会社のドメインを一度きちんと押さえておくだけで、ホームページもメールも「ある日突然止まる」不安からほぼ解放されます。
ドメインとは、いわば会社のWeb上の住所であり、表札です。
制作会社に任せきりのまま放置すると、乗っ取り・更新忘れ・制作会社の変更といった場面で、その住所ごと失ってしまうことがあります。住所が消えればホームページが表示されなくなるだけでなく、その住所を使っている会社のメールまで一斉に届かなくなってしまうのです。
この記事では、専門知識がなくても今日から動けるように、自社ドメインの名義を確かめる方法から、乗っ取りを防ぐ設定、更新忘れの復旧、制作会社を変えるときの安全な引き継ぎ、そして取り戻し方までを手順で整理します。読み終えたとき、自社が次に何を確認すればよいかが具体的に見えている状態を目指します。
ドメイン管理とは何か。なぜ会社のホームページの生命線なのか
ドメイン管理とは、この住所を「誰が所有し、いつまで使えて、どこの設定で動かすか」を保ち続ける仕事のことです。
具体的には、登録者の名義・有効期限の更新・DNSと呼ばれる接続設定の3つを正しい状態に維持し続けることを指します。
少しだけ仕組みを整理しておきましょう。
ドメインには、住所の台帳を管理する大元の組織(レジストリ)と、その窓口になる登録事業者(レジストラ)という2者が関わっています。たとえば「.jp」のドメインなら、台帳を管理するのがJPRS(日本レジストリサービス)という組織で、お名前.comやさくらインターネットといった事業者が登録窓口を担います。私たちが普段やり取りする相手は、後者の登録窓口です。
要点ドメインが止まると、HPとメールが同時に止まる
多くの会社は、ホームページのアドレスと会社のメールアドレスに同じドメインを使っています。ドメインを失うと、サイトが見られなくなるのと同時に、見積もりや受発注のメールも送受信できなくなります。Web担当者だけの問題ではなく、営業や経理まで巻き込む経営リスクだと捉えてください。
つまりドメイン管理は、ホームページの裏方仕事ではなく、会社の連絡網そのものを守る仕事だと言えます。
だからこそ、設定の細部は業者に任せるとしても、「名義と期限だけは経営側が把握しておく」のが、後悔しないための最低ラインです。
まず確認すべきは「自社ドメインが誰の名義か」
対策を考える前に、必ず最初に確かめてほしいことがあります。
それは、いま自社のドメインが「誰の名義」で登録されているかです。ここが自社になっていないと、この後のどの対策も土台から崩れてしまいます。
名義を確認する2ステップ
確認の手順はシンプルです。
次の2つを押さえれば、自社で管理できている状態かどうかが判定できます。
- Whois検索サービスで自社ドメインを調べ、登録者(Registrant)の組織名を確認する
- ドメイン管理画面にログインできるID・パスワードを自社が持っているか確認する
Whois(フーイズ)とは、ドメインの登録情報をオンラインで確認できる仕組みです。
ここで登録者が自社の正式な組織名になっていて、なおかつ管理画面のログイン情報も自社で保持している。この2つが揃って初めて「自社で管理できている」と言えます。
注意したいのは、Whois代理公開(プライバシー保護)を設定していると、登録者欄に登録事業者の名前が表示される点です。
その場合は表示だけでは判断できないため、管理画面にログインして実際の名義を確認してください。
危険な3つの名義パターン
確認の結果、次のいずれかに当てはまったら、所有権が宙に浮いている危険な状態です。
放置せず、後述の手順で名義を自社へ整える必要があります。
注意
制作会社・代理店の名義
契約解除や業者の倒産で、ドメインごとHPとメールを失う最大級のリスク
前任担当者の個人名義
退職や連絡不能で更新も移管もできなくなり、管理権限が消失する
担当者個人のフリーメール登録
更新通知が個人にしか届かず、会社として状況を把握できない
制作会社の名義になっているのは、悪意があるからとは限りません。
構築のときに「個人情報やカード情報の入力が手間だから」と、制作会社が自社名義で契約を代行してくれたケースが実際にはよくあります。ただ、善意の代行であっても、名義が他社のままだと会社の資産としては危うい状態です。ドメイン管理会社が誰で、登録者が誰かを、まず切り分けて確認しておきましょう。
名義の確認や業者とのやり取りで判断に迷う場面があれば、動き出す前に遠慮なくご相談ください。
会社のホームページを乗っ取りから守る5つの対策
名義の確認ができたら、次は乗っ取りへの備えです。
ドメインの乗っ取り(ハイジャック)とは、第三者があなたのドメインの管理権限を奪い、勝手に設定を書き換えたり別人へ移してしまう攻撃を指します。
登録管理団体であるJPRSは、乗っ取りの手口を大きく2つに整理しています。
1つはDNSサーバーを狙って不正な応答を返させる手口、もう1つは管理権限を奪って登録情報そのものを書き換える手口です。
どちらも狙われる入口は同じで、「管理画面のアカウント」と「登録情報の管理の甘さ」に行き着きます。だからこそ、特別な技術がなくても、次の5つの基本でその大半は防げるわけです。
今週から着手できる5つの対策
| 対策 | 何を守るか |
|---|---|
| 登録者を自社名義にする | 所有権そのもの。移管の主導権を握る土台 |
| 管理画面に二要素認証(2FA) | パスワードが漏れても不正ログインを防ぐ |
| レジストリロックを使う | 不正な移管・設定変更の受付をそもそも止める |
| Whois情報を最新に保つ | 通知が届き、不正な変更にすぐ気づける |
| 更新通知を社内で一元管理 | 担当者頼みをやめ、会社として失効を防ぐ |
1つ目は、登録者を自社名義にすることです。
前章で確認した名義が他社や個人だった場合、ここを自社に整えるのがすべての出発点になります。所有権が自社にあって初めて、ほかの対策が意味を持ちます。
2つ目は、管理画面のログインに二要素認証(2FA)を設定することです。
二要素認証とは、パスワードに加えてスマホアプリの確認コードなど「もう一つの鍵」を求める仕組みです。これがあれば、仮にパスワードが漏れても、それだけでは不正ログインされません。JPRSも、類推されにくいパスワードと二要素認証の利用を推奨しています。
3つ目は、レジストリロックの活用です。
これは、ドメインの登録情報やネームサーバー設定を意図せず書き換えられないよう、申請の受付自体をロックするサービスです。JPRSのレジストリロックは、co.jpを含むJPドメイン全般が対象で、登録情報変更・ドメイン名移転・ドメイン名廃止・指定事業者変更などの申請受付を制限します。パスワードを盗まれても勝手に移管されないという、強力な最後の砦になります。
申し込み方法や料金は登録事業者ごとに異なるため、自社のドメインを管理している事業者に「レジストリロックは使えるか」を直接問い合わせてください。提供の有無や呼び名が事業者によって違う点に注意してください。
4つ目は、Whois情報を最新に保つことです。
登録メールアドレスや連絡先が、退職者の個人アドレスや使っていないアドレスのままだと、不正な変更の通知が届きません。届け出ている連絡先を常に最新に保ち、変更通知メールを見られる状態にしておくことが、異常の早期発見につながります。
5つ目は、更新通知を社内で一元管理することです。
担当者一人のメールにだけ通知が届く状態は危険です。複数の社内アドレスへ転送し、会社として更新状況を把握できるようにしておきます。これは次章の更新忘れ対策にも直結します。
なお、送信ドメイン認証(SPF・DKIM・DMARC)という技術もよく話題になりますが、これはメールのなりすましを防ぐ仕組みで、ドメインの乗っ取りそのものを防ぐものではありません。役割が違うため、乗っ取り対策とは分けて考えてください。なりすましメールの見分け方については、エックスサーバーのなりすましメール対策の解説もあわせてご覧ください。
更新忘れで失効したら?復旧できる期間と再発防止の設計
乗っ取りと並んで多い事故が、単純な更新忘れによる失効です。
厄介なのは、自動更新にしていたはずなのに失効してしまうケースで、原因の多くは支払いクレジットカードの有効期限切れです。カードが切れていると自動更新は静かに失敗し、本人は気づきません。
では、うっかり失効させてしまったら、もう取り戻せないのでしょうか。
結論から言うと、一定の猶予期間内なら復旧できます。ただし期間を過ぎると第三者が取得できる状態になり、原則として取り戻せません。ここはドメインの種類で扱いが変わる点に注意が必要です。
失効後に復旧できる期間の目安
| 種類 | 復旧できる期間の目安 |
|---|---|
| .com / .netなど | 自動更新猶予45日→請戻し30日→削除保留5日の順に進む |
| 汎用JP(.jp) | 有効期限の翌月15日までに更新で復活 |
.comなどのドメインは、失効後すぐ消えるわけではありません。
JPNIC(日本ネットワークインフォメーションセンター)の説明によれば、まず自動更新猶予期間が約45日、その後に請戻し(取り戻し)のための猶予期間が約30日、さらに削除保留が約5日と続き、ここを過ぎて初めて削除され、誰でも取得できる状態になります。おおむね失効から2〜3か月が一つの境目です。
出典: JPNIC「削除済ドメイン名のための『請戻猶予期間』」
一方、汎用JPドメイン(.jp)は復活できる期限が短く設定されています。
多くの登録事業者では、有効期限の「翌月15日」までが復活の目安です。たとえば9月30日が期限なら、10月15日を過ぎると復旧が難しくなります。期限の感覚が.comとは違う点に気をつけてください。
とはいえ、復旧できるからと安心するのは禁物です。
失効中はその間サイトもメールも止まりますし、運悪く第三者に取得されれば、買い戻しを求められたり、まったく無関係なサイトに使われることもあります。失効させないことが、唯一の確実な対策です。
メモ再発防止は3点だけ。自動更新をONにし、支払いカードの有効期限を管理台帳に記録し、更新通知を複数の社内担当へ転送する。これで「気づいたら失効」をほぼ防げます。
有効期限の管理を仕組み化する具体的なチェックリストは、ドメインの有効期限管理と自動更新設定の解説で詳しくまとめています。あわせて運用に取り入れてみてください。
制作会社を変更するとき、ドメインだけ安全に引き継ぐ手順
制作会社や管理会社を乗り換えるとき、最も事故が起きやすいのがドメインの引き継ぎです。
ここを段取りよく進めれば、サイトもメールも止めずに移管できます。逆に順番を誤ると、解約後に協力が得られず立ち往生します。
解約を切り出す前に押さえる3点
鉄則は、解約を通告する前に、移管に必要なものを自社で確保しておくことです。
解約後は現業者の協力が得にくくなるため、次の3点は先に手元へ集めておきます。
- 登録者が自社名義になっているか(なっていなければ先に名義変更を依頼)
- AuthCode(移管の認証鍵)を現業者から取得しておく
- 現在のDNSレコードとメール(MX)設定を控えておく
AuthCode(オースコード)とは、ドメインを別の事業者へ移すときに本人確認に使う認証鍵のようなものです。
移管先で入力を求められるため、現業者から開示してもらう必要があります。あわせて、移管承認メールがWhois登録メールアドレスに届くので、確実に受信できる状態にしておきます。
とくに見落としやすいのが、3点目のDNSとメール設定です。
ドメインを移管しても、DNSやメールの設定は自動では引き継がれません。控えを取らずに移管すると、サイトが表示されなくなったり、会社のメールが送受信できなくなります。移管の前後で必ず設定内容を突き合わせてください。
co.jpと汎用ドメインで違う移管の進め方
移管手順は、ドメインの種類で少し変わります。
.comや汎用JP(.jp)は、AuthCodeの取得と移管承認メールへの承認で進みます。co.jpなどの属性型JPドメインも、移管にはAuthCodeが必要です(2023年11月以降、すべてのJPドメインで必須)。
ただし属性型JPはこれに加えて、現管理会社への移管承認や登録者変更の書類手続きも伴うため、現管理会社による承認作業が欠かせません。
さらに、登録から日が浅いと移管できない点にも注意してください。
ドメインは登録後60日未満は移管できない(ICANN規定)ほか、Whois情報を更新した直後も一定期間ロックがかかる場合があります。乗り換えを急ぐときほど、こうした制限を先に確認しておくと安全です。移管にかかる費用は事業者により異なりますが、おおむね約1,000円から数千円程度の範囲です(金額は変動するため事前にご確認ください)。
管理会社そのものの乗り換え手順や違約金の考え方は、ホームページ管理会社の解約方法の解説で詳しく整理しています。ドメインの引き継ぎとあわせて読むと、乗り換え全体の段取りが見えてきます。
制作会社名義のドメインを取り戻す手順と、応じない場合の対応
名義を確認した結果、登録者が制作会社になっていた場合の取り戻し方を見ていきましょう。
結論として、多くのケースで自社へ取り戻せます。ただし手順と、応じてもらえないときの備えを知っておくことが大切です。
取り戻しの段階的な進め方
まずは、制作会社に登録者の自社名義への変更(または移管)を書面で依頼します。
口頭ではなくメールなど記録の残る形で依頼しておくと、後のトラブル防止につながります。依頼の根拠として、契約書や発注の経緯を整理しておくと、話がぐっと進めやすくなるでしょう。
ドメインの種類によって必要なものが変わります。
別の事業者へ移して取り戻す場合は、汎用・co.jpともにAuthCodeの開示を、co.jpなどの属性型JPは加えて登録者変更の手続きを依頼します。属性型JPの登録者変更は所定の書類審査を伴い、手続きが汎用ドメインと異なるため、必要書類は現在の登録事業者に確認するのが確実です。co.jpは「原則1組織につき1ドメイン」「日本で登記した組織のみ登録可能」という要件がある点も押さえておきましょう。
もし制作会社が応じない、連絡が取れない、あるいは廃業しているといった場合は、段階的に対応します。
まずは現在の登録事業者(レジストラ)に事情を相談し、それでも解決しなければ弁護士など専門家へ相談する流れです。連絡不能や廃業のケースほど、早く動くほど残せる選択肢が増えます。
回避感情的に解約を先に切り出す
名義やAuthCodeを確保する前に関係を悪化させると、開示協力が得られず手詰まりになりがちです。取り戻しの交渉と、契約の解約は順番を分けて進めるのが安全です。
そもそもの予防策はシンプルで、ドメインとサーバーは最初から自社名義で契約することに尽きます。
新しく業者へ依頼するときは、制作会社の同席や電話サポートを受けながらでも構わないので、契約名義だけは自社にしておきましょう。業者選びの段階で名義の扱いを質問しておくのも有効で、良いWeb制作会社を見分ける質問集が判断の参考になります。
担当者がいない中小企業でも回せるドメイン管理体制
ここまで読んで、「専門の担当者がいない自社に、こんな管理ができるのか」と感じた方もいるはずです。
結論として、高度な常時運用は不要です。日常の細かな管理はレジストラの自動更新と通知に任せ、経営側は年に一度の棚卸しだけを押さえれば、重大事故の大半は防げます。
年に一度の「ドメイン棚卸し」チェックリスト
誰が・何を・いつ確認するかを決めておけば、属人化を避けられます。
おすすめは、期初など決まった時期に、経営者か総務が次の項目を点検する運用です。
- 自社の全ドメインを一覧化したか(複数保有の見落とし防止)
- 各ドメインの登録者は自社の正式組織名か
- 管理画面のログイン情報を自社が保持しているか
- 有効期限と自動更新の状態、支払いカードの期限は大丈夫か
- 二要素認証やレジストリロックは有効か
- 管理権限を持つ担当者が退職・不在になっていないか
複数のドメインを持っている会社ほど、一元管理の台帳が効きます。
ドメイン名・登録者・登録事業者・有効期限・更新方法・管理画面の所在を一枚の表にまとめておくだけで、担当が変わっても引き継げます。特別なツールは不要で、表計算ソフト1枚で十分です。
大事なのは、完璧な運用を目指すことではありません。
年に一度、名義と期限と権限者だけは必ず確認する。この最低限の習慣が、会社のWeb上の住所を守る一番現実的な方法です。
よくある質問(FAQ)
Q会社のドメインが誰の名義か、どうやって確認できますか?
AWhois検索サービスでドメインを調べると登録者(Registrant)が表示されます。代理公開で隠れている場合は管理画面にログインして実名義を確認します。登録者が自社の正式組織名で、かつ管理画面のログイン情報を自社が持っていれば自社管理の状態です。
Q制作会社の名義になっているドメインを自社に取り戻せますか?
A多くの場合は取り戻せます。制作会社へ登録者の自社名義への変更や移管を書面で依頼します。移管にはco.jp・汎用ともにAuthCodeの開示が必要で、co.jpは加えて登録者変更の書類手続きが必要です。応じない場合は登録事業者へ相談し、解決しなければ弁護士など専門家に相談します。
Qドメインの乗っ取りを防ぐために今すぐやるべきことは?
A管理画面への二要素認証(2FA)の設定、レジストリロックの有効化、類推されにくいパスワードへの変更、Whois連絡先を現役の社内アドレスへ更新する、の4点です。JPRSも社内の管理体制と二要素認証・強固なパスワードを推奨しています。
Qドメインの更新を忘れて失効したら復旧できますか?
A期間内なら復旧できます。汎用JP(.jp)は有効期限の翌月15日までが目安です。.comなどは自動更新猶予45日・請戻し30日・削除保留5日の猶予があり、おおむね失効後2〜3か月を過ぎると削除され第三者が取得可能になり、原則取り戻せなくなります。
Q制作会社を変えるとき、ドメインだけ安全に引き継ぐには?
A解約を通告する前に、登録者名義・AuthCode・DNSとメール(MX)設定の控えを自社で確保します。解約後は協力が得にくくなるため、移管とレコードの再設定を先に段取りすることで、サイトとメールの停止を防げます。
Qco.jpドメインの移管は.comと同じですか?
A移管にAuthCodeが必要な点は.comと同じです。ただしco.jp(属性型JP)は加えて、現管理会社への移管承認や登録者変更の書類手続き(所定の書類審査を伴う)が必要で、必要書類は登録事業者に確認します。1組織につき1ドメイン・日本で登記した組織のみ登録可能という要件もあります。
Q社内にWebに詳しい人がいなくてもドメイン管理はできますか?
Aできます。日常の管理は登録事業者の自動更新と通知メールに任せ、経営者か総務が年に一度、登録者名義・有効期限・支払いカードの期限・二要素認証・全ドメインの棚卸しを確認するだけで、乗っ取り・更新忘れ・名義トラブルの大半は防げます。
名義と期限を押さえることが、そのまま会社の防御になる
ドメイン管理の不安は、ほどいてみれば「所有権を自社で握ること」と「失効させないこと」の2つに集約されます。
乗っ取りも更新忘れも制作会社とのトラブルも、突き詰めれば名義と期限の管理に行き着きます。
まずは今日、Whoisと管理画面で自社ドメインの名義を確認するところから始めてください。
そのうえで自動更新と二要素認証を整え、年に一度の棚卸しを習慣にする。名義の確認や移管の進め方で迷う場面があれば、契約や設定を動かす前に、遠慮なくご相談ください。