DNS-over-QUICとはなんなのか

DNS-over-QUIC（DoQ）とは、QUIC上でDNSメッセージを送受信する暗号化DNSプロトコルです。

従来のDNS通信は暗号化されていないことが多く、第三者から「どのドメイン名にアクセスしようとしているのか」を見られる可能性がありました。

DoQは、DNS通信をQUIC上で行うことで、DNSクエリやレスポンスの内容を暗号化し、プライバシー保護と通信性能の向上を目指す仕組みです。

DNSの役割

DNSは、ドメイン名をIPアドレスに変換する仕組みです。

たとえば、Webサイトにアクセスするとき、私たちは「example.com」のようなドメイン名を入力します。

しかし、コンピューター同士の通信ではIPアドレスが使われるため、ドメイン名をIPアドレスに変換する必要があります。

この変換を行うのがDNSです。

従来のDNSが抱える課題

従来のDNSは、主にUDPやTCPを使って通信します。

しかし、一般的なDNS通信は暗号化されていないため、ネットワーク上の第三者にDNS問い合わせの内容を見られる可能性があります。

たとえば、以下のような情報が推測される場合があります。

• どのドメイン名を問い合わせたのか。
• どのサービスを利用しようとしているのか。
• どのタイミングで通信したのか。

このように、DNSはWebアクセスの入口にあたるため、プライバシー保護の観点で重要な通信です。

QUICとは？

QUICは、UDP上に構築された新しいトランスポートプロトコルです。

HTTP/3でも利用されており、現代のWeb通信を高速化するための重要な技術の一つです。

QUICには、主に以下のような特徴があります。

• 通信を暗号化できる。
• 接続確立の遅延を抑えやすい。
• パケットロスに強い。
• ネットワークが変わっても接続を維持しやすい。

たとえば、スマートフォンでWi-Fiからモバイル回線に切り替わる場面でも、QUICは接続を継続しやすい設計になっています。

DNS-over-QUICの仕組み

DNS-over-QUICは、DNSメッセージをQUIC接続上でやり取りします。

従来のDNSでは、DNSクエリやレスポンスが平文で送られることがありました。

一方、DoQではQUICの仕組みによって通信内容が暗号化されます。

そのため、第三者が通信を盗み見ても、DNS問い合わせの中身を読み取りにくくなります。

ただし、通信先のDoQサーバーのIPアドレス、通信量、通信タイミングなどのメタデータまですべて隠せるわけではありません。

DoQは「完全に匿名化する技術」ではなく、「DNSメッセージの内容を保護する技術」と理解するのが正確です。

DoQのメリット

DoQの大きなメリットは、プライバシー保護と通信性能を両立しやすい点です。

まず、DNSクエリやレスポンスの内容が暗号化されるため、ISPや公衆Wi-Fiの管理者、同じネットワーク上の第三者から問い合わせ内容を読み取られにくくなります。

また、QUICの特徴により、低遅延な接続確立やパケットロスへの耐性も期待できます。

さらに、ネットワーク変更時にも接続を維持しやすいため、モバイル環境との相性も良いとされています。

0-RTTについての注意点

QUICには、0-RTTと呼ばれる仕組みがあります。

0-RTTを利用すると、過去に接続したことのあるサーバーへ再接続する際に、接続確立の遅延を抑えられる場合があります。

ただし、0-RTTは初回接続で必ず使えるものではありません。

そのため、DoQを説明するときに「初回接続から常に0-RTTで高速」と表現するのは正確ではありません。

正しくは、「再接続時など、条件が合えば0-RTTを利用できる場合がある」と考えるべきです。

DoH・DoT・DoQの違い

DNSを暗号化する技術には、DoQ以外にもDNS-over-HTTPS（DoH）やDNS-over-TLS（DoT）があります。

DoHは、HTTPS上でDNS通信を行う方式です。通常のWeb通信に近い形で扱えるため、HTTPS通信に紛れやすいという特徴があります。

DoTは、TLS上でDNS通信を行う方式です。

仕組みが比較的シンプルで、DNS暗号化方式として広く知られています。

DoQは、QUIC上でDNS通信を行う方式です。

DNSの内容を暗号化しながら、QUICの低遅延性、パケットロス耐性、接続維持性能を活用できる点が特徴です。

DoQの課題

DoQにはメリットがある一方で、いくつかの課題もあります。

まず、DoHやDoTに比べると、対応している環境はまだ限定的です。

利用するには、DoQに対応したDNSリゾルバやクライアントが必要です。

また、DoQは標準ではUDP 853番ポートを使います。

そのため、企業ネットワークや一部の公衆Wi-FiではUDP通信が制限され、DoQを利用できない場合があります。

さらに、DNS通信が暗号化されることで、企業や学校などのネットワーク管理者が通信内容を把握しにくくなるという側面もあります。

これはプライバシー保護のメリットである一方、セキュリティ管理やフィルタリングの観点では課題になることがあります。

DoQはどんな場面で役立つのか

DoQは、プライバシーを重視したい場面や、モバイル環境での安定した通信が求められる場面で役立ちます。

たとえば、公衆Wi-Fiを利用する場合、従来の平文DNSでは問い合わせ内容を第三者に見られるリスクがあります。

DoQを利用すれば、DNSメッセージの内容を保護しやすくなります。

また、スマートフォンのようにネットワークが切り替わりやすい環境では、QUICの接続維持性能がメリットになる可能性があります。

DNS-over-QUICの将来性

Web通信では、HTTP/3の普及によりQUICの利用が広がっています。

DNSの分野でも、DoQという形でQUICを活用する選択肢が登場しました。

ただし、DoQがすべてのDNS通信を置き換えると断言するのは早い段階です。

現時点では、DoH、DoT、DoQが用途や環境に応じて使い分けられていくと考えるのが自然です。

まとめ

DNS-over-QUIC（DoQ）は、QUIC上でDNS通信を行う暗号化DNSプロトコルです。

DNSクエリやレスポンスの内容を暗号化することで、第三者から問い合わせ内容を読み取られにくくします。

また、QUICの特徴である低遅延性、パケットロス耐性、接続維持性能を活用できる点も大きな特徴です。

一方で、通信先IPや通信タイミングなどのメタデータまですべて隠せるわけではなく、ネットワーク環境によってはUDP通信が制限されて利用できない場合もあります。

DoQは、DNSのプライバシー保護と通信性能を高めるための新しい選択肢であり、HTTP/3時代のインターネットに適したDNS暗号化方式の一つだといえます。

以上、DNS-over-QUICとはなんなのかについてでした。

最後までお読みいただき、ありがとうございました。