DNSプロキシとはなんなのか

DNSプロキシとは

DNSプロキシとは、端末から送られるDNS問い合わせを代理で受け取り、必要に応じて別のDNSサーバーへ転送したり、キャッシュから応答したりする仕組みです。

簡単にいうと、DNSプロキシは DNS問い合わせの中継役 です。

パソコンやスマートフォンがWebサイトへアクセスするとき、最初からWebサーバーに直接つながるわけではありません。

まず、アクセスしたいドメイン名に対応するIPアドレスを調べる必要があります。

この「ドメイン名をIPアドレスに変換する仕組み」がDNSです。

DNSプロキシは、そのDNS問い合わせを端末の代わりに受け取り、必要に応じて上位のDNSサーバーへ問い合わせ、得られた結果を端末へ返します。

DNSの基本

DNSはドメイン名をIPアドレスに変換する仕組み

Webサイトにアクセスするとき、ユーザーは通常、次のようなドメイン名を入力します。

example.com

しかし、コンピューター同士の通信では、実際にはIPアドレスが使われます。

93.184.216.34

人間にとっては example.com のようなドメイン名のほうが覚えやすいですが、コンピューターにとってはIPアドレスのほうが扱いやすい情報です。

そこでDNSサーバーに対して、次のように問い合わせます。

example.com のIPアドレスを教えてください

DNSサーバーは、その問い合わせに対して次のように応答します。

example.com のIPアドレスは 93.184.216.34 です

この名前解決によって、ブラウザやアプリは目的のサーバーへ接続できるようになります。

DNSプロキシの仕組み

通常のDNS問い合わせ

DNSプロキシがない場合、端末はDNSサーバーに直接問い合わせます。

PC・スマホ
  ↓
DNSサーバー
  ↓
IPアドレスを返す

この場合、端末が設定されたDNSサーバーへ問い合わせ、そのDNSサーバーから返ってきた結果を使ってWebサイトやサービスへ接続します。

DNSプロキシがある場合

DNSプロキシがある場合、端末はDNSサーバーへ直接問い合わせるのではなく、まずDNSプロキシに問い合わせます。

PC・スマホ
  ↓
DNSプロキシ
  ↓
上位DNSサーバー
  ↓
DNSプロキシ
  ↓
PC・スマホ

端末から見ると、DNSプロキシはDNSサーバーのように見えます。

ただし、DNSプロキシ自身が常に最終的な答えを持っているとは限りません。

キャッシュに答えがあればそのまま返し、答えがなければ上位のDNSサーバーへ問い合わせて、その結果を端末に返します。

DNSプロキシは単なる転送役とは限らない

DNSプロキシは、単にDNS問い合わせを右から左へ転送するだけではありません。

実装や製品によっては、次のような処理も行います。

• キャッシュから応答する
• 特定のドメインをブロックする
• 社内ドメインと外部ドメインで問い合わせ先を分ける
• DNS問い合わせのログを記録する
• 危険なドメインへのアクセスを遮断する
• ローカルネットワーク内の端末名を解決する

そのため、DNSプロキシは DNS問い合わせを中継・制御・管理する仕組み と理解するとわかりやすいです。

DNSプロキシの主な役割

DNS問い合わせを中継する

DNSプロキシの基本的な役割は、端末からのDNS問い合わせを受け取り、必要に応じて別のDNSサーバーへ転送することです。

たとえば、社内ネットワークでは各社員のPCが外部DNSサーバーへ直接問い合わせるのではなく、社内のDNSプロキシを経由することがあります。

社員PC
  ↓
社内DNSプロキシ
  ↓
外部DNSサーバー

このようにDNS問い合わせを集約することで、ネットワーク管理者はDNS通信を一元的に管理しやすくなります。

DNS結果をキャッシュする

DNSプロキシは、DNS問い合わせの結果を一定時間保存することがあります。

これをDNSキャッシュといいます。

たとえば、Aさんが example.com にアクセスし、DNSプロキシがそのIPアドレスを取得したとします。

その直後にBさんも同じ example.com にアクセスした場合、DNSプロキシは再度外部DNSサーバーへ問い合わせるのではなく、保存していた結果を返せます。

Aさん → DNSプロキシ → 外部DNSサーバーへ問い合わせ
Bさん → DNSプロキシ → キャッシュから応答
Cさん → DNSプロキシ → キャッシュから応答

これにより、名前解決の速度が上がり、外部DNSサーバーへの問い合わせ回数も減らせます。

ただし、DNSキャッシュにはTTLという有効期限があります。

TTLが切れると、DNSプロキシは再度DNSサーバーへ問い合わせます。

アクセス制御やフィルタリングを行う

DNSプロキシは、特定のドメインへのアクセスを制限する目的でも使われます。

たとえば、次のようなドメインへのアクセスを止めることができます。

• マルウェア配布サイト
• フィッシングサイト
• 業務に不要なサイト
• 社内ポリシーで禁止されているサイト
• 不適切なカテゴリのサイト

ユーザーが危険なドメインへアクセスしようとした場合、DNSプロキシは通常のIPアドレスを返さず、通信を止めることができます。

ユーザー：「危険なサイトのIPアドレスを教えて」
DNSプロキシ：「そのドメインはブロック対象です」

製品によっては、アクセスを遮断するだけでなく、警告ページのIPアドレスを返すこともあります。

セキュリティを強化する

DNSプロキシは、セキュリティ対策としても利用されます。

マルウェアに感染した端末は、攻撃者のサーバーへ通信しようとすることがあります。

その際、多くの場合はまずDNS問い合わせを行います。

DNSプロキシがその問い合わせを検知し、危険なドメインだと判断すれば、IPアドレスを返さずに通信を止められます。

これにより、次のようなリスクを減らせます。

• フィッシングサイトへのアクセス
• マルウェア配布サイトへの接続
• C&Cサーバーとの通信
• 不審な外部サーバーへの情報送信
• 社内端末から危険なサイトへのアクセス

C&Cサーバーとは、マルウェアに命令を送る攻撃者側のサーバーのことです。

DNSプロキシは、通信が本格的に始まる前の名前解決段階で危険な接続を止められるため、ネットワークセキュリティの入口対策として有効です。

DNSサーバーを振り分ける

DNSプロキシは、問い合わせ内容に応じて参照先のDNSサーバーを変えることもできます。

たとえば、企業ネットワークでは次のような使い分けが行われます。

社内ドメイン → 社内DNSサーバーへ問い合わせ
外部ドメイン → 外部DNSサーバーへ問い合わせ

社内専用のドメインは、インターネット上のDNSサーバーでは解決できません。

そのため、社内ドメインは社内DNSへ、それ以外の一般的なドメインは外部DNSへ問い合わせる必要があります。

DNSプロキシを使うと、この振り分けを自動化できます。

intranet.example.local → 社内DNSへ
google.com → 外部DNSへ

このような仕組みは、企業ネットワークやVPN環境でよく使われます。

DNSログを取得する

DNSプロキシを経由させることで、どの端末がどのドメインに問い合わせたかを記録できます。

たとえば、次のようなログです。

2026-05-15 10:15:02  PC-001  example.com
2026-05-15 10:15:07  PC-002  suspicious-site.example
2026-05-15 10:16:20  PC-003  google.com

DNSログを確認すれば、不審な通信の兆候を見つけやすくなります。

たとえば、特定の端末がマルウェア関連のドメインへ頻繁に問い合わせている場合、その端末が感染している可能性があります。

ただし、DNSログにはユーザーの利用傾向が含まれるため、企業で運用する場合は保存期間や閲覧権限、プライバシーへの配慮も重要です。

DNSプロキシが使われる場面

家庭用ルーター

家庭用ルーターがDNSプロキシのように動作していることがあります。

たとえば、パソコンやスマートフォンのDNSサーバー設定を確認したとき、次のように表示される場合があります。

DNSサーバー：192.168.1.1

この 192.168.1.1 がルーターのIPアドレスであれば、端末はルーターへDNS問い合わせを送っています。

ルーターはその問い合わせを受け取り、プロバイダのDNSサーバーや設定された外部DNSサーバーへ転送します。

スマホ・PC
  ↓
家庭用ルーター
  ↓
プロバイダDNS

この場合、家庭用ルーターがDNSプロキシ、DNSリレー、DNSフォワーダーのように動作しています。

ただし、家庭用ルーターのDNS機能は機種によって差があります。

単純な転送だけを行うものもあれば、簡単なキャッシュやローカル名前解決に対応しているものもあります。

企業ネットワーク

企業ネットワークでは、DNSプロキシがよく使われます。

主な目的は次の通りです。

• 社内DNSと外部DNSを使い分ける
• 危険なドメインをブロックする
• DNS問い合わせをログとして記録する
• 社員PCのDNS設定を一元管理する
• マルウェア感染の兆候を検知する
• 業務上不要なサイトへのアクセスを制御する

各端末が自由に外部DNSサーバーへ問い合わせてしまうと、管理者はDNS通信を把握しにくくなります。

DNSプロキシに集約すれば、DNS通信の管理・監視・制御がしやすくなります。

学校や公共Wi-Fi

学校、図書館、店舗、ホテル、公共Wi-FiなどでもDNSプロキシが使われることがあります。

目的は、主にアクセス制御やセキュリティ対策です。

たとえば、学校では不適切なカテゴリのサイトをブロックしたり、公共Wi-Fiではマルウェア配布サイトやフィッシングサイトへのアクセスを制限したりします。

DNSレベルで制御することで、比較的シンプルにネットワーク全体へポリシーを適用できます。

VPN環境

VPN環境でもDNSプロキシは重要です。

たとえば、VPN接続中に社内システムへアクセスする場合、社内専用ドメインは社内DNSで解決する必要があります。

一方で、一般的なWebサイトは通常の外部DNSで解決したほうが効率的な場合もあります。

VPN接続中のPC
  ↓
DNSプロキシ
  ├→ 社内ドメインは社内DNSへ
  └→ 外部ドメインは外部DNSへ

このように問い合わせ先を分ける仕組みは、スプリットDNSと呼ばれることがあります。

DNSプロキシと関連用語の違い

DNSプロキシとDNSサーバーの違い

DNSプロキシとDNSサーバーは、完全に別物というより、機能が重なることがあります。

DNSサーバーは、DNS問い合わせに対して名前解決の結果を返すサーバーです。

一方、DNSプロキシは、クライアントからのDNS問い合わせを代理で受け取り、必要に応じて別のDNSサーバーへ転送したり、キャッシュから返答したり、フィルタリングしたりします。

項目	DNSプロキシ	DNSサーバー
主な役割	DNS問い合わせの中継・制御	名前解決結果の提供
クライアントからの見え方	DNSサーバーのように見える	DNSサーバーとして見える
キャッシュ	持つ場合がある	持つ場合がある
フィルタリング	実装によって可能	実装によって可能
転送	得意	構成によって可能

重要なのは、DNSプロキシもクライアントから見るとDNSサーバーとして振る舞うことが多いという点です。

そのため、DNSプロキシを「DNSサーバーとはまったく別のもの」と考えるより、DNS問い合わせを代理処理するDNSサーバー的な機能 と考えるほうが正確です。

DNSプロキシとDNSフォワーダーの違い

DNSフォワーダーは、受け取ったDNS問い合わせを別のDNSサーバーへ転送する機能です。

DNSプロキシとDNSフォワーダーは、実務上かなり近い意味で使われることがあります。

ただし、ニュアンスとしては次のように分けられます。

用語	意味
DNSプロキシ	DNS問い合わせを代理で受け、転送・制御・キャッシュ・ログ取得などを行う仕組み
DNSフォワーダー	DNS問い合わせを別のDNSサーバーへ転送する機能
DNSリレー	主にルーターなどで使われるDNS中継機能の呼び方

製品や機器によっては、同じような機能が「DNS Proxy」「DNS Relay」「DNS Forwarder」など異なる名前で呼ばれます。

DNSプロキシとDNSキャッシュサーバーの違い

DNSキャッシュサーバーは、DNS問い合わせの結果を保存し、次回以降すばやく返すことを主な目的とするサーバーです。

DNSプロキシもキャッシュ機能を持つ場合があります。

項目	DNSプロキシ	DNSキャッシュサーバー
中継	する	する場合がある
キャッシュ	持つ場合がある	主な役割
フィルタリング	可能な場合がある	主目的ではない
ログ取得	可能な場合がある	可能な場合がある
問い合わせ先の振り分け	得意	設定によって可能

実務上は、DNSプロキシ、DNSフォワーダー、DNSキャッシュサーバーが一体化していることも多くあります。

DNSプロキシとWebプロキシの違い

DNSプロキシとWebプロキシは、名前は似ていますが扱う通信が違います。

DNSプロキシが扱うのはDNS問い合わせです。

PC → DNSプロキシ → DNSサーバー

一方、Webプロキシが扱うのはHTTPやHTTPSなどのWeb通信です。

PC → Webプロキシ → Webサイト

違いをまとめると、次のようになります。

種類	対象	主な役割
DNSプロキシ	DNS問い合わせ	ドメイン名の問い合わせを中継・制御する
Webプロキシ	HTTP/HTTPS通信	Webアクセスを中継・制御する
リバースプロキシ	サーバーへのアクセス	サーバーの前段で負荷分散・保護する
SOCKSプロキシ	汎用通信	TCP/UDP通信を中継する

DNSプロキシは、Webページの本文や画像、フォーム入力内容を直接中継するわけではありません。

あくまで名前解決の問い合わせを扱います。

DNSプロキシのメリット

DNS通信を一元管理できる

DNSプロキシを使うと、端末ごとにバラバラだったDNS問い合わせを一箇所に集約できます。

これにより、管理者はDNSサーバーの変更、フィルタリング設定、ログ取得などを一元的に行いやすくなります。

特に企業や学校など、多数の端末を管理する環境では大きなメリットがあります。

名前解決が速くなる場合がある

DNSプロキシがキャッシュを持っている場合、同じドメインへの問い合わせに対してすばやく応答できます。

同じネットワーク内で多くの端末が同じサービスを利用する場合、DNSキャッシュの効果は大きくなります。

たとえば、社内で多くの社員が同じSaaSや業務システムにアクセスする場合、DNS問い合わせの回数を減らせます。

セキュリティ対策になる

DNSプロキシは、危険なドメインへのアクセスを名前解決の段階で止められます。

通信が実際に始まる前にブロックできるため、マルウェア感染やフィッシング被害のリスクを減らす効果があります。

ただし、DNSプロキシだけで全ての攻撃を防げるわけではありません。

ファイアウォール、EDR、Webフィルタリング、メールセキュリティなどと組み合わせて使うことが重要です。

ログをセキュリティ調査に活用できる

DNSログは、セキュリティ調査で重要な手がかりになります。

たとえば、ある端末が不審なドメインへ繰り返し問い合わせている場合、その端末がマルウェアに感染している可能性があります。

DNSログを確認することで、次のような調査がしやすくなります。

• どの端末が不審なドメインへ問い合わせたか
• いつから不審な通信が発生しているか
• 特定のドメインへ複数端末がアクセスしていないか
• 社内で同じ感染兆候が広がっていないか

DNSプロキシのデメリット・注意点

DNSプロキシが障害点になる

DNSプロキシに障害が発生すると、端末が名前解決できなくなる可能性があります。

名前解決ができないと、Webサイト、メール、SaaS、社内システムなどにアクセスできなくなります。

ユーザーから見ると「インターネットにつながらない」と感じることもあります。

そのため、企業環境ではDNSプロキシを複数台構成にしたり、代替DNSサーバーを設定したりして冗長化することが重要です。

設定ミスで正常な通信が止まることがある

DNSプロキシのフィルタリング設定や転送先設定を誤ると、正常なサイトや業務システムにアクセスできなくなることがあります。

たとえば、業務で必要なSaaSのドメインを誤ってブロックすると、社内全体でそのサービスが使えなくなる可能性があります。

DNSプロキシはネットワーク全体に影響するため、設定変更時には慎重な確認が必要です。

古いキャッシュが影響する場合がある

DNSプロキシがDNS結果をキャッシュしている場合、サーバー移転やDNSレコード変更の直後に古い情報が残ることがあります。

通常、DNSキャッシュはTTLに従って更新されます。

しかし、TTLが長い場合や複数の場所にキャッシュが残っている場合、しばらく古いIPアドレスへ接続してしまうことがあります。

Webサイト移転やサーバー切り替えを行う場合は、事前にTTLを短くしておくなどの対策が必要です。

DoHやDoTで制御を回避される場合がある

近年は、DNS over HTTPS、DNS over TLSといった暗号化DNSの利用も増えています。

DNS over HTTPSはDoH、DNS over TLSはDoTと呼ばれます。

これらを使うと、端末やブラウザがネットワーク側のDNSプロキシを経由せず、外部のDNSサービスへ直接問い合わせる場合があります。

その結果、DNSプロキシによるログ取得やフィルタリングが効かなくなることがあります。

企業や学校などでDNS制御を行う場合は、DoHやDoTへの対応方針も考える必要があります。

DNSだけではURL単位の制御が難しい

DNSプロキシは、基本的にドメイン名を見て制御します。

そのため、次のようなURLの違いをDNSだけで判別するのは困難です。

example.com/safe-page
example.com/dangerous-page

DNSが主に扱うのは example.com の部分です。

URLのパスやページ内容までは通常判断できません。

URL単位で細かく制御したい場合は、Webプロキシ、Secure Web Gateway、次世代ファイアウォールなどの仕組みが必要です。

DNSプロキシの確認方法

Windowsで確認する方法

Windowsでは、コマンドプロンプトで次のコマンドを実行するとDNSサーバーの設定を確認できます。

ipconfig /all

表示結果の中に、DNSサーバーの項目があります。

DNS Servers . . . . . . . . . . . : 192.168.1.1

このIPアドレスがルーターのIPアドレスであれば、ルーターがDNSプロキシやDNSリレーのように動作している可能性があります。

nslookupで確認する方法

次のコマンドでも、問い合わせ先のDNSサーバーを確認できます。

nslookup example.com

実行結果の最初に、問い合わせ先のサーバーが表示されます。

Server:  router.local
Address: 192.168.1.1

この場合、端末は 192.168.1.1 にDNS問い合わせを送っています。

DNSプロキシの代表的な実装例

よく使われるソフトウェアや製品

DNSプロキシのような機能は、さまざまなソフトウェアや機器に搭載されています。

代表的な例は次の通りです。

• dnsmasq
• Unbound
• BINDのフォワーダー構成
• Pi-hole
• AdGuard Home
• pfSense
• OPNsense
• UTM製品
• 企業向けDNSフィルタリング製品
• 家庭用ルーターのDNSリレー機能

これらはすべて同じ機能を持つわけではありません。

単純なDNS転送を行うものもあれば、キャッシュ、フィルタリング、広告ブロック、DNSSEC検証、ログ分析などに対応しているものもあります。

製品によって名称が違う

DNSプロキシに近い機能は、製品によってさまざまな名前で表示されます。

たとえば、次のような名称です。

• DNS Proxy
• DNS Relay
• DNS Forwarder
• DNS Forwarding
• DNS Cache
• DNS Resolver
• DNS Filter
• DNS中継
• DNSリレー
• DNSフォワーダー

そのため、設定画面に「DNSプロキシ」と書かれていなくても、同じような役割の機能が搭載されている場合があります。

DNSプロキシでよくある誤解

DNSプロキシはWebサイトの中身を見ているわけではない

DNSプロキシが扱うのは、基本的にはDNS問い合わせです。

つまり、次のような問い合わせです。

example.com のIPアドレスは何ですか？

DNSプロキシは、Webページの本文、画像、フォーム入力内容、ログイン情報などを直接見ているわけではありません。

Web通信そのものを制御する場合は、Webプロキシやファイアウォールなど別の仕組みが必要です。

DNSプロキシだけで全ての危険通信を防げるわけではない

DNSプロキシは有効なセキュリティ対策ですが、万能ではありません。

たとえば、次のようなケースではDNSプロキシだけでは防げない場合があります。

• IPアドレスを直接指定して通信される
• DoHやDoTで別のDNS経路を使われる
• すでに端末内にDNSキャッシュが残っている
• 許可されたクラウドサービスが悪用される
• 同じドメイン内の特定URLだけが危険
• メール添付ファイルから攻撃される

DNSプロキシは、あくまでDNS段階での制御です。

セキュリティ対策としては、他の仕組みと組み合わせて使うことが大切です。

DNSプロキシとDNSサーバーは完全に別物ではない

DNSプロキシは、端末から見るとDNSサーバーとして振る舞います。

また、実装によってはキャッシュDNSサーバーやDNSフォワーダー、再帰リゾルバとして動作します。

そのため、DNSプロキシを「DNSサーバーではない」と単純に切り分けるより、DNS問い合わせを代理で処理するDNSサーバー的な機能 と理解するほうが自然です。

まとめ

DNSプロキシはDNS問い合わせの中継・制御を行う仕組み

DNSプロキシとは、端末からのDNS問い合わせを代理で受け取り、必要に応じて別のDNSサーバーへ転送したり、キャッシュから応答したり、フィルタリングやログ取得を行ったりする仕組みです。

一言でいうと、DNS通信を管理するための中継役 です。

DNSプロキシの主な機能

DNSプロキシには、主に次のような機能があります。

機能	内容
中継	端末からのDNS問い合わせを受けて上位DNSへ転送する
キャッシュ	過去のDNS結果を保存し、再利用する
フィルタリング	危険なドメインや禁止ドメインをブロックする
振り分け	社内ドメインと外部ドメインで問い合わせ先を変える
ログ取得	どの端末がどのドメインに問い合わせたか記録する
管理	ネットワーク全体のDNS設定を集約する

DNSプロキシを理解するうえで重要なポイント

DNSプロキシを理解するうえでは、次の3点が重要です。

1つ目は、DNSプロキシが扱うのはWeb通信そのものではなく、主にドメイン名の名前解決であることです。

2つ目は、DNSプロキシは端末から見るとDNSサーバーのように見えることです。

3つ目は、DNSプロキシ、DNSフォワーダー、DNSリレー、DNSキャッシュサーバーなどは、実務上機能が重なることが多いということです。

DNSプロキシは、家庭用ルーターから企業ネットワーク、VPN環境、セキュリティ製品まで幅広く使われています。

ネットワークの高速化、管理、セキュリティ対策に役立つ一方で、設定ミスや障害時の影響、DoHによる回避などにも注意が必要です。

以上、DNSプロキシとはなんなのかについてでした。

最後までお読みいただき、ありがとうございました。