DNSセキュリティとはなんなのか

DNSセキュリティとは、インターネット上でドメイン名とIPアドレスを結びつける「DNS」を、改ざん・なりすまし・盗聴・停止などの脅威から守るための対策全般を指します。

DNSは、Webサイトの表示やメール配送など、インターネット利用の土台となる仕組みです。

たとえば、ユーザーがブラウザに「example.com」と入力したとき、コンピューターはそのドメイン名だけでは接続先を判断できません。

そこでDNSが、ドメイン名を対応するIPアドレスに変換し、正しいサーバーへ接続できるようにします。

つまりDNSは、インターネット上の「住所録」のような役割を持っています。

このDNSが攻撃されたり、設定を改ざんされたりすると、ユーザーが正しいURLを入力しているにもかかわらず偽サイトへ誘導されたり、メールが届かなくなったり、Webサイトが表示されなくなったりする可能性があります。

そのため、DNSセキュリティは単なる技術的な対策ではなく、企業のWebサイト運営、メール運用、ブランド保護、顧客情報保護に深く関わる重要なセキュリティ対策です。

DNSの基本的な仕組み

DNSはドメイン名をIPアドレスに変換する仕組み

DNSは「Domain Name System」の略です。

インターネット上のサーバーは、IPアドレスによって識別されています。

しかし、人間が「192.0.2.1」のような数字の並びを覚えるのは大変です。

そこで、私たちは「example.com」のような覚えやすいドメイン名を使ってWebサイトにアクセスします。

DNSは、このドメイン名をコンピューターが理解できるIPアドレスに変換する役割を持っています。

たとえば、ユーザーがWebサイトにアクセスする際には、裏側で次のような処理が行われます。

ユーザーがドメイン名を入力すると、端末やブラウザはDNSに問い合わせます。

DNSはそのドメインに対応するIPアドレスを返します。

そして、ブラウザは返ってきたIPアドレスをもとに目的のサーバーへ接続します。

この流れが正しく行われることで、ユーザーは目的のWebサイトを表示できます。

DNSはWebサイトやメールの土台になる

DNSはWebサイトの表示だけでなく、メール配送にも関係しています。

たとえば、企業のメールアドレスにメールを送る場合、送信側のメールサーバーはDNSを使って、そのドメインのメール配送先を確認します。このとき使われるのがMXレコードです。

また、メールのなりすまし対策で使われるSPF、DKIM、DMARCなどもDNSレコードを利用します。

つまりDNSは、Webサイトにアクセスするためだけの仕組みではありません。

企業のドメイン運用、メール運用、各種SaaS連携、広告計測、アクセス解析など、さまざまな場面で使われています。

DNSセキュリティが重要な理由

Webサイトの表示に影響する

DNSに障害が発生すると、Webサーバー自体が正常に動いていても、ユーザーはWebサイトにアクセスできなくなることがあります。

これは、ユーザーがドメイン名を入力しても、DNSが正しいIPアドレスを返せなくなるためです。

たとえば、ECサイトや予約サイト、会員制サービスなどでDNS障害が起きると、機会損失に直結します。

広告を出稿している場合は、クリックされてもLPが表示されず、広告費だけが消化される可能性もあります。

DNSは普段あまり意識されない存在ですが、Webサイト表示の入口にあるため、障害や攻撃の影響は非常に大きくなります。

ユーザーを偽サイトへ誘導される可能性がある

DNSが改ざんされたり、偽のDNS応答が返されたりすると、ユーザーが正しいドメイン名を入力していても、攻撃者が用意した偽サイトへ誘導される可能性があります。

これは非常に危険です。

ユーザーから見ると、正しいURLにアクセスしているつもりなので、攻撃に気づきにくいからです。

偽サイトにログイン情報や個人情報を入力してしまうと、アカウント乗っ取りや情報漏えいにつながるおそれがあります。

ただし、現在はHTTPSが広く使われているため、攻撃者が正規ドメインの有効な証明書を持っていない場合、ブラウザで証明書警告が表示されることがあります。

それでも、DNS攻撃による偽サイト誘導は依然として重要なリスクです。

メールの到達率やなりすまし対策にも関係する

DNSはメールセキュリティにも深く関わっています。

企業がメールマガジン、問い合わせ返信、注文確認メール、パスワード再設定メールなどを送信する場合、DNSレコードの設定が適切でないと、メールが迷惑メール扱いされたり、受信側に拒否されたりすることがあります。

また、SPF、DKIM、DMARCといったメール認証技術はDNSレコードを使って設定します。

これらが正しく設定されていないと、自社ドメインを悪用したなりすましメールへの対策が不十分になります。

WebマーケティングやEC運営では、DNS設定の不備がメール到達率やブランド信頼性に影響するため、DNSセキュリティは非常に重要です。

ブランドの信頼性に関わる

DNS攻撃によって偽サイト誘導やメールなりすましが発生すると、企業やブランドの信用は大きく損なわれます。

特に、ECサイト、金融系サービス、会員制サービス、BtoBサービスでは、ユーザーが「このサイトは安全ではない」と感じるだけで大きな損失につながります。

DNSセキュリティは、ユーザーを正しいWebサイトへ導き、正しいメール送信元であることを示すための基盤です。

セキュリティ対策であると同時に、ブランド保護の対策でもあります。

DNSに対する代表的な攻撃

DNSキャッシュポイズニング

DNSキャッシュポイズニングとは、DNSサーバーに偽の情報を覚え込ませる攻撃です。

DNSサーバーは、毎回すべての問い合わせを最初から調べるのではなく、一度取得したDNS情報を一定時間キャッシュします。

これにより、名前解決の速度を高め、通信負荷を減らしています。

しかし、攻撃者がこのキャッシュに偽の情報を混入させると、ユーザーは本来のWebサイトではなく、攻撃者が指定した別のサーバーへ誘導される可能性があります。

たとえば、正規の銀行サイトやECサイトにアクセスしたつもりが、見た目だけ本物に似せたフィッシングサイトへ誘導されるケースが考えられます。

DNSキャッシュポイズニングへの対策としては、DNSSECによる検証が有効です。

DNSSECは、不正なDNS応答を検知し、検証に失敗した応答を拒否できるようにする技術です。

DNSスプーフィング

DNSスプーフィングとは、DNSの応答を偽装し、ユーザーを不正なIPアドレスへ誘導する攻撃です。

ユーザーが正しいドメイン名を入力していても、返ってくるDNS応答が偽装されていると、意図しないサーバーへ接続される可能性があります。

DNSスプーフィングは、フィッシングサイトへの誘導、マルウェア配布、不正なログイン情報の取得などに悪用されることがあります。

ただし、HTTPSが正しく導入されているWebサイトでは、攻撃者が正規ドメインの有効なTLS証明書を持っていない場合、ブラウザで警告が表示されることがあります。

そのため、DNSセキュリティとあわせて、HTTPSの適切な運用も重要です。

DNSハイジャック

DNSハイジャックとは、DNS設定そのものを不正に変更し、ドメインの接続先を攻撃者のサーバーへ変えてしまう攻撃です。

たとえば、ドメイン管理サービスやDNS管理画面のアカウントが乗っ取られると、攻撃者はAレコード、CNAMEレコード、MXレコード、NSレコードなどを変更できてしまいます。

これにより、Webサイトの接続先を偽サイトへ変えたり、メールの配送先を攻撃者側へ変更したり、不正なサブドメインを作成したりすることが可能になります。

DNSハイジャックを防ぐには、DNSの技術的な対策だけでなく、ドメイン管理アカウントの保護が欠かせません。

強力なパスワード、多要素認証、管理者権限の制限、変更通知の設定などが重要です。

DNSトンネリング

DNSトンネリングとは、本来は名前解決に使われるDNS通信を、攻撃者が不正なデータ送受信の抜け道として悪用する手法です。

攻撃者は、DNSクエリやDNSレスポンスの中にデータを埋め込み、外部サーバーと通信することがあります。

企業ネットワークではDNS通信が許可されているケースが多いため、攻撃者が監視をすり抜ける目的で利用することがあります。

DNSトンネリングは、マルウェアの遠隔操作、C&Cサーバーとの通信、社内データの外部送信などに悪用される可能性があります。

対策としては、DNSログの監視、異常に長いサブドメインの検知、不自然な問い合わせ頻度の検出、外部DNSへの直接問い合わせ制限、DNSフィルタリングなどが有効です。

DNSサーバーへのDDoS攻撃

DNSサーバーはDDoS攻撃の標的になることもあります。

DDoS攻撃とは、大量の通信を送りつけてサーバーやネットワークを過負荷状態にし、サービスを停止または遅延させる攻撃です。

DNSサーバーがDDoS攻撃によって正常に応答できなくなると、Webサーバー自体が稼働していても、ユーザーはドメイン名からWebサイトにアクセスできなくなります。

このようなリスクに備えるには、冗長化されたDNS構成、Anycast DNS、DDoS対策済みのDNSサービスなどを利用することが重要です。

DNSセキュリティで守るべき3つの要素

正しい接続先へ導くこと

DNSセキュリティで最も重要なのは、ユーザーを正しい接続先へ導くことです。

DNS応答が改ざんされると、ユーザーは正しいドメイン名を入力していても、攻撃者が指定したサーバーへ接続される可能性があります。

そのため、DNS応答が正当なものか、途中で改ざんされていないかを確認する仕組みが必要です。

DNSSECは、この目的で使われる代表的な技術です。

DNS通信を盗み見されにくくすること

従来のDNS通信は、暗号化されずに送られることが一般的でした。

そのため、ネットワーク上の第三者がDNS問い合わせを観察すると、ユーザーがどのドメインにアクセスしようとしているかを推測できる場合があります。

このようなプライバシー上のリスクを減らすために使われるのが、DoHやDoTです。

DoHやDoTは、主に利用者の端末やブラウザとDNSリゾルバー間の通信を暗号化し、通信経路上での盗聴や改ざんを防ぎやすくします。

DNSサービスを止めないこと

DNSはWebサイトやメールの入口となる仕組みです。

そのため、DNSサービスが停止すると、さまざまなサービスに影響が出ます。

DNSセキュリティでは、改ざんやなりすましへの対策だけでなく、DNSサービスを安定して利用できる状態に保つことも重要です。

具体的には、DNSサーバーの冗長化、複数拠点での運用、Anycast DNSの利用、DDoS対策済みDNSサービスの導入などが有効です。

DNSSECとは

DNS応答の正当性を検証する技術

DNSSECは「Domain Name System Security Extensions」の略です。

DNSSECは、DNS応答が正当なものか、途中で改ざんされていないかを検証するための仕組みです。

通常のDNSでは、返ってきた応答が本当に正しいものかを十分に確認できません。

そこでDNSSECでは、DNSレコードに電子署名を付け、リゾルバー側でその署名を検証します。

検証に成功すれば、そのDNS応答は正当な権威DNSサーバーから返されたものであり、途中で改ざんされていないと判断できます。

DNSSECでできること

DNSSECを導入すると、DNSキャッシュポイズニングやDNS応答改ざんに対する防御力を高められます。

ただし、DNSSECは攻撃そのものを完全に発生させない技術ではありません。

正しく署名・検証されている場合に、不正なDNS応答を検知し、検証に失敗した応答を拒否できるようにする技術です。

つまりDNSSECの役割は、DNS応答の「正当性」と「完全性」を確認することです。

DNSSECによって対策しやすくなるリスクには、次のようなものがあります。

DNSキャッシュポイズニング、DNS応答の改ざん、偽のDNS応答による誘導、中間者攻撃によるDNSデータ改ざんなどです。

DNSSECでできないこと

DNSSECは重要な技術ですが、万能ではありません。

DNSSECはDNS応答の正当性を検証する仕組みであり、DNS通信そのものを暗号化する技術ではありません。

そのため、DNS問い合わせ内容の秘匿性を高めるには、DoHやDoTなどの暗号化技術が必要です。

また、DNSSECはDDoS攻撃やDNSサーバーの停止を直接防ぐものでもありません。

可用性を高めるには、DNSサーバーの冗長化、Anycast DNS、DDoS対策済みDNSサービスなどが必要です。

さらに、Webサイト自体の脆弱性、サーバーへの不正ログイン、マルウェア感染、ドメイン管理アカウントの乗っ取り、フィッシングメールの送信なども、DNSSECだけでは防げません。

DNSSECは、あくまでDNS応答の改ざんやなりすましを検証するための技術だと理解しておくことが大切です。

DoHとDoTとは

DoHはDNS問い合わせをHTTPSで送る仕組み

DoHは「DNS over HTTPS」の略です。

DNS問い合わせをHTTPS通信として送信する仕組みで、通常のWeb通信と同じように暗号化された通信経路を使います。

DoHを利用すると、通信経路上の第三者がDNS問い合わせの内容を盗み見たり、改ざんしたりするリスクを減らせます。

DoHは、ブラウザやOS、DNSサービスなどで利用されることがあります。

HTTPSと同じ通信方式を使うため、外部から見ると通常のWeb通信と区別しにくいという特徴もあります。

DoTはDNS通信をTLSで暗号化する仕組み

DoTは「DNS over TLS」の略です。

DNS通信をTLSで暗号化する仕組みで、DNS専用の暗号化通信として使われます。

DoHとDoTはどちらもDNS通信の暗号化を目的としていますが、使う仕組みが異なります。

DoHはHTTPSを使い、DoTはDNS専用のTLS通信を使います。

一般的には、DoHはHTTPS通信の中でDNS問い合わせを行う仕組み、DoTはDNS通信そのものをTLSで暗号化する仕組みと考えると分かりやすいです。

DNSSECとの違い

DoHやDoTは、主にクライアントとDNSリゾルバー間の通信を暗号化する技術です。

一方、DNSSECはDNS応答の正当性や完全性を検証する技術です。

つまり、DoHやDoTは「通信経路を守る」技術であり、DNSSECは「返ってきたDNS情報が正しいかを確認する」技術です。

両者は役割が異なるため、どちらか一方だけでDNSセキュリティが完成するわけではありません。

必要に応じて組み合わせて使うことが重要です。

DNSフィルタリングとは

危険なドメインへのアクセスをDNSレベルで止める仕組み

DNSフィルタリングとは、危険なドメインや不適切なドメインへのアクセスを、DNSの段階でブロックする仕組みです。

たとえば、ユーザーがフィッシングサイトやマルウェア配布サイトにアクセスしようとした場合、DNSフィルタリングによって名前解決を止めることで、Webサイトへの接続を防ぎます。

DNSフィルタリングは、企業、学校、家庭向けのセキュリティ対策として広く利用されています。

DNSフィルタリングで防ぎやすいリスク

DNSフィルタリングは、次のようなリスクを減らすのに役立ちます。

フィッシングサイトへのアクセス、マルウェア配布サイトへのアクセス、C&Cサーバーとの通信、不正広告関連ドメインへのアクセス、詐欺サイトへのアクセスなどです。

Webサイトへ接続する前段階でブロックできるため、エンドポイントセキュリティやメールセキュリティと組み合わせることで、より効果的な防御につながります。

DNSフィルタリングの限界

DNSフィルタリングは有効な対策ですが、すべての脅威を完全に防げるわけではありません。

たとえば、まだ危険ドメインとして登録されていない新規ドメイン、IPアドレスを直接指定したアクセス、攻撃者が頻繁にドメインを変更するケースなどには限界があります。

また、端末側で別のDNSリゾルバーを使われたり、DoHによって社内DNS監視を回避されたりする可能性もあります。

そのため、DNSフィルタリングだけに頼るのではなく、エンドポイント保護、Webフィルタリング、EDR、メールセキュリティなどと組み合わせて使うことが重要です。

DNSログ監視とは

DNS問い合わせから不審な通信を見つける

DNSログ監視とは、社内端末やサーバーがどのドメインへ問い合わせているかを記録・分析し、不審な通信を検知する対策です。

DNSログを見ると、通常のWebアクセスだけでなく、マルウェア感染や情報漏えいの兆候を見つけられる場合があります。

たとえば、業務上利用していない地域やサービスへの不自然な通信、ランダムな文字列を含むサブドメインへの大量問い合わせ、異常に長いDNSクエリなどは注意が必要です。

DNSログで確認したいポイント

DNSログ監視では、次のような挙動に注目します。

同じ端末から特定ドメインへの高頻度アクセスが発生していないか、不自然に長いサブドメインへの問い合わせがないか、マルウェア関連ドメインへの問い合わせがないか、深夜や休日に通常とは異なるDNS通信が発生していないかなどです。

特にDNSトンネリングでは、長いサブドメインや高頻度のDNS問い合わせが発生することがあります。

DNSログを継続的に監視することで、こうした異常に早く気づける可能性があります。

ドメイン管理アカウントの保護

DNS設定を変更できるアカウントは厳重に守る

DNSセキュリティでは、DNSプロトコルの対策だけでなく、ドメイン管理アカウントの保護も非常に重要です。

DNS管理画面に不正ログインされると、攻撃者はDNSレコードを自由に変更できる可能性があります。

たとえば、Webサイトの接続先を攻撃者のサーバーへ変更したり、メールの配送先を変えたり、不正なTXTレコードを追加したりすることが考えられます。

DNSSECやDoH、DoTを導入していても、管理画面そのものが乗っ取られると大きな被害につながります。

管理アカウントで行うべき対策

ドメイン管理アカウントでは、まず多要素認証を有効にすることが重要です。

パスワードだけでログインできる状態は、漏えいや総当たり攻撃のリスクがあります。

また、強力なパスワードを設定し、他サービスとの使い回しを避ける必要があります。

管理者権限は必要最小限にし、退職者や不要になった外部委託先のアカウントは削除します。

DNS変更時の通知を有効にし、不審な変更にすぐ気づけるようにしておくことも大切です。

さらに、利用できる場合はレジストラロックやドメインロックを設定し、不正な移管やネームサーバー変更を防ぐことも検討しましょう。

Webサイト運用で重要なDNSレコード

Aレコード

Aレコードは、ドメイン名をIPv4アドレスに紐づけるDNSレコードです。

Webサイトの表示先を指定する基本的なレコードで、たとえば「example.com」を特定のWebサーバーのIPv4アドレスへ向けるときに使います。

Aレコードが誤っていると、Webサイトが表示されなかったり、別のサーバーに接続されたりする可能性があります。

AAAAレコード

AAAAレコードは、ドメイン名をIPv6アドレスに紐づけるDNSレコードです。

IPv6に対応したWebサイトやサーバーで使われます。

IPv4用のAレコードに対して、IPv6用のレコードがAAAAレコードです。

CNAMEレコード

CNAMEレコードは、あるドメイン名を別のドメイン名の別名として扱うためのレコードです。

たとえば、「www.example.com」を「example.com」の別名として設定したり、LP作成ツール、CDN、MAツール、フォーム作成ツールなどの外部サービスにサブドメインを向けたりするときに使われます。

ただし、同じ名前にCNAMEレコードと他のレコードを併存させることは基本的にできません。

実務では、CNAMEを設定する対象や既存レコードとの重複に注意が必要です。

MXレコード

MXレコードは、メールの配送先となるメールサーバーを指定するレコードです。

この設定が間違っていると、メールが届かなくなったり、意図しないメールサーバーへ配送されたりする可能性があります。

企業のメール運用では非常に重要なレコードです。

TXTレコード

TXTレコードは、DNSにテキスト情報を登録するためのレコードです。

Webサイト運用やマーケティングでは、Google Search Consoleの所有権確認、広告・解析ツールのドメイン認証、SPF、DKIM、DMARCなどで使われます。

特にメール認証ではTXTレコードが重要です。設定ミスがあると、メールの到達率やなりすまし対策に影響する可能性があります。

NSレコード

NSレコードは、そのドメインのDNS情報をどのネームサーバーが管理しているかを示すレコードです。

NSレコードが不正に変更されると、ドメイン全体のDNS管理先が攻撃者側に変わる可能性があります。

そのため、NSレコードはDNSセキュリティ上、非常に重要なレコードです。

メールセキュリティとDNSの関係

SPF

SPFは、そのドメインからメールを送信してよいメールサーバーをDNSに登録する仕組みです。

たとえば、自社ドメインでメール配信サービスやMAツールを使う場合、そのサービスの送信サーバーをSPFに含める必要があります。

SPFが適切に設定されていないと、正規のメールが迷惑メール扱いされたり、なりすましメールを防ぎにくくなったりします。

DKIM

DKIMは、メールに電子署名を付け、メールが正当な送信元から送られたものか、途中で改ざんされていないかを確認する仕組みです。

DKIMの公開鍵はDNSのTXTレコードに登録します。

受信側のメールサーバーは、DNSに登録された公開鍵を使ってメールの署名を検証します。

これにより、メールの信頼性を高めることができます。

DMARC

DMARCは、SPFやDKIMの認証結果をもとに、認証に失敗したメールを受信側がどのように扱うべきかを示す仕組みです。

DMARCでは、SPFまたはDKIMの認証結果に加えて、送信元ドメインとの整合性、いわゆるアライメントも確認します。

DMARCポリシーでは、認証に失敗したメールを監視するだけにするのか、迷惑メール扱いにするのか、拒否するのかを指定できます。

自社ドメインを悪用したなりすましメール対策として、SPF、DKIM、DMARCの整備は非常に重要です。

サブドメインテイクオーバーにも注意する

不要なCNAMEレコードの放置がリスクになる

Webサイト運用では、LP作成ツール、フォーム作成ツール、CDN、ヘルプデスク、MAツールなど、外部サービスにサブドメインを向けることがあります。

たとえば、「lp.example.com」や「help.example.com」のようなサブドメインを、外部サービスのドメインにCNAMEで向けるケースです。

しかし、外部サービスを解約・移行した後にDNSレコードだけが残っていると、サブドメインテイクオーバーのリスクが生じる場合があります。

サブドメインテイクオーバーとは、使われなくなった外部サービス向けのDNS設定を悪用し、第三者がそのサブドメインを乗っ取ったように見せられる状態を指します。

SaaS連携後はDNSレコードを棚卸しする

サブドメインテイクオーバーを防ぐには、使わなくなったSaaS連携用のCNAMEレコードを放置しないことが重要です。

LPツール、メール配信ツール、フォームツール、CDN、ヘルプデスクツールなどを解約・移行した場合は、関連するDNSレコードを確認し、不要なものを削除しましょう。

特に、マーケティング施策で一時的に作成したキャンペーン用サブドメインは、施策終了後に放置されやすいため注意が必要です。

TTLとは

TTLはDNS情報のキャッシュ時間

TTLは「Time To Live」の略で、DNS情報をキャッシュしてよい時間を示す値です。

DNSレコードにはTTLが設定されており、リゾルバーはその時間内であれば、以前取得したDNS情報を再利用できます。

TTLが長いとDNS問い合わせの回数を減らせるため、安定性や負荷軽減につながります。

一方で、DNSレコードを変更した際に反映されるまで時間がかかることがあります。

サーバー移転時はTTLの調整が重要

サイト移転やサーバー切り替えを行う場合は、事前にTTLを短くしておくと、切り替え後の反映遅延を抑えやすくなります。

ただし、常に極端に短いTTLを設定すると、DNS問い合わせが増え、DNSサーバーへの負荷が高まる可能性があります。

通常時と切り替え時で、適切にTTLを調整することが大切です。

DNSセキュリティ対策のチェックリスト

ドメイン管理のチェック項目

DNSセキュリティを高めるには、まずドメイン管理まわりを確認しましょう。

レジストラアカウントに多要素認証を設定しているか、強力なパスワードを使っているか、管理者権限が必要最小限になっているかを確認します。

また、退職者や不要になった外部委託先のアカウントが残っていないか、ドメイン更新期限を管理しているか、レジストラロックを利用しているかも重要です。

DNS変更時の通知を受け取れるようにしておくと、不正な変更に早く気づきやすくなります。

DNSレコードのチェック項目

DNSレコードについては、A、AAAA、CNAME、MX、TXT、NSレコードを定期的に棚卸しすることが大切です。

使っていないサブドメインが残っていないか、不要なCNAMEレコードが放置されていないか、過去に使っていたSaaS連携の設定が残っていないかを確認しましょう。

また、SPF、DKIM、DMARCが正しく設定されているか、DNSSECを利用できる環境なら有効化できているか、TTLが運用に合った値になっているかも確認します。

監視のチェック項目

DNSは一度設定して終わりではありません。

継続的な監視が必要です。

DNSレコードの変更監視、ドメイン期限切れの監視、SSL/TLS証明書の監視、不審なサブドメインの監視、DNS応答速度の監視、DNS障害の監視などを行うと、安全性と可用性を高めやすくなります。

特に、企業の重要ドメインでは、DNS変更や証明書発行の異常を早期に検知できる体制を整えておくことが重要です。

DNSSEC・DoH・DoT・DNSフィルタリングの違い

DNSSECはDNS応答の正当性を確認する

DNSSECは、DNS応答が正しい権威DNSサーバーから返されたものか、途中で改ざんされていないかを検証する技術です。

主な目的は、DNS応答の正当性と完全性を確認することです。

DNSキャッシュポイズニングやDNS応答改ざんへの対策として有効ですが、通信の暗号化やDDoS対策を行うものではありません。

DoHとDoTはDNS通信を暗号化する

DoHとDoTは、主にクライアントとDNSリゾルバー間のDNS通信を暗号化する技術です。

DoHはHTTPSを使い、DoTはTLSを使ってDNS通信を保護します。

目的は、通信経路上での盗聴や改ざん、なりすましを防ぎやすくすることです。

DNSフィルタリングは危険なドメインをブロックする

DNSフィルタリングは、危険なドメインや不適切なドメインへのアクセスをDNSレベルでブロックする仕組みです。

フィッシングサイト、マルウェア配布サイト、C&Cサーバーなどへの接続を防ぐのに役立ちます。

ただし、すべての攻撃を完全に防ぐものではないため、他のセキュリティ対策と組み合わせる必要があります。

DNSセキュリティを実務で始める手順

現在のDNSレコードを棚卸しする

まずは、現在設定されているDNSレコードを一覧化します。

A、AAAA、CNAME、MX、TXT、NSレコードを確認し、何の目的で設定されているのかを整理しましょう。

不要なレコードや、担当者が把握していないレコードが残っている場合は、削除や修正を検討します。

ドメイン管理アカウントを保護する

次に、ドメイン管理アカウントを保護します。

多要素認証を有効にし、強力なパスワードを設定し、管理者権限を必要最小限にします。

退職者や外部委託先のアカウントが残っていないかも確認しましょう。

DNSSECの導入を検討する

利用しているレジストラやDNSサービスがDNSSECに対応している場合は、導入を検討します。

ただし、DNSSECは設定ミスがあると名前解決に失敗し、Webサイトやメールに影響が出る可能性があります。

導入する際は、DNS管理者やインフラ担当者と連携し、慎重に設定しましょう。

SPF・DKIM・DMARCを整備する

企業でメールを使っている場合は、SPF、DKIM、DMARCの設定を確認します。

メールマガジン、問い合わせ返信、注文確認メール、パスワード再設定メール、MAツール、CRM、メール配信サービスなどを利用している場合、DNS設定がメール到達率に大きく影響します。

正規メールが迷惑メール扱いされないようにするためにも、メール認証の整備は重要です。

DNS監視を導入する

DNSレコードは、設定後も継続的に監視する必要があります。

DNSレコードの変更、ドメイン期限切れ、証明書発行、不審なサブドメイン、DNS応答速度、障害状況などを監視することで、異常に早く気づけます。

特に、企業のメインドメインやECサイト、会員サイト、メール送信用ドメインは、優先的に監視対象にするべきです。

まとめ

DNSセキュリティとは、インターネット上の住所録のような役割を持つDNSを、改ざん・なりすまし・盗聴・停止などの脅威から守るための対策です。

DNSが攻撃されると、ユーザーが偽サイトへ誘導されたり、Webサイトが表示されなくなったり、メールが届かなくなったりする可能性があります。

DNSセキュリティで重要なのは、ユーザーを正しい接続先へ導くこと、DNS通信を盗み見されにくくすること、DNSサービスを止めないことです。

そのためには、DNSSECによるDNS応答の検証、DoHやDoTによるDNS通信の暗号化、DNSフィルタリングによる危険ドメインのブロック、DNSログ監視による不審な通信の検知、ドメイン管理アカウントの保護などを組み合わせる必要があります。

また、Webサイト運用やマーケティングの現場では、Aレコード、CNAMEレコード、MXレコード、TXTレコード、NSレコードなどの管理も重要です。特に、SPF、DKIM、DMARCの設定は、メール到達率やなりすまし対策に直結します。

DNSは普段目立たない存在ですが、Webサイト、メール、広告、SEO、EC、ブランド保護の土台です。

DNSセキュリティを適切に整えることは、ユーザーを安全に正しいWebサイトへ導き、企業の信頼を守るために欠かせない取り組みです。

以上、DNSセキュリティとはなんなのかについてでした。

最後までお読みいただき、ありがとうございました。