[PR] あなたが Kindle で読みたいその本、Kindle に対応したら Twitter でお知らせします。

Amazon Route 53 にドメイン移管してセキュリティを高める

Posted on

このブログのドメインをお名前.com から Amazon Route 53 に移管しました。

移管手順はクラスメソッドさんのブログが参考になります。自分の場合、約 6 時間で完了しました。

Route 53 のドメイン料金は他社と比べて安いわけではありません(ドメイン登録は Gandi というレジストラを通じて行われます)。人気の gTLD (.com / .net / .org) が 10 〜 12 ドルなので、料金だけ見ればお名前.com の方が安いです。

ではなぜ移管したかと言うと、一番の理由はセキュリティです。

国内レジストラの残念な現状

控えめに言っても、国内レジストラはセキュリティに対して積極的に投資しているようには見えません。

多くの Web サービスが 2 段階認証に対応していく中、国内レジストラはいつまで経っても対応する様子がありません(少なくともお名前.com は 2 段階認証やクライアント証明書は利用できません)。

万が一、パスワードが漏れて管理画面に不正アクセスされると、ネームサーバを変更されて簡単にサイトを乗っ取られてしまいます。いわゆるドメイン名ハイジャックです。 OS やミドルウェアの脆弱性にいくら注意を払ってもネームサーバを変更されては元も子もありません。

企業での利用を考えてみても、ひとつのアカウントを使い回すので 誰が変更した のか追跡できません。これは大きな欠点です。

Route 53 のセキュリティ

AWS の他サービスも含めて Route 53 のセキュリティについてまとめてみます。

  • 2 段階認証を設定できる
  • IAM で詳細な権限管理ができる(たとえば Route 53 にアクセスできるのは管理者のみ)
  • CloudTrail によるログ保管

上記で挙げた国内レジストラの不安点はすべて解消しています。 IAM で認証プロバイダと連携していれば、Management Console へのアクセスを社内に限定することもできます。

まとめ

ドメインのセキュリティについて考えるなら Route 53 がベストではないでしょうか。

また、セキュリティ以外の部分でも 100% の SLA、様々なルーティング方法、全世界に広がる DNS サーバなど、Route 53 には魅力的な機能が揃っています。