DNS over TLSについて

DNS over TLS（DoT）とは、DNS通信をTLSで暗号化する技術です。

DNSは、Webサイトのドメイン名をIPアドレスに変換するための仕組みです。

たとえば、ブラウザで「example.com」にアクセスすると、端末はDNSサーバーに対して「example.comのIPアドレスを教えてください」と問い合わせます。

従来のDNS通信は、主にUDPまたはTCPの53番ポートを使い、基本的には暗号化されずに送受信されます。

そのため、通信経路上の第三者から、どのドメインにアクセスしようとしているかを見られたり、DNS応答を改ざんされたりするリスクがあります。

DNS over TLSは、このDNS問い合わせと応答をTLSで保護することで、DNS通信の盗聴や改ざんのリスクを下げる仕組みです。

DNSの基本的な役割

DNSはドメイン名をIPアドレスに変換する仕組み

DNSは、インターネット上の「名前解決」を行う仕組みです。

人間はWebサイトを利用するとき、通常は次のようなドメイン名を使います。

google.com
example.com
openai.com

一方、コンピューター同士の通信では、ドメイン名ではなくIPアドレスが使われます。

142.250.xxx.xxx
93.184.216.34

そのため、Webサイトにアクセスする前に、端末はDNSサーバーへ問い合わせを行い、ドメイン名に対応するIPアドレスを取得します。

たとえば、以下のような変換が行われます。

example.com → 93.184.216.34

このように、DNSはインターネット上の住所録や電話帳のような役割を持っています。

DNS問い合わせはアクセス先を推測できる情報になる

DNS問い合わせには、ユーザーがどのドメインへアクセスしようとしているかという情報が含まれます。

たとえば、以下のようなDNS問い合わせが見えると、ユーザーの行動や関心をある程度推測できてしまいます。

bank.example
shopping.example
hospital.example
job-search.example

Webサイト本体の通信がHTTPSで暗号化されていても、DNS通信が平文のままだと、アクセスしようとしたドメイン名が通信経路上で見える場合があります。

そのため、DNS通信のプライバシー保護は重要です。

従来のDNSが抱える問題

DNS通信が暗号化されない

一般的な従来型のDNSは、主にUDPまたはTCPの53番ポートを使います。

通常のDNS：UDP/TCP 53番ポート

この通信は、通常は暗号化されません。

そのため、公共Wi-Fi、会社や学校のネットワーク、インターネットプロバイダ、通信経路上の第三者などが、DNS問い合わせを観測できる可能性があります。

HTTPSによってWebページの中身は暗号化されていても、DNS問い合わせが平文であれば、少なくとも「どのドメインにアクセスしようとしたか」は分かる場合があります。

DNS応答が改ざんされる可能性がある

従来のDNSでは、通信経路上でDNS応答を改ざんされる可能性があります。

たとえば、本来は正しいWebサイトのIPアドレスを返すべきところを、攻撃者が用意した偽サイトのIPアドレスにすり替える攻撃が考えられます。

本来の応答：
bank.example → 正規サイトのIPアドレス

改ざんされた応答：
bank.example → 偽サイトのIPアドレス

このような攻撃が成立すると、ユーザーは正しいURLを入力したつもりでも、偽サイトへ誘導される可能性があります。

プライバシー上のリスクがある

DNS問い合わせは、ユーザーの閲覧行動に近い情報です。

問い合わせ内容を見ることで、どのサービスを使っているか、どの企業サイトを見ようとしているか、どのアプリが通信しているかなどを推測できる場合があります。

そのため、DNS通信が平文のままだと、プライバシー上のリスクが残ります。

DNS over TLSの仕組み

DNS通信をTLSで保護する

DNS over TLSは、DNSメッセージをTLSで暗号化された通信路の中で送受信する仕組みです。

TLSは、HTTPSでも使われている暗号化技術です。

HTTPSではWeb通信をTLSで保護しますが、DoTではDNS通信をTLSで保護します。

従来のDNS通信は、次のようなイメージです。

端末 → DNS問い合わせ → DNSサーバー

DoTでは、次のようにDNS問い合わせを暗号化された通信路の中に入れます。

端末 → TLSで暗号化されたDNS問い合わせ → DNSサーバー

これにより、通信経路上の第三者がDNS問い合わせの内容を読み取ったり、途中で応答を書き換えたりするリスクを下げられます。

DoTは主にTCP 853番ポートを使う

DNS over TLSでは、標準的にTCPの853番ポートを使います。

通常のDNS：UDP/TCP 53番ポート
DNS over TLS：TCP 853番ポート

この点は、DNS over HTTPS（DoH）との大きな違いのひとつです。

DoTはDNS専用の暗号化通信として扱われるため、ネットワーク管理者から見ると「暗号化されたDNS通信である」と識別しやすい特徴があります。

ただし、標準的には853番ポートを使うという意味であり、すべての実装が必ず853番だけを使うとは限りません。

DoTの通信の流れ

DNS over TLSの基本的な通信の流れは、次のとおりです。

1. 端末がDoT対応DNSリゾルバへ接続する
2. TCP接続を確立する
3. TLSハンドシェイクを行う
4. DNSリゾルバの証明書を検証する
5. 暗号化された通信路を作る
6. その通信路の中でDNS問い合わせを送る
7. DNSリゾルバがDNS応答を返す
8. 端末がIPアドレスを取得する
9. 目的のWebサイトやサービスへ接続する

重要なのは、DNS問い合わせそのものがTLSによって保護されることです。

DNS over TLSで守れること

DNS問い合わせの盗聴を防ぎやすくなる

DoTを使うと、クライアントとDNSリゾルバの間のDNS問い合わせが暗号化されます。

そのため、公共Wi-Fiやインターネットプロバイダなど、通信経路上の第三者がDNS問い合わせの内容を読み取ることが難しくなります。

たとえば、従来のDNSでは次のような問い合わせ内容が見える可能性があります。

example.com のIPアドレスを教えてください

DoTを使うと、この問い合わせがTLSで暗号化されるため、通信経路上から中身を確認しにくくなります。

通信経路上のDNS改ざんに強くなる

DoTはTLSを使うため、通信相手の認証と通信内容の保護が行われます。

そのため、クライアントとDNSリゾルバの間で、第三者がDNS応答を途中で書き換える攻撃に強くなります。

ただし、ここで注意すべき点があります。

DoTが守るのは、主にクライアントとDNSリゾルバ間の通信路です。

DNS応答データそのものが正しいかどうかを検証する仕組みではありません。

DNS応答の正当性を検証する役割は、主にDNSSECが担います。

そのため、より正確には次のように理解するとよいでしょう。

DoT：DNS通信路を暗号化・保護する
DNSSEC：DNS応答データの正当性を検証する

ISPやネットワーク管理者からDNS問い合わせを見えにくくできる

従来のDNSでは、インターネットプロバイダやネットワーク管理者がDNS問い合わせを確認できる場合があります。

DoTを使うと、DNS問い合わせが暗号化されるため、通信経路上では内容が見えにくくなります。

ただし、完全に匿名になるわけではありません。

利用しているDNSリゾルバには問い合わせ内容が見えます。

つまり、DoTは「誰にもDNS問い合わせを見せない技術」ではなく、主に「通信経路上の第三者から見えにくくする技術」です。

DNS over TLSで守れないこと

DNSリゾルバには問い合わせ内容が見える

DoTを使っても、接続先のDNSリゾルバには問い合わせ内容が見えます。

DNSリゾルバは、ユーザーから受け取ったドメイン名を解決する役割を持っているため、問い合わせ内容を処理する必要があります。

そのため、DoTを使う場合は、どのDNSリゾルバを利用するかが非常に重要です。

選ぶ際には、以下のような点を確認するとよいでしょう。

ログをどの程度保存するか
問い合わせ履歴を第三者に提供するか
DNSSEC検証に対応しているか
フィルタリング機能があるか
運営主体を信頼できるか
国内からの応答速度が安定しているか

DoTを使うことは、DNS問い合わせを通信経路上から隠す一方で、DNSリゾルバ事業者に問い合わせを預けることでもあります。

接続先IPアドレスまでは隠せない

DoTはDNS問い合わせを暗号化しますが、その後に実際に接続するIPアドレスまで隠すわけではありません。

たとえば、DNS問い合わせが暗号化されていても、端末が特定のIPアドレスに通信していることは、ネットワーク上で観測される可能性があります。

特に、特定サービス専用のIPアドレスが使われている場合は、IPアドレスからアクセス先を推測できることがあります。

DNS以外の情報からアクセス先が推測される場合がある

DoTはDNS通信を保護する技術です。

しかし、Web接続時にはDNS以外にもさまざまなメタデータが発生します。

たとえば、TLS接続時のSNI、接続先IPアドレス、通信タイミング、通信量などから、アクセス先が推測される場合があります。

SNIは、1つのIPアドレスで複数のドメインを運用するために使われる仕組みです。

従来のSNIは暗号化されていないことがあり、DNSを暗号化してもSNIから接続先ドメインが分かる場合があります。

近年はECHという仕組みによって、SNIなどの情報を隠す方向に進んでいます。

ただし、DoTだけで通信先を完全に秘匿できるわけではありません。

匿名化技術ではない

DoTはVPNやTorのような匿名化技術ではありません。

DoTで保護されるのは、主にDNS問い合わせの通信路です。

ユーザーのIPアドレス、通信先IPアドレス、通信量、通信タイミングなどをすべて隠すわけではありません。

そのため、「DoTを使えば完全に匿名になる」という理解は誤りです。

匿名性を高めたい場合は、VPN、Tor、ECH、プライバシー重視のブラウザ設定など、別の技術や運用も関係します。

DNS over TLSとDNS over HTTPSの違い

DoTはDNS専用の暗号化通信

DNS over TLSは、DNS通信をTLSで暗号化する仕組みです。

標準的にはTCP 853番ポートを使います。

DoT：TCP 853番ポート

DoTはDNS専用の暗号化通信として扱われるため、ネットワーク管理者から見ると比較的識別しやすいです。

企業や学校などの管理ネットワークでは、DoT通信を許可するか、ブロックするかをポリシーとして制御しやすいという特徴があります。

DoHはHTTPSの中でDNSを送る

DNS over HTTPS（DoH）は、DNS問い合わせをHTTPS通信として送る仕組みです。

標準的には、通常のWeb通信と同じTCP 443番ポートを使います。

DoH：TCP 443番ポート

DoHは通常のHTTPS通信と同じポートを使うため、単純なポート制御では通常のWeb通信と区別しにくい場合があります。

そのため、ユーザー側から見ると、DoHはブロックされにくい場合があります。

一方、企業や学校などの管理者から見ると、DNS通信の把握や制御が難しくなる場合があります。

ただし、DoHも完全に識別できないわけではありません。

既知のDoHサーバーのIPアドレス、ドメイン、SNI、ポリシー設定などによって制御できる場合があります。

DoTとDoHの比較

項目	DoT	DoH
正式名称	DNS over TLS	DNS over HTTPS
主なポート	TCP 853	TCP 443
通信方式	DNSをTLSで保護する	DNSをHTTPS内で送る
識別のしやすさ	比較的識別しやすい	通常のHTTPSと区別しにくい場合がある
管理者視点	制御しやすい	制御しにくい場合がある
利用場面	OS、ルーター、DNSリゾルバ設定など	ブラウザ、OS、アプリなど
プライバシー	DNS通信を暗号化できる	DNS通信をHTTPSとして暗号化できる

DoTとDoHは、どちらもDNS通信を暗号化する技術です。

ただし、通信方式や管理のしやすさに違いがあります。

DNS over TLSとDNSSECの違い

DoTは通信路を保護する

DoTは、クライアントとDNSリゾルバ間の通信をTLSで保護します。

目的は、通信経路上の第三者による盗聴や改ざんを防ぎやすくすることです。

つまり、DoTが守るのは主に「DNS通信の通り道」です。

DoT：DNS通信路を暗号化する

DNSSECはDNS応答の正当性を検証する

DNSSECは、DNS応答データが正当なものかどうかを検証する仕組みです。

たとえば、あるドメインに対するDNS応答が、本当にそのドメインの正規情報なのかを確認します。

DNSSEC：DNS応答データの正当性を検証する

DNSSECは、DNS通信そのものを暗号化する技術ではありません。

通信内容を見えなくするのではなく、DNS応答が改ざんされていないかを検証するための仕組みです。

DoTとDNSSECは併用できる

DoTとDNSSECは競合する技術ではありません。役割が異なるため、併用できます。

理想的には、次のように組み合わせることで、DNSの安全性を高められます。

DoT：クライアントとDNSリゾルバ間の通信を保護する
DNSSEC：DNS応答データの正当性を検証する

表にすると、次のようになります。

項目	DoT	DNSSEC
主な目的	DNS通信の暗号化	DNS応答の正当性検証
守る対象	クライアント〜DNSリゾルバ間の通信路	DNSデータそのもの
暗号化	する	通信自体は暗号化しない
プライバシー保護	ある	主目的ではない
改ざん対策	通信経路上の改ざんに強い	DNSデータの偽造検出に強い
併用	可能	可能

DNS over TLSのメリット

DNS通信のプライバシーを高められる

DoTの大きなメリットは、DNS問い合わせを暗号化できることです。

従来のDNSでは、通信経路上で問い合わせ内容が見える可能性があります。

DoTを使えば、少なくともクライアントとDNSリゾルバの間では、DNS問い合わせの中身を見られにくくできます。

公共Wi-FiやホテルのWi-Fi、カフェのWi-Fiなど、信頼性が高いとは限らないネットワークでは特に有効です。

DNS改ざんのリスクを下げられる

DoTでは、TLSによって通信相手の認証と暗号化が行われます。

そのため、クライアントとDNSリゾルバの間でDNS応答を途中で書き換えられるリスクを下げられます。

ただし、DNS応答データそのものの正当性検証はDNSSECの役割であるため、DoTだけでDNSの安全性が完全になるわけではありません。

OSやルーター単位で設定しやすい

DoTは、AndroidのプライベートDNS、一部のルーター、DNSソフトウェアなどで利用できます。

端末ごとに設定するだけでなく、ルーターやローカルDNSリゾルバで設定すれば、家庭内ネットワーク全体に適用しやすくなります。

たとえば、自宅でDoT対応ルーターを使えば、家庭内の複数端末のDNS通信をまとめて保護できる場合があります。

DNSフィルタリングと組み合わせられる

DoT対応のDNSサービスの中には、広告ブロック、マルウェア対策、成人向けコンテンツ制限などのフィルタリング機能を提供しているものもあります。

たとえば、以下のような用途があります。

危険サイトのブロック
広告・トラッカーのブロック
子ども向けのコンテンツ制限
フィッシングサイト対策

ただし、フィルタリングDNSを使う場合は、意図しないサイトがブロックされる可能性もあります。

DNS over TLSのデメリット

DNSリゾルバ事業者への信頼が必要になる

DoTを使っても、DNSリゾルバには問い合わせ内容が見えます。

そのため、DNSリゾルバ事業者のログポリシーやプライバシーポリシーを確認することが重要です。

「DNS通信が暗号化されているから安心」というだけでなく、「どの事業者にDNS問い合わせを預けるのか」を考える必要があります。

ネットワークによってはブロックされる

DoTは標準的にTCP 853番ポートを使います。

そのため、企業、学校、公共Wi-Fi、ホテルのWi-Fiなどでは、853番ポートがブロックされていてDoTが使えない場合があります。

DoHと比べると、DoTはDNS専用通信として識別しやすいため、管理ネットワークでは制御されやすい傾向があります。

初回接続で遅延が増える場合がある

DoTでは、DNS問い合わせの前にTCP接続とTLSハンドシェイクが必要になります。

そのため、通常のDNSに比べて初回接続時にわずかな遅延が増える場合があります。

ただし、接続の再利用やDNSキャッシュが使われるため、常に体感できるほど遅くなるとは限りません。

実際の速度は、利用するDNSリゾルバ、ネットワーク環境、端末、ルーター、キャッシュ状況などによって変わります。

トラブルシューティングが難しくなることがある

DNS通信が暗号化されると、ネットワーク管理者やセキュリティ機器がDNS問い合わせの内容を確認しにくくなります。

家庭利用では大きな問題になりにくいですが、企業や学校では、セキュリティ監視、アクセス制御、障害調査に影響する場合があります。

そのため、管理ネットワークでは、個人判断でDoTを有効化するのではなく、組織のポリシーに従う必要があります。

既存のDNSフィルタリングを回避してしまう場合がある

家庭用ルーターや社内ネットワークでは、DNSを使って危険サイトや不適切サイトをブロックしている場合があります。

端末側で外部のDoTリゾルバを設定すると、既存のDNSフィルタリングを迂回してしまうことがあります。

企業や学校では、これはセキュリティポリシー違反になる場合があります。

DNS over TLSの利用例

AndroidのプライベートDNS

Android 9以降では、「プライベートDNS」という機能を使ってDNS over TLSを設定できます。

設定の流れは、一般的には次のようになります。

設定
→ ネットワークとインターネット
→ プライベートDNS
→ プライベートDNSプロバイダのホスト名
→ DoT対応ホスト名を入力

入力するのは、IPアドレスではなくDoT対応のホスト名です。

たとえば、以下のようなホスト名が使われます。

dns.google
one.one.one.one
dns.quad9.net

AndroidのプライベートDNSでは、DNSサーバーの証明書を検証するため、ホスト名を指定する点が重要です。

iPhone・iPadでの暗号化DNS設定

iPhoneやiPadでは、構成プロファイル、MDM、対応アプリ、DNS Settings payloadなどを使って、DoHやDoTを構成できます。

単にWi-Fi設定画面でDNSサーバーのIPアドレスを手動指定するだけでは、通常は暗号化DNSを設定したことにはなりません。

暗号化DNSをシステム全体に適用したい場合は、信頼できるDNSサービスが提供している構成プロファイルやアプリを使う方法が一般的です。

ただし、構成プロファイルをインストールする場合は、その提供元が信頼できるかを必ず確認する必要があります。

Windowsでの利用

Windowsでは、一般ユーザー向けの暗号化DNS設定としてはDNS over HTTPSの方が目立ちます。

一方で、企業向け機能やZero Trust DNSの文脈では、DoHだけでなくDoTを含む暗号化DNS構成が扱われる場合もあります。

利用できる機能や設定方法は、Windowsのバージョン、エディション、管理ポリシーによって異なります。

個人利用でDoTを使いたい場合は、以下のような方法が考えられます。

DoT対応ルーターを使う
ローカルDNSプロキシを使う
AdGuard HomeやUnboundなどを使う
VPNやセキュリティアプリのDNS機能を使う

Windows単体で簡単に設定したい場合は、環境によってはDoHの方が扱いやすいことがあります。

ルーターでの設定

DoT対応ルーターを使えば、家庭内ネットワーク全体でDNS over TLSを利用できる場合があります。

ルーターにDoT対応DNSリゾルバを設定すると、家庭内の端末からのDNS問い合わせをルーター側でまとめて暗号化して転送できます。

ただし、以下の点には注意が必要です。

端末側で別のDNSを設定するとルーター設定を迂回する
ブラウザが独自にDoHを使う場合がある
一部アプリが独自のDNS機能を持つ場合がある
ルーターがDoTに対応していないと使えない

家庭内のDNSを一元管理したい場合は、ルーター設定だけでなく、端末側のDNS設定やブラウザ設定も確認するとよいでしょう。

ローカルDNSリゾルバでの利用

自宅サーバーや小規模ネットワークでは、ローカルDNSリゾルバを使ってDoTを構成する方法もあります。

代表的なソフトウェアには、次のようなものがあります。

Unbound
Stubby
dnsdist
BIND
AdGuard Home
Pi-hole

たとえば、家庭内ではPi-holeやAdGuard Homeで広告ブロックを行い、上流DNSへの転送にDoTを使う構成が考えられます。

このような構成にすると、家庭内のDNS管理とプライバシー保護を両立しやすくなります。

代表的なDoT対応DNSサービス

Google Public DNS

Google Public DNSは、DoTに対応している代表的なパブリックDNSサービスです。

DoTホスト名の例は次の通りです。

dns.google

安定性や知名度が高く、広く利用されています。

Cloudflare DNS

Cloudflare DNSも、DoTに対応している代表的なDNSサービスです。

DoTホスト名の例は次の通りです。

one.one.one.one

文脈によっては、以下のホスト名が案内される場合もあります。

1dot1dot1dot1.cloudflare-dns.com

Cloudflare DNSは、速度やプライバシーを重視するサービスとして知られています。

Quad9

Quad9は、セキュリティフィルタリングに強みを持つDNSサービスです。

DoTホスト名の例は次の通りです。

dns.quad9.net

悪意のあるドメインへのアクセスをブロックする機能があるため、セキュリティ対策を重視する場合に候補になります。

AdGuard DNS

AdGuard DNSは、広告ブロックやトラッカー対策に使われることが多いDNSサービスです。

DoTホスト名の例は次の通りです。

dns.adguard-dns.com

広告やトラッキング関連の通信をDNSレベルで抑えたい場合に利用されます。

CleanBrowsing

CleanBrowsingは、フィルタリング用途で使われるDNSサービスです。

セキュリティ向け、ファミリー向け、成人向けコンテンツ制限など、目的に応じたDNSが用意されています。

DoTホスト名はプランやフィルタリング内容によって異なるため、実際に設定する場合は公式情報を確認する必要があります。

DoTホスト名は公式情報を確認する

DNSサービスのDoTホスト名やフィルタリング用ホスト名は、変更される場合があります。

そのため、実際に設定する場合は、各DNSサービスの公式ドキュメントを確認することが重要です。

DNS over TLSを使うべきケース

公共Wi-Fiをよく使う場合

カフェ、ホテル、空港、駅などの公共Wi-Fiでは、ネットワークの信頼性が十分とは限りません。

DoTを使うことで、DNS問い合わせを通信経路上の第三者から見えにくくできます。

公共Wi-Fiをよく使う人にとって、DoTはDNS通信のプライバシーを高める有効な選択肢です。

ISPによるDNS監視を減らしたい場合

従来のDNSを使っていると、インターネットプロバイダがDNS問い合わせを把握できる場合があります。

DoTを使って外部のDNSリゾルバへ暗号化通信を行えば、ISPからDNS問い合わせ内容を見えにくくできます。

ただし、その代わりに外部DNSリゾルバ事業者には問い合わせ内容が見えるため、信頼できるリゾルバを選ぶ必要があります。

自宅ネットワーク全体のDNSを保護したい場合

自宅ルーターやローカルDNSリゾルバでDoTを設定すれば、家庭内のDNS通信をまとめて暗号化しやすくなります。

特に、Pi-holeやAdGuard Homeなどと組み合わせると、広告ブロックやセキュリティフィルタリングと併用しやすくなります。

DNS改ざん対策を強化したい場合

一部のネットワークでは、DNS応答が意図的に書き換えられる場合があります。

DoTを使うことで、クライアントとDNSリゾルバ間の通信経路上でDNS応答を改ざんされるリスクを下げられます。

ただし、DNS応答データそのものの正当性まで確認したい場合は、DNSSECの利用も重要です。

DNS over TLSを使う際の注意点

信頼できるDNSリゾルバを選ぶ

DoTでは、DNS問い合わせが暗号化される一方で、DNSリゾルバには問い合わせ内容が見えます。

そのため、DNSリゾルバ選びは非常に重要です。

確認すべきポイントは、以下の通りです。

ログの保存期間
問い合わせデータの利用目的
第三者提供の有無
DNSSEC検証への対応
フィルタリング方針
運営企業・団体の信頼性
日本からの応答速度
障害時の安定性

速度だけで選ぶのではなく、プライバシーやセキュリティの方針も確認するとよいでしょう。

企業や学校では勝手に使わない

企業や学校では、DNSを使ってセキュリティ対策、アクセス制御、ログ監査、マルウェア対策を行っている場合があります。

個人判断でDoTを有効化すると、組織のDNSフィルタリングやセキュリティ監視を迂回してしまうことがあります。

そのため、業務用端末や学校のネットワークでは、必ず管理者のポリシーに従うべきです。

DoTだけで安全性が完成するわけではない

DoTはDNS通信を保護する有効な技術ですが、万能ではありません。

たとえば、以下のようなリスクはDoTだけでは解決できません。

悪意のあるWebサイトへのアクセス
フィッシング詐欺
マルウェア感染
接続先IPアドレスからの推測
DNSリゾルバ事業者によるログ取得
端末自体のセキュリティ不備

DoTは、セキュリティ対策の一部として使うべき技術です。

HTTPS、DNSSEC、OSやブラウザの更新、セキュリティソフト、フィッシング対策などと組み合わせて考える必要があります。

フィルタリングDNSの副作用に注意する

広告ブロックやマルウェア対策を目的にフィルタリングDNSを使う場合、便利な一方で副作用もあります。

たとえば、以下のようなことが起こる可能性があります。

必要なサイトが誤ってブロックされる
アプリの一部機能が動かなくなる
広告計測やアクセス解析が正しく動作しない
社内システムへのアクセスに影響する

Webマーケティングや広告運用に関わる環境では、DNSフィルタリングによって計測タグ、広告配信、解析ツールなどに影響が出る場合もあります。

業務環境で使う場合は、フィルタリング内容を確認し、必要に応じてホワイトリスト設定を行うことが重要です。

DNS over TLSのよくある誤解

DoTを使えば完全に匿名になる

DoTを使っても、完全に匿名になるわけではありません。

DoTはDNS問い合わせを暗号化しますが、接続元IPアドレス、接続先IPアドレス、通信タイミング、通信量などは別の形で観測される可能性があります。

匿名化を目的にする場合、DoTだけでは不十分です。

DNSリゾルバにも問い合わせ内容が見えなくなる

DoTを使っても、DNSリゾルバには問い合わせ内容が見えます。

DoTはクライアントとDNSリゾルバの間を暗号化する技術であり、DNSリゾルバ自体から問い合わせ内容を隠す技術ではありません。

そのため、リゾルバの選定が重要です。

DoTとDNSSECは同じ技術である

DoTとDNSSECは別の技術です。

DoTはDNS通信を暗号化する技術です。

DNSSECはDNS応答データの正当性を検証する技術です。

両者は役割が異なるため、併用できます。

DoTを使えば危険サイトを必ず防げる

DoT自体には、危険サイトをブロックする機能はありません。

危険サイトをブロックしたい場合は、マルウェア対策機能やフィルタリング機能を持つDNSリゾルバを使う必要があります。

たとえば、Quad9やAdGuard DNSなどは、目的に応じてフィルタリング機能を提供しています。

ただし、フィルタリングの内容や精度はサービスによって異なります。

DNS over TLSのおすすめ構成

個人のスマートフォンで使う場合

Androidスマートフォンであれば、プライベートDNSを使うのが簡単です。

たとえば、以下のようなDoT対応ホスト名を設定します。

dns.google
one.one.one.one
dns.quad9.net
dns.adguard-dns.com

プライバシーを重視するなら、ログポリシーが明確なDNSサービスを選ぶとよいでしょう。

セキュリティを重視するなら、悪意あるドメインのブロックに対応したDNSサービスを選ぶ選択肢もあります。

自宅ネットワークで使う場合

自宅全体でDoTを使いたい場合は、DoT対応ルーターを使う方法が便利です。

より本格的に管理したい場合は、以下のような構成も考えられます。

Pi-hole + Unbound
AdGuard Home + DoT対応上流DNS
ルーター + DoT対応DNS

家庭内で広告ブロックやマルウェア対策を行いたい場合は、AdGuard HomeやPi-holeと組み合わせると管理しやすくなります。

企業環境で使う場合

企業環境では、個人判断で外部DoTリゾルバを使うべきではありません。

企業では、DNSログ、セキュリティ監視、アクセス制御、社内ドメインの名前解決などが重要になります。

そのため、DoTを導入する場合は、次のような設計が必要です。

社内DNSリゾルバを用意する
外部DNSへの転送方針を決める
DNSSEC検証の有無を決める
ログ保存ポリシーを定める
マルウェア対策やフィルタリングと整合させる
社内ドメインの名前解決に影響が出ないようにする
端末側で勝手に外部DNSを使えないよう管理する

企業では、DoTはプライバシー技術であると同時に、DNS管理の設計課題でもあります。

DNS over TLSを理解するうえで重要なポイント

DoTはDNS通信を暗号化する技術

DNS over TLSは、DNS問い合わせと応答をTLSで保護する技術です。

従来のDNSでは平文で送られていた問い合わせ内容を暗号化することで、通信経路上の第三者から見えにくくします。

DoTが守るのは主に通信路

DoTが守るのは、主にクライアントとDNSリゾルバの間の通信路です。

DNS応答データそのものが正しいかどうかを検証する仕組みではありません。

DNS応答の正当性を検証したい場合は、DNSSECが関係します。

DoTだけで匿名化はできない

DoTはDNS問い合わせを暗号化しますが、IPアドレスや通信量など、DNS以外の情報まですべて隠すわけではありません。

そのため、DoTは匿名化技術ではなく、DNS通信のプライバシーと安全性を高める技術として理解するのが適切です。

DNSリゾルバ選びが重要

DoTを使っても、DNSリゾルバには問い合わせ内容が見えます。

そのため、信頼できるDNSリゾルバを選ぶことが重要です。

速度だけでなく、プライバシーポリシー、ログ保存方針、DNSSEC対応、フィルタリング内容などを確認しましょう。

まとめ

DNS over TLS（DoT）は、DNS通信をTLSで暗号化する仕組みです。

従来のDNSは平文で送受信されることが多く、通信経路上でDNS問い合わせを見られたり、DNS応答を改ざんされたりするリスクがありました。

DoTを使うことで、クライアントとDNSリゾルバ間のDNS通信を暗号化し、盗聴や通信経路上の改ざんリスクを下げることができます。

一方で、DoTは万能ではありません。

DNSリゾルバには問い合わせ内容が見える
接続先IPアドレスまでは隠せない
DNS以外の情報からアクセス先が推測される場合がある
DoTだけで匿名化はできない
DNS応答データそのものの正当性検証はDNSSECの役割

DoTを正しく理解するには、次の3点が重要です。

DoTはDNS通信を暗号化する技術である
DoTが守るのは主にクライアント〜DNSリゾルバ間の通信路である
信頼できるDNSリゾルバを選ぶ必要がある

DNS over TLSは、DNSのプライバシーと安全性を高めるための有効な技術です。

ただし、DoTだけですべてのセキュリティ問題を解決できるわけではないため、DNSSEC、HTTPS、OSやブラウザの更新、フィルタリング、VPNなど、目的に応じた対策と組み合わせて活用することが大切です。

以上、DNS over TLSについてでした。

最後までお読みいただき、ありがとうございました。