Fortinet商品など
DNSサーバーの暗号化について
DNSサーバーの暗号化とは、端末やブラウザからDNSリゾルバまでのDNS通信を暗号化し、第三者に問い合わせ内容を見えにくくする仕組みです。
通常のDNS通信では、「example.com のIPアドレスを教えて」といった問い合わせが平文で送られることがあります。
そのため、同じWi-Fiの利用者、通信事業者、ネットワーク管理者などに、どのドメインへアクセスしようとしているかを観測される可能性があります。
DNS暗号化を使うと、このDNS問い合わせと応答を暗号化できます。
ただし、暗号化されるのは主にクライアントから再帰DNSリゾルバまでであり、リゾルバから権威DNSサーバーまでの通信が常に暗号化されるわけではありません。
主なDNS暗号化方式
| 方式 | 略称 | 概要 |
|---|---|---|
| DNS over HTTPS | DoH | DNS通信をHTTPS上で送る方式 |
| DNS over TLS | DoT | DNS通信をTLSで暗号化する方式 |
| DNS over QUIC | DoQ | DNS通信をQUIC上で暗号化する方式 |
| Oblivious DoH | ODoH | プロキシを挟み、リゾルバに利用者IPを見せにくくする方式 |
DoHとは
DoHは、DNS問い合わせをHTTPS通信として送る方式です。
通常のWeb通信と同じ443番ポートを使うため、外部からDNS通信だけを識別しにくいという特徴があります。
個人利用では、ブラウザの「セキュアDNS」機能として使われることが多く、公共Wi-Fiや自宅回線でのDNS盗聴対策に役立ちます。
ただし、企業や学校などのネットワークでは、既知のDoHサーバーへの通信を制御したり、ブラウザ設定を管理したりする場合があります。
そのため、DoHを使えば必ず検知や制限を回避できる、というわけではありません。
DoTとは
DoTは、DNS通信をTLSで暗号化する方式です。
通常は853番ポートを使います。
DoHがHTTPS通信に紛れるのに対し、DoTはDNS専用の暗号化通信として扱いやすいのが特徴です。
そのため、個人利用だけでなく、ルーターやOS単位でDNS暗号化を設定したい場合にも向いています。
また、企業ネットワークではDoHよりも通信を識別しやすいため、管理しやすい方式といえます。
DoQとは
DoQは、DNS通信をQUIC上で暗号化する方式です。
QUICはUDPベースの通信プロトコルで、接続確立の速さや、通信品質が不安定な環境での改善が期待されています。
DoQはDoHやDoTより新しい方式で、対応サービスや対応機器はまだ限られる場合があります。
ただし、今後のDNS暗号化方式として注目されています。
ODoHとは
ODoHは、Oblivious DNS over HTTPSの略です。
通常のDoHでは、DNSリゾルバは「どのIPアドレスの利用者が、どのドメインを問い合わせたか」を把握できます。
ODoHではプロキシを挟むことで、リゾルバが利用者のIPアドレスと問い合わせ内容を同時に把握しにくくします。
ただし、ODoHはDoHやDoTほど一般的に普及している方式ではありません。
通常の個人利用では、まずDoHやDoTを理解しておけば十分です。
DNSSECとの違い
DNS暗号化とDNSSECは、よく混同されますが目的が異なります。
| 技術 | 目的 |
|---|---|
| DoH / DoT / DoQ | DNS通信の盗聴・改ざんを防ぎやすくする |
| DNSSEC | DNS応答が正当なものか検証する |
| HTTPS | Webサイトとの通信内容を暗号化する |
| VPN | 通信経路全体を暗号化し、接続元情報も隠しやすくする |
DNS暗号化は、DNS通信の中身を見えにくくする技術です。
一方、DNSSECはDNS応答が改ざんされていないかを確認する技術です。
つまり、DNS暗号化は通信経路の保護、DNSSECはDNS応答の正当性確認と考えるとわかりやすいです。
DNS暗号化で守れるもの
DNS暗号化によって、主に以下を保護できます。
- DNS問い合わせの内容
- DNS応答の内容
- ローカルネットワーク上での盗聴リスク
- ISPなどによるDNS問い合わせの観測リスク
- DNS通信の途中改ざんリスク
特に、カフェやホテル、空港などの公共Wi-Fiを使う場合は、DNS通信を平文のまま送るより安全性を高められます。
DNS暗号化でも隠せないもの
DNSを暗号化しても、すべてが匿名になるわけではありません。
たとえば、以下の情報は残る場合があります。
- 接続先IPアドレス
- 利用しているDNSリゾルバ
- Webサイト側のアクセスログ
- ブラウザやアプリの履歴
- DNSリゾルバ側のログ
- HTTPS通信時の一部メタデータ
そのため、DNS暗号化はプライバシーを強化する技術であり、完全な匿名化技術ではありません。
匿名性を重視する場合は、DNS暗号化だけでなく、VPNやTor、ECHなどの技術もあわせて検討する必要があります。
DNS暗号化のメリット
DNS暗号化の主なメリットは、次の通りです。
- DNS問い合わせを盗み見されにくくなる
平文DNSよりも、第三者に問い合わせ内容を見られにくくなります。 - DNS改ざん対策になる
通信経路上でDNS応答を改ざんされるリスクを下げられます。 - 公共Wi-Fi利用時の安全性が高まる
不特定多数が利用するネットワークでの盗聴対策として有効です。 - プライバシー保護につながる
ISPやローカルネットワークから、DNS履歴を見えにくくできます。 - フィルタリングDNSと組み合わせられる
マルウェア対策DNSや広告ブロックDNSなどと組み合わせることで、安全性や利便性を高められます。
DNS暗号化の注意点
一方で、DNS暗号化には注意点もあります。
- 信頼先がDNS事業者に移る
ISPから見えにくくなる代わりに、利用するDNSリゾルバには問い合わせ情報が集まります。 - 社内ネットワークと相性が悪い場合がある
社内専用ドメインや業務システムの名前解決ができなくなることがあります。 - セキュリティ管理が難しくなる場合がある
企業や学校では、不正通信の検知やフィルタリングが難しくなることがあります。 - 設定によっては速度や安定性に影響する
DNSサーバーとの距離や混雑状況によって、名前解決が遅くなる場合があります。 - ログポリシーを確認する必要がある
DNSリゾルバによって、ログの保存期間や利用目的が異なります。
個人利用でのおすすめ
個人で使う場合は、まず以下の方法が現実的です。
| 利用シーン | おすすめ |
|---|---|
| ブラウザだけ保護したい | Chrome、Firefox、EdgeなどのセキュアDNSを有効化 |
| Android端末全体で使いたい | プライベートDNSでDoTを設定 |
| iPhoneやMacで使いたい | DNS構成プロファイルや対応アプリを利用 |
| 家中の端末で使いたい | DoT/DoH対応ルーターやDNSサービスを利用 |
| 広告・マルウェア対策もしたい | NextDNS、AdGuard DNS、Quad9などを検討 |
一般ユーザーであれば、まずはブラウザやOSの設定から始めるのが簡単です。
まとめ
DNSサーバーの暗号化は、DNS問い合わせを第三者に見えにくくし、盗聴や改ざんのリスクを減らすための技術です。
代表的な方式には、DoH、DoT、DoQ、ODoHがあります。
特に重要なのは、DNS暗号化が守る範囲です。暗号化されるのは主に、利用者の端末やブラウザから再帰DNSリゾルバまでの通信です。
通信全体を匿名化するわけではなく、接続先IPアドレスやWebサイト側のログまでは隠せません。
そのため、DNS暗号化は万能な匿名化手段ではなく、プライバシーとセキュリティを高めるための基本的な対策として理解するのが適切です。
以上、DNSサーバーの暗号化についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(Zero-Ten Park キャナルシティ博多前)
電話番号:092-600-1222
