまとめて固めるのが最も楽で安全です。 ### どこまで自分でやる必要がありますか? 移管ロック・自動更新・2段階認証・Whois 公開代行は、いずれも登録事業者の管理画面から設定できます。専門知識がなくても進められますが、名義の整理やメール認証まで含めて漏れなく確認したい場合は、現状診断から始めると安心です。 ### 設定できているか確認する方法はありますか? ドメインのステータスや認証設定は、無料のドメイン診断で確認できます。移管ロックの有無やメール認証(SPF / DKIM / DMARC)の状態を含め、何が未設定かを一覧で把握できます。 ## まとめ - 独自ドメインは取得した瞬間から、乗っ取り・失効・名義トラブルのリスクが始まる - 守りの設定は「移管ロック → 2段階認証 → 自動更新 → Whois 公開代行 → 管理者の一元化」の順に固める - 会社で取得したなら、個人任せをやめて名義・連絡先・支払い・可視化を整えるのが本命 ## まずは自社ドメインの状態を確認しましょう 移管ロックやメール認証が設定済みかどうかは、無料の[ドメイン診断](/diagnose)でドメインを入力するだけで確認できます。何から手をつければいいかわからない方は、[お問い合わせ](/contact)からお気軽にご相談ください。専門家が現状の確認から優先順位の整理までわかりやすくサポートします。