CAAレコードとは？ DNSセキュリティガイド

証明書発行機関認可（CAA）レコードは、ドメイン所有者が自身のドメインに対してSSL/TLS証明書を発行することを許可する証明書発行機関（CA）を指定できるDNSレコードタイプです。簡単に言えば、信頼できるプロバイダーに証明書発行を制限する制御メカニズムとして機能し、不正な証明書や詐欺的な証明書のリスクを低減します。

CAAレコードとは何かと問われるなら、それは本質的にDNSレベルでドメインのデジタルアイデンティティを保護する手段です。CAAレコードが設定されていない場合、信頼されたCA（認証局）であれば誰でもあなたのドメインに対して証明書を発行でき、なりすましや悪用を可能にしてしまいます。適切に設定されたCAAレコードはサイトの信頼性を強化し、不正な証明書発行を防止し、ドメイン保護戦略全体に重要なセキュリティ層を追加します。

CAAレコードとは？

CAAレコードは、DNSのシンプルなエントリで、個人的な公開用心棒リストの役割を果たします。CAAレコードは、「これらの特定の、事前に承認された認証局だけが、SSL/TLS証明書を発行することを許可されています。 SSL/TLS証明書を発行することを許可します。"

これは単なる丁寧な提案ではありません。 CA/ブラウザフォーラムベースライン要件。各認証局は証明書を発行する前に、あなたのCAAレコードをチェックしなければならず、もし認証されていなければ、発行を拒否しなければなりません。

なぜCAAが重要なのか？

ハッカーがいない世界では、オープン・ドア・ポリシーで問題なかっただろう。しかし、ウェブは賑やかで混沌とした都市である。CAAの記録によって強制される強固なドアポリシーは、いくつかの理由から不可欠である：

なりすましを防止します

CAAレコードは、不正なCAがあなたのドメインに対して不正な証明書を発行することを阻止し、デジタル詐欺師があなたのドメインの隣に説得力のある偽の店舗を設置することを阻止するのに役立ちます。

あなたの評判を守ります

偽造証明書は、フィッシング攻撃 フィッシング攻撃や「マン・イン・ザ・ミドル」スキームに使用され、信頼できるブランドと犯罪行為を結びつける可能性があります。CAAの記録は、このような風評被害に対する防御の第一線です。

セキュリティ基準を適用します

お客様は、自社のセキュリティおよび審査基準を満たす CA を選択できます。CAAは、危険なパートナー、不正な従業員、巧妙な攻撃者など、誰もお客様の選択をバイパスできないことを保証します。

コンプライアンスチェックマークです

NISTやPCI DSSのような厳格なセキュリティ・フレームワークを遵守する組織にとって、証明書発行の管理を実証することは、単に良い習慣というだけでなく、多くの場合、要件となる。

CAAレコードの仕組み

CAは、あなたのドメインの証明書要求を受け取ると、あなたのDNSにCAAレコードがないかチェックする。レコード自体は明確な命令であり、フラグ、タグ、値の3つの部分から構成される。

CAAの記録はこの構造に従っている：

example.com. IN CAA <flag> <tag> <value>

通常、このフラグは0であり、認可命令ごとに1つずつ、複数のレコードを共存させることができる。

• フラグ：このフラグは通常0に設定されるが、128（「クリティカル」フラグ）に設定することで、CAがタグを認識しない場合、発行を拒否するように指示し、安全性をさらに高める。
• タグ これが具体的な命令である。主な命令は3つある：
  • 発行:CA に標準証明書の発行を許可する。
  • イシューワイルド:に対する許可を与える。 ワイルドカード証明書 (例 例：*.example.com).と同じ CA に割り当てることも、異なる CA に割り当てることもできます。 発行タグに割り当てることができます。
  • ヨード:これは「インシデントの報告」指示である。これは、以下のような場合にCAが通知を送ることができるメールアドレスを提供する。 電子メール・アドレスを提供する。を送信するためのメールアドレスを提供する。
• 値：値：認可されたCAの名前または報告用メールアドレス。

一般的なCAAタグとその機能

CAAレコードは、特定のタグを使用して、認証局がドメインに対してSSL/TLS証明書を発行する方法を制御します。各タグは異なる目的を持ち、異なる証明書シナリオに適用されます：

-問題

発行タグは、特定の認証局がお客様のドメインに対して標準的なSSL/TLS証明書を発行することを許可します。これは、1つ以上の信頼された認証局を明示的に許可し、その他のすべての認証局による証明書発行をブロックしたい場合に使用されます。

-issuewild

issuewildタグは、ドメイン（例：*.example.com）に対してワイルドカード証明書を発行できる認証局を制御します。このタグは、ワイルドカード証明書を使用し、その発行を個別に制御したい場合にのみ関連します。

-アイオデフ

iodefタグは、不正または無効な証明書発行の試行が発生した場合に、認証機関が報告を送信すべき場所を定義します。これらの報告は通常、メールアドレスまたはURLに送信され、ドメイン所有者が潜在的な悪用を検知し対応するのに役立ちます。

これらのタグを組み合わせることで、ドメイン所有者は証明書の発行方法をより厳密に制御できると同時に、悪用や誤設定の試みを早期に発見しやすくなり、問題が深刻化する前に防ぐことが可能になります。

CAAレコードの設定方法

CAAレコードの設定は、DNS管理コンソールで行います。

1.DNSを入力します：ドメインレジストラまたはDNSプロバイダにログインします。

2.新しいルールを投稿する：新しいDNSレコードを追加するエリアを見つける。

3.インストラクションを書く：

• • タイプ CAA
  • ホスト/名前あなたのドメイン（例 example.com)
  • タグ選ぶ 問題, イシューワイルドまたは iodef.
  • 値：CA のドメイン名を引用符で囲んで入力する（例． 「digicert.com).
  • 旗:に設定します。 0.

4.出版と検証:レコードを保存します。DNS の変更がインターネット全体に広がるには時間がかかることがあります。PowerDMARCのオンライン CAAチェッカーをご利用ください。

PowerDMARCがお手伝いできること 

PowerDMARC の認証局認証チェッカーは、ご自身のドアポリシーを検査するためのツールです。これは、CAAの記録を即座に検証し、選択したCAのみがリストに登録されていることを確認するために設計された、強力で無料のユーティリティです。

ステップ1: PowerDMARCに無料登録する 

サインアップにご登録いただくと、ドメインの安全性を維持するためのDNSおよびメール認証ツール一式をご利用いただけます。

ステップ2：分析ツール > 検索ツール > CAAチェッカーに進む 

メインメニューから分析ツールに移動します。の中にCAAチェッカーがあります。 Lookup Toolsタブにあります。

ステップ3：ドメイン名の入力 

検査したいドメインを入力する（例． powerdmarc.com)をツールボックスに入力し、"Lookup "ボタンを押してください。

ステップ4：認定リストの確認 

このツールは直ちにDNSを照会し、アクティブなCAAポリシーを表示します。認証されたCAを確認し、そこにあるべきでないCAを簡単に見つけることができます。また、各レコードのTTL（Time to Live）も表示されます。

ステップ5：あらゆる問題を解決する 

チェッカーが設定ミスや未承認のエントリーにフラグを立てたら、詳細情報を使ってDNSプロバイダーに戻り、トラブルシューティングを行うことができる。

重要優れたCAAチェッカーは、不正な証明書発行の防止、ドメイン・セキュリティの強化、設定ミスの効果的な特定とトラブルシューティング、コンプライアンスの確保、SSL証明書管理の改善に役立つ。

避けるべき新人のミス

• リストのタイプミスCA名のスペルミス(「digicert.co」ではなくではなく ではなく "digicert.co"の代わりに "digicert.co"）すると、完全にブロックされます。
• iodefレポートを忘れる：用心棒にインシデント・レポートの送信先を伝えないということは、誰かがあなたのセキュリティをテストしているかどうかを知ることができないということだ。
• 一律のポリシー：標準的なドメインに1つのCAを使用し、ワイルドカードに別のCAを使用する場合、2つの別々のレコード(発行と issuewild).

CAAレコードを使用すべき場合

SSL/TLS証明書を使用するドメインには、特に証明書の不正使用がセキュリティ、信頼性、またはコンプライアンス上の問題につながる可能性がある場合、CAAレコードの設定を強く推奨します。CAAは、ドメインに対して証明書を発行できる認証局を制限することで、不正または偶発的な証明書発行のリスクを低減します。

CAAは、複数のドメインやサブドメインを管理する企業、機密性の高い顧客データを扱うEC事業者、信頼性が極めて重要な顧客向けウェブサイトを運営する組織にとって特に重要です。また、複数のチームやベンダーと連携する企業においても、証明書管理が分散化され中央集権的な制御が困難な状況において、非常に価値のある機能です。

認証局（CA）の認可を制御することは、侵害された証明書や誤発行された証明書がなりすまし、中間者攻撃、またはブランド毀損を可能にする環境において不可欠となります。小規模な組織や情報提供サイトであっても、CAA制限を適用することで恩恵を受けられます。なぜなら、SSLを利用するあらゆるドメインは証明書の完全性に依存しているからです。CAAレコードを実装することで、組織の規模に関わらず、ドメイン全体のセキュリティを強化する追加の制御層と可視性が提供されます。

結論

お客様のドメインのSSL/TLS証明書の発行者を完全に管理できます。CAAレコードは、お客様の承認された認証局のリストとして機能し、お客様の名前で証明書を作成することをブロックします。 

これは、顧客の信頼を損なうフィッシングやブランドなりすまし攻撃に対する大きな防御策となる。しかし、単に記録を作成するだけでは十分ではありません。正しく動作していることを確認するためには、定期的な検証が必要です。PowerDMARCは、CAAの設定をチェックするだけでなく、ウェブと電子メールのセキュリティを統合した完全な多層防御を展開するために必要なエキスパートツールを提供します。 

証明書発行プロセスを運任せにしない。 PowerDMARC にサインアップ今すぐ PowerDMARC にサインアップして、無料の CAA Checker を使用し、セキュリティ体制を検証し、ドメインの認証プロトコルを完全に可視化し、コントロールしましょう。

よくある質問 (FAQ)

CAAの記録は何を意味するのか？

CAAレコードは、DNS内のパブリックポリシーであり、どの特定の認証局がお客様のドメインのSSL/TLS証明書の発行を許可されているかを宣言する。

自分のドメインにCAAレコードは必要ですか？

いいえ、ウェブサイトが機能するためには必須ではありません。しかし、証明書がなければ、どのCAでも、リクエストの検証に合格すれば、あなたのドメインの証明書を発行することができます。これは潜在的なセキュリティリスクとなります。

複数のCAAレコードを持つことはできますか？

もちろんです。複数の認証局を使用する場合、認証されたプロバイダごとに個別のissueまたはissuewild CAAレコードを作成するだけです。

CAA記録を達成できなかった場合はどうなりますか？

CAAの記録がない場合、基本的に優先権がないことを世界に知らせることになります。これは、何百ものCAがあなたのドメインの証明書を発行できることを意味し、偶発的であれ悪意があるものであれ、潜在的な誤発行の表面積を著しく増大させる。

• について
• 最新記事

ユネス・タラダ

ドメインとメールセキュリティのエキスパートPowerDMARC

ユネスはPowerDMARCのオペレーションチームリーダーで、メール認証とセキュリティの専門知識を持つ。マイクロソフト認定のAzureアドミニストレーターアソシエイトであり、CompTIA A+やその他多くの資格を持っています。

最新記事 by Yunes Tarada(全て見る)

• 550 送信元アドレスがユーザー名の大文字小文字区別ポリシーに違反しています：原因と解決策 - 2026年2月11日
• Wix向けSPF、DKIM、DMARC設定の手順ガイド - 2026年1月26日
• 「逆引きDNSがSMTPバナーと一致しません」エラーの修正方法 - 2026年1月22日