DNSフィルタリングとは

DNSフィルタリングとは、DNSの仕組みを利用して、危険なドメインや不適切なWebサイトへのアクセスを制御するセキュリティ対策です。

ユーザーがWebサイトにアクセスしようとすると、端末はまずDNSサーバーに対して「このドメインのIPアドレスは何か」を問い合わせます。

DNSフィルタリングは、この問い合わせの段階でアクセス先のドメインをチェックし、危険と判断された場合に名前解決をブロックしたり、警告ページへ誘導したりします。

つまりDNSフィルタリングは、Webサイトの中身を細かく解析してブロックする仕組みではなく、ドメイン名をIPアドレスに変換する前の段階でアクセス先を判定する仕組みです。

たとえば、社員がフィッシングメールに記載されたURLをクリックした場合でも、そのリンク先のドメインが危険なものとして登録されていれば、DNSフィルタリングによってアクセスを止められる可能性があります。

そもそもDNSとは

DNSとは、Domain Name Systemの略です。

インターネット上のWebサイトには、本来「IPアドレス」と呼ばれる数字の住所があります。

コンピューター同士は、実際にはドメイン名ではなくIPアドレスを使って通信しています。

しかし、人間にとって数字のIPアドレスを覚えるのは簡単ではありません。

そこでDNSが、ドメイン名をIPアドレスに変換する役割を担っています。

たとえば、ブラウザに以下のようなURLを入力したとします。

https://example.com

このとき、端末はDNSサーバーに対して、

example.com のIPアドレスは何ですか？

と問い合わせます。

DNSサーバーがIPアドレスを返すことで、ブラウザは目的のWebサイトに接続できます。

このようにDNSは、インターネット上の「住所録」や「電話帳」のような役割を持っています。

DNSフィルタリングの仕組み

DNSフィルタリングは、DNS問い合わせのタイミングでアクセス先のドメインを判定します。

基本的な流れは次の通りです。

1. ユーザーがWebサイトへアクセスしようとする
2. 端末やブラウザがDNSサーバーへドメイン名を問い合わせる
3. DNSフィルタリングサービスが、そのドメインの安全性を確認する
4. 安全なドメインであれば、通常どおりIPアドレスを返す
5. 危険なドメインであれば、IPアドレスを返さない、またはブロックページへ誘導する

たとえば、ユーザーがマルウェア配布サイトへアクセスしようとした場合、DNSフィルタリングはそのドメインを危険と判断し、正しいIPアドレスを返さないことがあります。

その結果、ユーザーは対象サイトへ接続できません。

ここで重要なのは、DNSフィルタリングが直接ブロックしているのは、基本的にWebサイトそのものの表示処理ではなく、ドメイン名の名前解決だという点です。

そのため、DNSフィルタリングは「危険なサイトへ接続する前に止める対策」と説明されることが多いですが、より正確には、危険なドメインへの名前解決を制御することで、結果的にアクセスを防ぐ仕組みです。

DNSフィルタリングでブロックできるもの

DNSフィルタリングでは、主に以下のようなアクセスを制御できます。

フィッシングサイト

フィッシングサイトとは、銀行、クレジットカード会社、ECサイト、クラウドサービスなどを装い、ID、パスワード、クレジットカード情報などを盗み取る偽サイトのことです。

DNSフィルタリングを利用すると、既知のフィッシングドメインへのアクセスをブロックできます。

たとえば、ユーザーが偽のログインページへ誘導されたとしても、そのドメインが危険なものとして判定されていれば、サイトが表示される前にアクセスを止められる可能性があります。

フィッシングメールは年々巧妙になっており、見た目だけで完全に見抜くのは難しくなっています。

そのため、DNSフィルタリングは、ユーザーが誤って危険なリンクをクリックしてしまった場合の防御策として有効です。

マルウェア配布サイト

マルウェアとは、ウイルス、ランサムウェア、スパイウェア、トロイの木馬など、悪意のあるソフトウェアの総称です。

DNSフィルタリングでは、マルウェアを配布していると判定されたドメインへのアクセスをブロックできます。

ただし、DNSフィルタリングはファイルそのものをスキャンしてマルウェアを検出する仕組みではありません。

あくまで、危険と判定されたドメインへの名前解決を制御する仕組みです。

そのため、マルウェア対策としては、DNSフィルタリングだけでなく、アンチウイルス、EDR、メールセキュリティ、サンドボックスなどと組み合わせることが重要です。

C&Cサーバー・C2サーバーとの通信

C&Cサーバー、またはC2サーバーとは、Command and Controlサーバーのことで、マルウェアに感染した端末へ攻撃者が指令を送るために使われるサーバーです。

マルウェアに感染した端末は、外部のC&Cサーバーへ通信し、攻撃者から指示を受け取ることがあります。

DNSフィルタリングを使うと、既知のC&Cサーバーのドメインや、不審な外部通信先として判定されたドメインへの名前解決をブロックできる場合があります。

これにより、感染端末が攻撃者のサーバーと通信するのを妨げ、被害拡大を抑えられる可能性があります。

ただし、マルウェアがIPアドレスへ直接通信する場合や、正規のクラウドサービスを悪用する場合は、DNSフィルタリングだけで完全に防ぐことは難しいです。

不適切なカテゴリのWebサイト

DNSフィルタリングは、セキュリティ目的だけでなく、Web利用ルールの管理にも使われます。

企業、学校、公共施設、家庭などでは、業務・学習・利用方針に合わないサイトへのアクセスを制限したい場合があります。

DNSフィルタリングでは、サービスによって以下のようなカテゴリを制御できます。

• アダルトサイト
• ギャンブルサイト
• 違法コンテンツサイト
• 暴力的なコンテンツを含むサイト
• 薬物関連サイト
• SNS
• 動画配信サイト
• ゲームサイト
• ファイル共有サイト
• 匿名プロキシサイト

たとえば、学校では児童・生徒に不適切なコンテンツを見せないために使われることがあります。

企業では、業務に不要なサイトやリスクの高いサイトへのアクセスを制限する目的で利用されます。

ただし、カテゴリ分類の精度や細かさはサービスによって異なります。

新しいサイトや分類が難しいサイトでは、誤って許可されたり、逆に業務に必要なサイトがブロックされたりする可能性があります。

新しく作られた不審なドメイン

サイバー攻撃では、攻撃者が短期間だけ使用するドメインを大量に作成することがあります。

DNSフィルタリングサービスによっては、作成されたばかりのドメイン、評判情報が少ないドメイン、不審な挙動が見られるドメインなどをリスクとして判定し、ブロック対象にできる場合があります。

また、マルウェアが自動生成したような不審なドメインを検知する機能を備えたサービスもあります。

ただし、このような高度な検知機能は、すべてのDNSフィルタリングサービスに備わっているわけではありません。

どのような脅威に対応できるかは、利用するサービスやプランによって異なります。

DNSフィルタリングのメリット

既知の危険なドメインへのアクセスを防ぎやすい

DNSフィルタリングの大きなメリットは、既知の危険なドメインへのアクセスを事前に防ぎやすいことです。

フィッシングメールのリンクをクリックしてしまった場合でも、リンク先のドメインが危険と判定されていれば、サイトが表示される前にブロックできる可能性があります。

セキュリティ対策では、ユーザー教育も重要です。

しかし、すべてのユーザーが常に危険なリンクを見抜けるわけではありません。

DNSフィルタリングは、人的ミスが起きることを前提に、危険なアクセスを減らすための対策として有効です。

比較的導入しやすい

DNSフィルタリングは、社内ネットワーク単位であれば比較的導入しやすいセキュリティ対策です。

たとえば、ルーターやDHCPサーバーで配布するDNSサーバーを、DNSフィルタリング対応のDNSサーバーに変更することで、社内ネットワーク全体に適用できる場合があります。

端末一台一台に複雑な設定を行わなくても、ネットワーク全体に一定の制御を適用できる点は大きなメリットです。

ただし、リモートワーク端末、モバイル回線、BYOD、暗号化DNSへの対応まで含めると、端末管理やポリシー設計も必要になります。

端末の種類に関係なく保護しやすい

DNS問い合わせを管理できる環境では、PC、スマートフォン、タブレット、IoT機器など、端末の種類に関係なく一定の保護を適用しやすいです。

たとえば、社内ネットワークに接続している端末が危険なドメインへアクセスしようとした場合、端末の種類を問わずDNSレベルでブロックできます。

ただし、端末が別のDNSサーバーを使ったり、VPNを利用したり、モバイル回線へ切り替えたり、暗号化DNSを使ったりすると、管理者が想定したDNSフィルタリングを回避される可能性があります。

そのため、企業で運用する場合は、端末側のDNS設定やブラウザ設定も含めて管理することが重要です。

DNS問い合わせログを確認できる

DNSフィルタリングサービスによっては、どの端末やユーザーが、いつ、どのドメインへ問い合わせたかをログで確認できます。

これにより、以下のような確認が可能になります。

• 危険なドメインへのアクセス試行があったか
• マルウェア感染が疑われる端末がないか
• 業務に不要なカテゴリへのアクセスが多くないか
• 社内のWeb利用ルールに違反する通信がないか
• 特定の端末が不審な通信を繰り返していないか

特に企業では、DNSログを分析することで、インシデントの早期発見につながる場合があります。

ただし、端末単位・ユーザー単位でどこまで把握できるかは、導入構成によって異なります。

ネットワーク単位で導入している場合、個別端末の特定にはDHCPログ、認証情報、エージェント、EDR、プロキシログなどとの連携が必要になることがあります。

コストを抑えてセキュリティを強化しやすい

DNSフィルタリングは、比較的シンプルな構成で導入できる場合があります。

もちろん、サービスの種類、利用人数、拠点数、管理機能、ログ保存期間などによって費用は異なります。

ただ、基本的な危険ドメインのブロックやカテゴリ制御を行う目的であれば、ファイアウォール、EDR、プロキシ、セキュアWebゲートウェイなどと比べて、導入しやすい選択肢になることがあります。

そのため、まずはフィッシング対策や危険サイト対策を強化したい企業にとって、DNSフィルタリングは検討しやすい対策の一つです。

DNSフィルタリングのデメリット・注意点

すべての脅威を防げるわけではない

DNSフィルタリングは有効なセキュリティ対策ですが、万能ではありません。

以下のようなケースでは、DNSフィルタリングだけでは防ぎきれないことがあります。

• 危険なサイトがまだデータベースに登録されていない
• IPアドレスへ直接アクセスされる
• 正規サイトが改ざんされている
• 正規のクラウドサービス上に悪性コンテンツが置かれている
• 短縮URLやリダイレクトを悪用される
• VPNや別のDNSサーバーで回避される
• 暗号化DNSによって管理外のDNSが使われる
• メール添付ファイルそのものにマルウェアが含まれている

DNSフィルタリングは、あくまでDNSレイヤーでの防御です。

メール本文の内容を詳しく判定したり、添付ファイルを解析したり、端末上の不審な挙動を検知したりするものではありません。

そのため、DNSフィルタリングは単独で完璧な防御を目指すものではなく、他のセキュリティ対策と組み合わせて使うことが重要です。

誤検知が発生する可能性がある

DNSフィルタリングでは、本来安全なサイトが誤ってブロックされることがあります。

たとえば、以下のようなケースです。

• 新しく公開された正規サイトが不審なドメインと判定される
• カテゴリ分類が誤っている
• 業務に必要なクラウドサービスが制限対象に含まれる
• 共有ドメイン上の一部コンテンツが原因でドメイン全体が制限される

企業で導入する場合、業務に必要なサイトがブロックされると、業務に支障が出る可能性があります。

そのため、許可リストや例外設定を適切に管理し、ユーザーからの申請フローを用意しておくことが大切です。

ドメイン単位の制御が中心になる

DNSフィルタリングは、基本的にドメイン単位でアクセスを制御します。

たとえば、次のような制御は得意です。

example.com をブロックする

一方で、同じドメイン内の特定ページだけを細かく制御することは苦手です。

たとえば、以下のような制御は、純粋なDNSフィルタリングだけでは難しい場合があります。

example.com/page-a は許可する
example.com/page-b はブロックする

URLパス単位、ページ単位、コンテンツ単位で細かく制御したい場合は、Webフィルタリング、プロキシ、セキュアWebゲートウェイなどの仕組みが必要になります。

暗号化DNSへの対応が必要になる

近年は、DNS over HTTPS、DNS over TLSといった暗号化DNSが使われることがあります。

DNS over HTTPSはDoH、DNS over TLSはDoTとも呼ばれます。

これらは、DNS通信を暗号化し、第三者による盗聴や改ざんを防ぐための技術です。

つまり、DoHやDoT自体が悪い技術というわけではありません。

しかし、企業や学校などでDNSフィルタリングを運用している場合、端末やブラウザが管理者の想定しない暗号化DNSサービスを利用すると、従来のDNSフィルタリングを回避してしまう可能性があります。

そのため、管理端末では以下のような対応が必要になります。

• ブラウザのDoH設定を管理する
• OSのDNS設定を管理する
• 端末のDNS設定変更を制限する
• MDMやグループポリシーで設定を統制する
• 社内ネットワークから外部DNSへの直接通信を制限する

暗号化DNSはプライバシー保護に役立つ一方で、組織のセキュリティ運用では適切な管理が必要です。

DNSフィルタリングとWebフィルタリングの違い

DNSフィルタリングと混同されやすい言葉に、Webフィルタリングがあります。

どちらも不適切なWebアクセスや危険なサイトへのアクセスを制御する仕組みですが、制御する場所や粒度が異なります。

項目	DNSフィルタリング	Webフィルタリング
制御するタイミング	DNS名前解決の段階	HTTP/HTTPS通信の段階
主な制御単位	ドメイン単位	URL単位・ページ単位・カテゴリ単位
得意なこと	危険ドメインのブロック	詳細なWebアクセス制御
苦手なこと	ページ単位の細かい制御	構成によっては導入が複雑
主な用途	フィッシング対策、マルウェアドメイン対策、カテゴリ制御	URL制御、コンテンツ制御、業務利用管理

DNSフィルタリングは、

example.com 全体をブロックする

という制御に向いています。

一方、Webフィルタリングは、

example.com の特定ページだけをブロックする

という細かい制御に向いています。

つまり、DNSフィルタリングはドメイン単位で入口を制御する対策、WebフィルタリングはWebアクセスの内容をより細かく制御する対策と考えると分かりやすいです。

ただし、実際の製品では、DNSフィルタリング、URLフィルタリング、プロキシ、セキュアWebゲートウェイなどが統合されている場合もあります。

そのため、製品を比較するときは「DNSフィルタリング機能だけで何ができるのか」と「他のWebセキュリティ機能と組み合わせて何ができるのか」を分けて確認することが大切です。

DNSフィルタリングとファイアウォールの違い

DNSフィルタリングは、ファイアウォールとも役割が異なります。

ファイアウォールは、主にIPアドレス、ポート番号、プロトコル、通信方向などをもとに通信を許可・拒否する仕組みです。

一方、DNSフィルタリングは、ドメイン名やDNS問い合わせをもとにアクセス先を制御します。

項目	DNSフィルタリング	ファイアウォール
主な判断材料	ドメイン名、DNS問い合わせ	IPアドレス、ポート、プロトコル
得意なこと	危険ドメインや不適切カテゴリのブロック	ネットワーク通信の制御
苦手なこと	IP直打ちや細かい通信制御	ドメインの評判判定やカテゴリ制御
主な利用場面	フィッシング対策、Web利用制限	不正アクセス対策、通信制御

たとえば、ファイアウォールは「このIPアドレスへの通信を拒否する」「このポートの通信を許可する」といった制御が得意です。

一方、DNSフィルタリングは「このドメインは危険なので名前解決をさせない」といった制御が得意です。

なお、近年のUTMや次世代ファイアウォールには、DNSフィルタリング、URLフィルタリング、マルウェア検査、アプリケーション制御などが統合されている場合があります。

そのため、実際の製品ではファイアウォールとDNSフィルタリングの機能が一体化していることもあります。

DNSフィルタリングの導入方法

DNSフィルタリングの導入方法には、いくつかのパターンがあります。

ルーターや社内ネットワークのDNS設定を変更する

もっとも基本的な方法は、社内ネットワークのDNS問い合わせ先を、DNSフィルタリング対応のDNSサーバーに変更する方法です。

たとえば、社内のルーターやDHCPサーバーで配布するDNSサーバーを、フィルタリング対応のDNSサーバーに設定します。

この方法では、社内ネットワークに接続している端末全体にDNSフィルタリングを適用しやすくなります。

ただし、端末が社外へ持ち出された場合や、モバイル回線を使った場合は、社内ネットワーク側のDNSフィルタリングが適用されないことがあります。

端末にエージェントをインストールする

クラウド型DNSフィルタリングサービスでは、PCやスマートフォンに専用エージェントをインストールして制御する方法もあります。

この方法では、社外にいるユーザーやリモートワーク中の端末にもDNSフィルタリングを適用しやすくなります。

特に、在宅勤務、外出先勤務、モバイル端末の利用が多い企業では、ネットワーク単位の制御だけでなく、端末単位の制御も重要です。

UTMやセキュリティゲートウェイと連携する

UTM、次世代ファイアウォール、セキュアWebゲートウェイなどの製品に、DNSフィルタリング機能が含まれていることもあります。

この場合、DNSフィルタリング単体というより、複数のセキュリティ機能の一部として利用します。

たとえば、以下のような機能と組み合わせて使われます。

• ファイアウォール
• URLフィルタリング
• アプリケーション制御
• マルウェア対策
• 侵入防御
• ログ分析
• クラウドアクセス制御

複数の機能を連携させることで、DNSフィルタリングだけでは対応しにくい脅威にも対処しやすくなります。

DNSフィルタリングが向いているケース

フィッシング対策を強化したい場合

DNSフィルタリングは、フィッシング対策を強化したい企業に向いています。

フィッシングメールは非常に巧妙化しており、送信者名、ロゴ、文面、リンク先の見た目だけでは本物と見分けにくいケースもあります。

DNSフィルタリングを導入していれば、ユーザーが誤ってフィッシングリンクをクリックした場合でも、リンク先のドメインが危険と判定されていればアクセスを止められる可能性があります。

もちろん、DNSフィルタリングだけでフィッシングを完全に防げるわけではありません。

メールセキュリティ、DMARC、SPF、DKIM、多要素認証、セキュリティ教育などと組み合わせることで、より効果的な対策になります。

ランサムウェア対策を強化したい場合

ランサムウェアは、感染後に外部サーバーと通信することがあります。

DNSフィルタリングにより、既知の悪性ドメインやC&Cサーバーへの名前解決をブロックできれば、感染後の通信や被害拡大を抑えられる可能性があります。

ただし、ランサムウェア対策としてDNSフィルタリングだけに頼るのは不十分です。

以下のような対策と組み合わせる必要があります。

• EDRの導入
• OSやソフトウェアの更新
• 脆弱性管理
• バックアップ
• メール添付ファイル対策
• 権限管理
• ネットワーク分離
• インシデント対応体制の整備

DNSフィルタリングは、ランサムウェア対策の一部として有効ですが、単独で完結する対策ではありません。

社内のWeb利用ルールを整備したい場合

DNSフィルタリングは、社内のWeb利用ルールを整備したい場合にも向いています。

たとえば、業務に関係のないサイト、リスクの高いサイト、コンプライアンス上問題のあるサイトへのアクセスを制限できます。

企業では、以下のような目的で利用されることがあります。

• マルウェア感染リスクの低減
• 情報漏えいリスクの低減
• 業務に不要なサイトへのアクセス抑制
• コンプライアンス対策
• 社内ネットワークの利用状況の可視化

ただし、制限を強くしすぎると業務に必要なサイトまでブロックされる可能性があります。

そのため、導入時には現場の業務内容を確認しながら、適切なポリシーを設計することが大切です。

リモートワーク環境を保護したい場合

リモートワークでは、社員が社内ネットワークの外からインターネットへ接続する機会が増えます。

社内ネットワークだけにDNSフィルタリングを設定している場合、自宅や外出先から直接インターネットに接続する端末には保護が適用されないことがあります。

そのため、リモートワーク環境では、以下のような方法を検討する必要があります。

• 端末エージェントを利用する
• クラウド型DNSフィルタリングを利用する
• VPN接続時にDNS制御を行う
• MDMでDNS設定を管理する
• ブラウザの暗号化DNS設定を統制する

リモートワークが多い企業では、社内ネットワークだけでなく、端末単位・ユーザー単位で保護を適用できる構成が重要です。

DNSフィルタリングで防げないもの

DNSフィルタリングは便利な仕組みですが、すべての攻撃や不正アクセスを防げるわけではありません。

ここでは、DNSフィルタリングだけでは対応が難しいものを整理します。

メール本文そのものの判定

DNSフィルタリングは、メール本文の内容を解析してスパムや詐欺文面を判定する仕組みではありません。

メール内のリンク先が危険なドメインであればブロックできる可能性がありますが、メール本文そのものの危険性を判断するものではありません。

メールセキュリティを強化するには、迷惑メールフィルタ、メールセキュリティゲートウェイ、DMARC、SPF、DKIM、多要素認証などの対策が必要です。

添付ファイル内のマルウェア検知

DNSフィルタリングは、添付ファイルそのものをスキャンする仕組みではありません。

たとえば、メールに添付されたWordファイル、Excelファイル、PDFファイル、圧縮ファイルなどにマルウェアが含まれていても、DNSフィルタリングだけで検知できるわけではありません。

添付ファイルやダウンロードファイルの検査には、アンチウイルス、EDR、サンドボックス、メールセキュリティ製品などが必要です。

正規サイト上の悪意あるコンテンツ

攻撃者が正規サービスを悪用するケースもあります。

たとえば、以下のようなサービスが悪用されることがあります。

• クラウドストレージ
• ファイル共有サービス
• 短縮URLサービス
• フォーム作成サービス
• SNS
• 広告ネットワーク
• コメント投稿機能のあるサイト

この場合、ドメイン自体は正規サービスのものです。そのため、ドメイン単位でブロックすると、正規利用まで止めてしまう可能性があります。

DNSフィルタリングだけでは、同じ正規ドメイン内の悪性ページだけを細かくブロックするのが難しい場合があります。

このようなケースでは、URLフィルタリング、プロキシ、セキュアWebゲートウェイ、EDRなどとの併用が必要です。

IPアドレスへの直接アクセス

DNSフィルタリングは、ドメイン名の名前解決を制御する仕組みです。

そのため、DNSを使わずにIPアドレスへ直接通信する場合、DNSフィルタリングでは検知・ブロックできないことがあります。

たとえば、マルウェアが最初からIPアドレスを指定して外部サーバーへ通信する場合、DNS問い合わせが発生しないため、DNSフィルタリングの対象外になる可能性があります。

このような通信を制御するには、ファイアウォール、EDR、ネットワーク監視、IDS/IPSなどの対策が必要になります。

DNSフィルタリングを導入するときのポイント

ブロック対象カテゴリを明確にする

DNSフィルタリングを導入する際は、まず「何をブロックするのか」を明確にする必要があります。

目的が曖昧なまま導入すると、必要なサイトまでブロックしたり、逆にリスクの高いサイトを十分に制限できなかったりします。

たとえば、以下のように目的を整理します。

• フィッシング対策を重視する
• マルウェア対策を重視する
• 業務に不要なサイトを制限する
• 学校や家庭で有害コンテンツを制限する
• リモートワーク端末を保護する
• DNSログを可視化したい

目的に応じて、必要な機能や設定すべきカテゴリが変わります。

許可リスト・ブロックリストを運用する

DNSフィルタリングでは、許可リストとブロックリストの運用が重要です。

業務に必要なサイトが誤ってブロックされた場合は、許可リストに登録することでアクセスを許可できます。

一方、特定の危険サイトや業務上アクセスさせたくないサイトがある場合は、ブロックリストに登録します。

特に企業では、以下のような運用ルールを決めておくとよいです。

• 誰が許可・ブロック申請を行うのか
• 誰が承認するのか
• どのような基準で許可するのか
• 一時的な許可を認めるのか
• 定期的にリストを見直すのか

許可リストを増やしすぎるとセキュリティ効果が弱くなるため、定期的な見直しも重要です。

社外端末への適用方法を考える

社内ネットワークだけにDNSフィルタリングを設定しても、社外で利用する端末には適用されない場合があります。

たとえば、社員が自宅のWi-Fiやスマートフォンのテザリングを使って業務を行う場合、社内ネットワークのDNS設定は使われないことがあります。

リモートワークやモバイルワークが多い企業では、以下のような対応を検討する必要があります。

• クラウド型DNSフィルタリングを利用する
• 端末エージェントを導入する
• MDMでDNS設定を管理する
• VPN利用時のDNS設定を統制する
• ブラウザのDoH設定を管理する

社内ネットワークだけでなく、端末がどこにあっても保護できる設計が重要です。

DNSの迂回対策を行う

ユーザーが任意のDNSサーバーを自由に設定できる状態だと、DNSフィルタリングを回避される可能性があります。

たとえば、端末側で別のパブリックDNSを指定したり、ブラウザのDoH機能を使ったりすると、管理者が設定したDNSフィルタリングを通らないことがあります。

企業では、以下のような対策を検討するとよいです。

• 端末のDNS設定変更を制限する
• 社内ネットワークから外部DNSへの直接通信を制限する
• 許可されたDNSサーバー以外への通信をブロックする
• ブラウザのDoH設定をグループポリシーで管理する
• MDMでモバイル端末のDNS設定を管理する
• VPNやプロキシとの連携を行う

DNSフィルタリングは、導入するだけでなく、回避されにくい設計にすることが大切です。

ログを定期的に確認する

DNSフィルタリングは、導入して終わりではありません。

ログを定期的に確認することで、不審な通信や感染の兆候を発見できる場合があります。

たとえば、特定の端末が何度も危険なドメインへ問い合わせている場合、その端末がマルウェアに感染している可能性があります。

また、業務に関係のないカテゴリへのアクセスが多い場合、社内のWeb利用ルールを見直すきっかけにもなります。

ログを活用するためには、以下の点を確認しておくとよいです。

• ログの保存期間
• 端末単位で確認できるか
• ユーザー単位で確認できるか
• アラート通知ができるか
• SIEMやEDRと連携できるか
• レポート作成機能があるか

DNSフィルタリングは、アクセスをブロックするだけでなく、通信の可視化にも役立ちます。

DNSフィルタリングの具体例

ここでは、DNSフィルタリングがどのように機能するかを具体例で見てみます。

ある社員が、銀行を装ったフィッシングメールを受け取ったとします。

メールには、以下のような文面が書かれています。

アカウントに不審なログインがありました。
以下のリンクからすぐに確認してください。

社員がそのリンクをクリックすると、ブラウザはリンク先ドメインのIPアドレスを調べるためにDNS問い合わせを行います。

DNSフィルタリングが導入されている場合、次のような流れになります。

1. 社員がフィッシングメール内のリンクをクリックする
2. 端末がリンク先ドメインのIPアドレスをDNSに問い合わせる
3. DNSフィルタリングが、そのドメインを危険と判定する
4. 正しいIPアドレスを返さない、またはブロックページへ誘導する
5. 社員は偽ログインページへアクセスできない
6. 管理者はログからアクセス試行を確認できる

このように、DNSフィルタリングは、ユーザーが危険なリンクをクリックしてしまった後の防御策として機能します。

ただし、リンク先がまだ危険ドメインとして登録されていない場合や、正規サービスを悪用している場合は、DNSフィルタリングだけでは防げないこともあります。

家庭向けのDNSフィルタリング

DNSフィルタリングは、企業だけでなく家庭でも利用されます。

家庭では、主に以下の目的で使われます。

• 子どもの有害サイト閲覧を防ぐ
• アダルトサイトを制限する
• 暴力的なコンテンツを制限する
• 詐欺サイトやマルウェアサイトへのアクセスを防ぐ
• 家族全体のインターネット利用を管理する

家庭で使う場合は、ルーターのDNS設定を変更する方法や、保護者向けフィルタリングサービスを利用する方法があります。

ただし、子どもがモバイル回線、VPN、別のDNS、暗号化DNSなどを利用すると、制限を回避できる可能性があります。

そのため、家庭で利用する場合も、ルーター側の設定だけでなく、スマートフォンやPC側の設定管理が重要です。

DNSフィルタリングとゼロトラストの関係

ゼロトラストとは、「社内ネットワークだから安全」と考えず、すべてのアクセスを検証するセキュリティの考え方です。

DNSフィルタリングはゼロトラストそのものではありません。

しかし、ゼロトラストを実現するための補助的なセキュリティ機能の一つとして活用できます。

たとえば、DNSフィルタリングには以下のような役割があります。

• 危険なドメインへのアクセスを制御する
• ユーザーや端末の通信先を可視化する
• リモート端末にもポリシーを適用する
• 不審な通信をログから発見する
• マルウェア感染の兆候を見つける

ゼロトラスト環境では、DNSフィルタリングだけでなく、ID管理、端末管理、ネットワーク制御、クラウドセキュリティ、ログ監視、EDRなどを組み合わせて利用します。

DNSフィルタリングを選ぶときの確認ポイント

DNSフィルタリングサービスを選ぶときは、単に「ブロックできるか」だけでなく、運用面も含めて確認することが大切です。

対応している脅威カテゴリ

まず確認したいのは、どのような脅威カテゴリに対応しているかです。

たとえば、以下のようなカテゴリに対応しているかを確認します。

• フィッシング
• マルウェア
• ボットネット
• C&C/C2サーバー
• 新規作成ドメイン
• 不審なドメイン
• アダルト
• ギャンブル
• 違法コンテンツ
• 匿名プロキシ
• ファイル共有

企業利用では、セキュリティカテゴリと業務利用カテゴリの両方を確認するとよいです。

ログとレポート機能

DNSフィルタリングは、ログを活用できるかどうかも重要です。

以下のような情報を確認できると、運用しやすくなります。

• いつアクセスがあったか
• どの端末から問い合わせがあったか
• どのユーザーがアクセスしたか
• どのドメインがブロックされたか
• どのカテゴリに分類されたか
• どの拠点で多くブロックされているか

また、レポートを自動作成できるサービスであれば、管理者の負担を減らせます。

リモートワーク対応

リモートワークが多い企業では、社内ネットワーク外でも保護を適用できるかを確認する必要があります。

具体的には、以下の点を確認します。

• 端末エージェントがあるか
• クラウド型で利用できるか
• モバイル端末に対応しているか
• VPN利用時のDNS制御に対応しているか
• MDMと連携できるか
• ユーザー単位のポリシー設定ができるか

社内ネットワークだけでなく、端末がどこにあっても同じポリシーを適用できると、運用しやすくなります。

許可リスト・ブロックリストの管理

DNSフィルタリングでは、誤検知や業務影響に備えて、許可リストとブロックリストの管理機能が重要です。

確認すべきポイントは以下です。

• ドメイン単位で許可できるか
• ドメイン単位でブロックできるか
• グループごとにポリシーを分けられるか
• 一時的な許可設定ができるか
• 申請・承認フローを作れるか
• 設定変更の履歴を確認できるか

特に大規模な企業では、部署や役職、端末種別によってポリシーを分けられると便利です。

暗号化DNSへの対応

DoHやDoTへの対応も重要です。

暗号化DNSが普及すると、従来のDNSフィルタリングだけでは制御しにくい場面が出てきます。

そのため、以下のような点を確認するとよいです。

• DoH/DoT利用時の制御方法があるか
• ブラウザ設定を管理できるか
• エージェントでDNSを制御できるか
• 管理外DNSへの通信を検知できるか
• MDMやグループポリシーと連携できるか

企業でDNSフィルタリングを運用する場合、暗号化DNSへの対応は今後ますます重要になります。

DNSフィルタリングを一言でまとめると

DNSフィルタリングとは、DNS問い合わせの段階でアクセス先のドメインを判定し、危険なドメインや不適切なカテゴリへのアクセスを制御する仕組みです。

フィッシングサイト、マルウェア配布サイト、C&C/C2サーバー、不適切カテゴリのWebサイトなどへのアクセスを防ぎやすくなるため、企業、学校、家庭のセキュリティ対策として有効です。

ただし、DNSフィルタリングは万能ではありません。

基本的にはドメイン単位の制御であり、URL単位・ページ単位の細かい制御や、添付ファイルのマルウェア検査、メール本文の判定、端末上の不審挙動の検知までは対応できません。

そのため、DNSフィルタリングは単独で使うのではなく、ファイアウォール、EDR、メールセキュリティ、Webフィルタリング、MDM、社員教育などと組み合わせて使うことが重要です。

DNSフィルタリングは、インターネット利用の入口で危険なドメインへのアクセスを減らす、シンプルで実用的なセキュリティ対策だといえます。

以上、DNSフィルタリングについてでした。

最後までお読みいただき、ありがとうございました。