DNSSECの普及率について

2026-05-22

DNSSECの普及率を語るときに、最初に押さえておきたいのは、普及率には複数の見方があるという点です。

DNSSECは単純に「導入済みか未導入か」だけで判断しにくい技術です。

たとえば、利用者が使っている再帰リゾルバがDNSSECを検証できる状態にあるかという見方もあれば、個々のドメインがDNSSEC署名を行い、親ゾーンにDSレコードも登録して、信頼の連鎖が成立しているかという見方もあります。

さらに、.com や .jp のようなTLD自体がDNSSEC対応しているかという観点もあります。

こうした指標は別物なので、同じ「DNSSECの普及率」という言葉でも、参照する数字は大きく変わります。

利用者側の普及は進んでいる

現在のDNSSEC普及状況を理解するうえで重要なのは、利用者側の検証環境はかなり広がっているという点です。

APNIC Blog の2026年2月の記事では、2025年時点でDNSSECのvalidation rate は36%、secure delegation rate は7%と整理されています。

これは、DNSSECを検証できる利用環境は世界全体で3割台半ばまで広がっている一方で、信頼の連鎖が成立したドメインはまだ1桁台にとどまっていることを意味します。

つまり、利用者側の受け皿はある程度整ってきているものの、公開側での導入がそれに追いついていないという構図です。

個別ドメインでの導入率はまだ低い

DNSSECの普及率を「実際にどれだけのドメインが対応しているか」で見ると、現状はまだ高いとは言えません。

Whisper の2025年レビューでは、分析対象となった209,387,208ドメインにおけるDNSSEC adoption rate は4.7%とされています。

さらに、TLD別では .com が4.7%、.net が5.5%という結果でした。

調査方法によって多少の差はあるものの、DNSSECが個別ドメインまで広く普及しているとはまだ言いにくく、実態としては4〜7%台の1桁台で推移しているとみるのが妥当です。

TLDレベルでは整備が進んでいる

一方で、DNSSECは上位レイヤーではかなり整備が進んでいます。

ICANN ITHI の M7 は、TLDにDSレコードが存在するかどうかをもとに、TLDレベルのDNSSEC展開を測る指標として定義されています。

また、2025年のUSENIX論文では、92.94%のTLDがDNSSECで保護されていると記されています。

ここで注意したいのは、この92.94%という数値は研究論文で確認できる一方、今回確認したICANN ITHIの現行ページ上で、そのままライブ値として直接確認できたわけではないことです。

そのため、厳密には「TLD層では高水準で対応が進んでいる」と表現するのが安全です。

なぜDNSSECは広がりにくいのか

DNSSECの普及が伸びにくい背景には、設定と運用の難しさがあります。

DNSSECは、単にゾーンへ署名すれば終わる仕組みではありません。

子ゾーン側の署名だけでなく、親ゾーン側のDSレコード登録まで含めて、ルートトラストアンカーまで信頼の連鎖がつながっていることが重要です。

このどこかに不整合があると、かえって名前解決障害を引き起こすことがあります。

さらに、2025年の研究では、DNSSECは導入率の低さに加えて誤設定率の高さも課題だと指摘されています。

NSEC3の設定不備、委任ミス、署名の期限切れなどが、DNSSECの本来の安全性を十分に活かせない要因になっています。

つまり、DNSSECが広がりにくいのは「必要性が低いから」というより、安全に正しく運用するハードルが高いからだと考えるほうが実態に近いでしょう。

今後は証明書発行の観点でも存在感が増す

DNSSECは、今後さらに重要性を増す可能性があります。

CA/Browser Forum の Baseline Requirements では、2026年3月15日から、Primary Network Perspective が行うドメイン認証・制御の検証に関わるDNSクエリと、CAAレコード参照に関わるDNSクエリについて、IANA DNSSEC root trust anchor までのDNSSEC validationが求められています。

これは、Webサイト運営や証明書発行の周辺でも、DNSSEC検証がより明確に重視される方向に進んでいることを示しています。