DNS over HTTPSとはなんなのか

DNS over HTTPS（DoH）とは、DNSの問い合わせをHTTPSで暗号化して送受信する仕組みです。

通常、Webサイトにアクセスするとき、ブラウザやOSはまず「このドメイン名に対応するIPアドレスは何か」をDNSサーバーに問い合わせます。

たとえば、example.com にアクセスする場合、裏側では次のような名前解決が行われます。

example.com → 93.184.216.34

この変換を行う仕組みがDNSです。

従来のDNS通信は、主にUDP 53番ポートを使って行われ、通信内容が暗号化されていないことが一般的でした。

そのため、ネットワーク上の第三者に「どのドメインへアクセスしようとしているか」を見られたり、DNS応答を改ざんされたりするリスクがあります。

DoHでは、このDNS問い合わせをHTTPS通信として送るため、DNSの内容を第三者から見られにくくできます。

そもそもDNSとは

DNSはドメイン名をIPアドレスに変換する仕組み

DNSは、インターネット上で使われる「名前解決」の仕組みです。

人間はWebサイトにアクセスするとき、次のようなドメイン名を使います。

google.com
yahoo.co.jp
example.com

しかし、コンピューター同士の通信では、実際にはIPアドレスが使われます。

142.250.xxx.xxx
183.79.xxx.xxx
93.184.216.34

つまりDNSは、次のような変換を行っています。

ドメイン名 → IPアドレス

この仕組みによって、ユーザーは数字のIPアドレスを覚えなくても、分かりやすいドメイン名でWebサイトにアクセスできます。

DNS問い合わせはWebアクセスの前に行われる

ブラウザでURLを入力すると、いきなりWebサイトに接続するわけではありません。

まず、ブラウザやOSがDNSサーバーに対して「このドメイン名のIPアドレスを教えてください」と問い合わせます。

流れとしては、次のようになります。

1. ユーザーがブラウザにURLを入力する
2. DNSサーバーにドメイン名を問い合わせる
3. DNSサーバーからIPアドレスが返ってくる
4. そのIPアドレスのWebサーバーへ接続する

このDNS問い合わせは、Webサイト閲覧の前段階で行われる重要な処理です。

従来のDNS通信の問題点

DNS問い合わせの内容が見えやすい

従来のDNS通信は、暗号化されていない状態で送られることが一般的です。

そのため、ネットワークの途中にいる第三者が、DNS問い合わせの内容を確認できる可能性があります。

たとえば、ユーザーが次のようなドメインへアクセスしようとしていることが分かる場合があります。

example.com
shop.example.jp
news.example.com

Webページ本体がHTTPSで暗号化されていても、DNS問い合わせが平文のままであれば、「どのドメインを名前解決したか」は見える可能性があります。

つまり、HTTPSのサイトを見ていても、DNSの段階ではプライバシー上の弱点が残ることがあります。

DNS応答が改ざんされる可能性がある

従来のDNSでは、通信経路上でDNS応答を改ざんされるリスクがあります。

たとえば、本来は正しいWebサイトのIPアドレスが返ってくるはずなのに、攻撃者によって偽サイトのIPアドレスにすり替えられる可能性があります。

本来：
example.com → 正しいIPアドレス

改ざんされた場合：
example.com → 攻撃者が用意した偽サイトのIPアドレス

このような攻撃は、DNSスプーフィングやDNSハイジャックと呼ばれることがあります。

DoHを使うことで、少なくともクライアントとDoHリゾルバ間の通信経路における盗聴や改ざんのリスクを下げることができます。

ネットワーク管理者やISPにDNS履歴が見える場合がある

通常のDNSでは、利用しているネットワークの管理者やISPがDNS問い合わせを把握できる場合があります。

たとえば、以下のような環境ではDNS問い合わせが見える可能性があります。

自宅のインターネット回線
会社や学校のネットワーク
カフェやホテルの無料Wi-Fi
公共施設のWi-Fi

もちろん、ネットワーク管理やセキュリティ対策のためにDNSログが必要なケースもあります。

しかし、プライバシーの観点では「どのドメインを問い合わせたか」が見えることは、利用者にとって注意すべき点です。

DNS over HTTPSの仕組み

DNS問い合わせをHTTPSで送信する

DoHでは、DNS問い合わせをHTTPS通信として送信します。

従来のDNSは、主に次のような形で行われます。

端末 → DNSサーバー
UDP/TCP 53番ポート
暗号化なし

一方、DoHでは次のようになります。

端末 → DoH対応DNSサーバー
HTTPS
暗号化あり

HTTPSは、Webサイト閲覧でも使われる暗号化通信です。

DoHは、そのHTTPSの仕組みを利用してDNS問い合わせを送受信します。

DoHでは通常443番ポートが使われる

DoHはHTTPSを使うため、通常は443番ポートを利用します。

ただし、より正確には、使用するHTTPのバージョンによって通信方式が異なる場合があります。

HTTP/2ベースのDoH：TCP 443番を使うことが多い
HTTP/3ベースのDoH：UDP 443番を使うことがある

一般的な説明としては「DoHはHTTPSの443番ポートを使う」と理解して問題ありません。

ただし、厳密にはTCP 443だけとは限らない点に注意が必要です。

DoHを使った通信の流れ

通常のDNSでは、DNS問い合わせが独立した通信として送られます。

ブラウザ
  ↓
DNS問い合わせ：example.comのIPアドレスは？
  ↓
DNSサーバー
  ↓
DNS応答：93.184.216.34
  ↓
Webサイトへアクセス

DoHでは、DNS問い合わせがHTTPS通信として送られます。

ブラウザ
  ↓
HTTPS通信の中でDNS問い合わせ
  ↓
DoH対応DNSサーバー
  ↓
HTTPS通信の中でDNS応答
  ↓
Webサイトへアクセス

このため、通信経路上の第三者からはDNS問い合わせの内容を直接読み取りにくくなります。

DNS over HTTPSのメリット

DNS問い合わせを暗号化できる

DoHの大きなメリットは、DNS問い合わせを暗号化できることです。

従来のDNSでは、次のような問い合わせ内容が見える可能性がありました。

www.example.com
shop.example.jp
api.example.com

DoHでは、これらのDNS問い合わせがHTTPSで暗号化されます。

そのため、公共Wi-Fiや不特定多数が利用するネットワークでも、DNS問い合わせの内容を第三者から見られにくくできます。

特にカフェ、ホテル、空港、駅などの無料Wi-Fiをよく利用する場合、DoHはDNSのプライバシー保護に役立ちます。

DNS改ざんへの耐性が高まる

DoHはHTTPSを使うため、クライアントとDoHリゾルバ間の通信はTLSによって保護されます。

その結果、通信経路上でDNS問い合わせやDNS応答を盗聴・改ざんされるリスクを下げることができます。

たとえば、悪意あるネットワークが次のような偽の応答を返すことを難しくできます。

bank.example.com → 偽サイトのIPアドレス

ただし、DoHを使えばDNSに関するすべての攻撃を防げるわけではありません。

DoHが主に守るのは、端末からDoHリゾルバまでの通信経路です。

DoHリゾルバ自体が誤った応答を返す場合や、DNSデータそのものの正当性を検証する必要がある場合には、DNSSECなど別の仕組みも関係します。

通常のHTTPS通信と同じように扱える

DoHはHTTPSを使うため、通常のWeb通信と同じように扱われます。

この特徴により、単純なポート制御では通常のDNS通信よりブロックされにくい場合があります。

従来のDNS通信は53番ポートを使うため、ネットワーク管理者が比較的制御しやすい通信です。

一方、DoHは一般的なHTTPS通信と同じ443番ポートを使うため、通信の見分け方や制御方法が異なります。

ただし、DoHが必ずブロックされないわけではありません。

企業ネットワークなどでは、既知のDoHサーバーを遮断したり、ブラウザの管理ポリシーでDoHを無効化したりすることがあります。

ブラウザ単位で導入しやすい

DoHは、ブラウザの設定から有効化できる場合があります。

たとえば、Chrome、Edge、Firefoxなどでは、「セキュアDNS」や「DNS over HTTPS」といった名称でDoHに関する設定が用意されています。

OS全体のネットワーク設定を変更しなくても、ブラウザ単位でDoHを使える点は、一般ユーザーにとって分かりやすいメリットです。

ただし、ブラウザによって既定の挙動は異なります。

また、企業ポリシー、OS設定、VPN、ペアレンタルコントロール、利用地域などによって、DoHが自動的に無効化されたり、既定のDNSへフォールバックしたりする場合があります。

DNS over HTTPSのデメリットと注意点

DoHプロバイダにはDNS問い合わせが見える

DoHを使うと、通信経路上の第三者からDNS問い合わせを見られにくくできます。

しかし、問い合わせ先であるDoHプロバイダには、DNS問い合わせの内容が見えます。

つまり、DoHは「誰にもDNS問い合わせを見えなくする技術」ではありません。

見えにくくなる相手：
公共Wi-Fiの管理者
ローカルネットワーク上の第三者
ISPなど

問い合わせ内容を把握できる相手：
利用しているDoHプロバイダ

そのため、DoHでは「誰からDNS問い合わせを隠したいのか」「どのDNS事業者を信頼するのか」が重要になります。

Cloudflare、Google Public DNS、Quad9、NextDNS、AdGuard DNSなどのDoHサービスを利用する場合、それぞれのログポリシーやプライバシーポリシーを確認することが大切です。

企業や学校のネットワーク管理と衝突する場合がある

企業や学校では、DNSを使ってネットワークを管理していることがあります。

たとえば、次のような目的でDNSが使われます。

危険サイトへのアクセスをブロックする
業務に不要なサイトを制限する
社内ドメインを名前解決する
マルウェア感染端末の通信を検知する
インシデント調査のためにログを確認する

しかし、端末やブラウザが外部のDoHサーバーを使うと、組織が指定したDNSを迂回してしまう可能性があります。

その結果、次のような問題が起こることがあります。

社内システムにアクセスできない
社内DNSでしか解決できないドメインが使えない
DNSフィルタリングが効かない
セキュリティ監視をすり抜ける
ネットワークポリシー違反になる

会社支給PCや学校の端末では、勝手にDoHを有効化せず、組織のセキュリティポリシーに従うべきです。

ペアレンタルコントロールを回避してしまう場合がある

家庭内でDNSフィルタリングやペアレンタルコントロールを使っている場合、DoHによってそれらの制御が効きにくくなる場合があります。

たとえば、ルーターやセキュリティソフトで有害サイトをDNSベースでブロックしている場合、ブラウザが外部のDoHサーバーを使うと、そのフィルタリングを通らないことがあります。

結果として、次のような問題が起こる可能性があります。

子ども向けのWeb制限が効かない
家庭内のDNSブロック設定を回避してしまう
ルーターで設定した広告ブロックDNSが使われない

家庭内でDNSフィルタリングを使っている場合は、ブラウザやOSのDoH設定も合わせて確認する必要があります。

DoHだけでは完全な匿名化はできない

DoHはDNS問い合わせを暗号化する技術です。

しかし、インターネット上の行動を完全に匿名化する技術ではありません。

DoHを使っても、次のような情報は別の形で見える、または推測される可能性があります。

接続先IPアドレス
通信量
通信タイミング
Cookie
ログイン情報
ブラウザフィンガープリント
アクセス先サービス側のログ

また、TLS通信ではSNIによって接続先のホスト名が見える場合があります。

近年はECH、Encrypted Client Hello、という仕組みによってSNIを含むClient Helloを暗号化する取り組みもありますが、DoHとは別の技術です。

つまり、DoHはDNSのプライバシーを高める技術であり、VPNやTorのように通信全体を匿名化するものではありません。

DoHとDoTの違い

DoTはDNS over TLSのこと

DoHとよく比較される技術に、DNS over TLS、略してDoTがあります。

どちらもDNS通信を暗号化する技術ですが、使うプロトコルが異なります。

DoH：DNSをHTTPS上で送る
DoT：DNSをTLSで暗号化して送る

DoTは、DNS専用の暗号化通信として使われることが多く、標準ではTCP 853番ポートを使います。

DoHとDoTの比較

項目	DoH	DoT
正式名称	DNS over HTTPS	DNS over TLS
使う仕組み	HTTPS	TLS
主なポート	443番	853番
通信の見え方	通常のHTTPS通信に近い	暗号化DNS通信として識別しやすい
導入単位	ブラウザ単位でも使いやすい	OS・ルーター・DNS設定で使われることが多い
管理のしやすさ	管理者から見えにくい場合がある	専用ポートのため制御しやすい
ブロックのされやすさ	単純なポート制御ではブロックしにくい場合がある	853番ポートを制御すれば管理しやすい

DoHはHTTPSと同じ443番ポートを使うため、通常のWeb通信と区別しにくい場合があります。

一方、DoTは853番ポートを使うため、ネットワーク管理者から見ると「暗号化DNS通信」として把握しやすい傾向があります。

DoHとDNSSECの違い

DNSSECはDNS応答の正当性を検証する仕組み

DoHとDNSSECは、どちらもDNSに関係する技術ですが、目的が異なります。

DoHは、DNS問い合わせの通信経路を暗号化する仕組みです。

端末 ↔ DoHリゾルバ間の通信を守る

一方、DNSSECは、DNS応答が正当なものかを検証する仕組みです。

DNS応答が改ざんされていないか確認する

DoHとDNSSECは役割が違う

項目	DoH	DNSSEC
主な目的	DNS通信の暗号化	DNSデータの真正性・完全性の検証
守る対象	通信経路	DNS応答の正当性
通信の暗号化	する	通信自体は暗号化しない
プライバシー保護	ある	基本的にはない
改ざん対策	通信経路上の改ざんに強い	DNSデータそのものの改ざん検知に強い

DoHとDNSSECは競合する技術ではありません。

むしろ、役割が異なるため、組み合わせて使うことでDNSの安全性を高めることができます。

DoHとVPNの違い

DoHはDNS問い合わせを守る技術

DoHとVPNも混同されることがありますが、役割は大きく違います。

DoHは、主にDNS問い合わせを暗号化する技術です。

一方、VPNは、端末とVPNサーバー間の通信全体を暗号化し、通信経路をVPNサーバー経由にする技術です。

DoHとVPNの比較

項目	DoH	VPN
暗号化する範囲	主にDNS問い合わせ	端末とVPNサーバー間の通信全体
接続元IPの変更	基本的にしない	VPNサーバーのIPに見せられる
主な目的	DNSのプライバシー保護、改ざん防止	通信経路の保護、接続元IPの変更、リモートアクセス
匿名性	限定的	DoHより高い場合がある
信頼先	DoHプロバイダ	VPN事業者

DoHを使っても、接続元IPアドレスが隠れるわけではありません。

また、Webサイト側から見れば、通常どおりユーザーのIPアドレスやCookie、ログイン情報などを把握できる場合があります。

匿名性や通信全体の保護を目的にする場合は、DoHだけでは不十分です。

DoHで見えにくくなる情報と見える情報

DoHで見えにくくなる情報

DoHを使うと、通信経路上の第三者からDNS問い合わせの内容が見えにくくなります。

たとえば、通常DNSでは次のような問い合わせが見える可能性があります。

example.com のIPアドレスを問い合わせた
shop.example.com のIPアドレスを問い合わせた

DoHでは、これらの問い合わせがHTTPSで暗号化されます。

そのため、公共Wi-Fiやローカルネットワーク上の第三者から、DNS問い合わせの中身を直接読み取られにくくなります。

DoHでも見える可能性がある情報

一方で、DoHを使っても次のような情報は見える可能性があります。

DoHサーバーに接続していること
接続先WebサーバーのIPアドレス
通信量
通信タイミング
ログイン状態
Cookie
ブラウザや端末の識別情報

つまり、DoHはDNS問い合わせを守る技術であって、ユーザーの通信全体を完全に隠す技術ではありません。

DoHを使うべきケース

公共Wi-Fiをよく利用する場合

カフェ、ホテル、空港、駅などの公共Wi-Fiでは、通信経路上でDNS問い合わせを見られるリスクがあります。

DoHを使うことで、少なくともDNS問い合わせの内容は第三者から見えにくくできます。

公共Wi-Fiを頻繁に使う人にとって、DoHはプライバシーを高める有効な手段です。

ISPのDNSではなく信頼するDNSを使いたい場合

DoHを使うと、ISPが提供するDNSではなく、ユーザーが選んだDoHプロバイダを利用できます。

たとえば、次のような観点でDNSプロバイダを選ぶことがあります。

プライバシーポリシー
ログ保存方針
応答速度
セキュリティフィルタリング
広告・トラッカーブロック機能
DNSSEC対応

ただし、DoHプロバイダにはDNS問い合わせが見えるため、信頼できる事業者を選ぶことが重要です。

DNS改ざんや不審なリダイレクトを避けたい場合

一部のネットワークでは、DNS応答が書き換えられることがあります。

DoHを使うことで、端末とDoHリゾルバ間の通信が暗号化され、通信経路上での単純なDNS改ざんを受けにくくなります。

ただし、DoHリゾルバ自体を信頼する必要がある点は忘れてはいけません。

ブラウザ単位でDNSのプライバシーを高めたい場合

OS全体のDNS設定を変更せず、ブラウザだけでDNSのプライバシーを高めたい場合にもDoHは便利です。

ブラウザの設定から有効化できるため、比較的導入しやすい点が特徴です。

DoHを慎重に扱うべきケース

会社や学校のネットワークを使っている場合

会社や学校のネットワークでは、DNSがセキュリティ管理やアクセス制御に使われていることがあります。

そのため、個人の判断でDoHを有効化すると、社内・学内のネットワークポリシーと衝突する可能性があります。

特に、次のような環境では注意が必要です。

会社支給PCを使っている
学校のネットワークに接続している
社内システムへアクセスする必要がある
社内DNSでしか解決できないドメインを使っている
VPNやプロキシを利用している

業務用端末では、組織のIT管理者やセキュリティポリシーに従うべきです。

家庭でDNSフィルタリングを使っている場合

家庭内でDNSベースのフィルタリングを使っている場合も注意が必要です。

たとえば、以下のような設定を使っている場合、DoHが影響する可能性があります。

子ども向けのペアレンタルコントロール
有害サイトブロック
広告ブロックDNS
ルーター側のDNS制御

ブラウザや端末が外部のDoHサーバーを使うと、家庭内で設定したDNSフィルタリングを迂回してしまう場合があります。

DNSログを使ったセキュリティ監視をしている場合

DNSログは、マルウェア感染や不審な通信の検知に使われることがあります。

たとえば、端末が不審なドメインへ頻繁に問い合わせている場合、DNSログを手がかりに調査できます。

しかし、DoHによって外部のDoHプロバイダへ問い合わせが送られると、ローカルネットワーク側ではDNSログを把握しにくくなります。

そのため、セキュリティ監視を重視する環境では、DoHを自由に使わせるのではなく、組織指定のDNSやDoHリゾルバを使う運用が必要になります。

代表的なDoH対応DNSサービス

Cloudflare

Cloudflareは、1.1.1.1 で知られるパブリックDNSサービスを提供しています。

高速性やプライバシーを重視したDNSサービスとして知られており、DoHにも対応しています。

Google Public DNS

Google Public DNSは、Googleが提供するパブリックDNSサービスです。

8.8.8.8 や 8.8.4.4 で知られており、DoHにも対応しています。

Quad9

Quad9は、セキュリティを重視したDNSサービスです。

悪意あるドメインへのアクセスをブロックする機能があり、セキュリティフィルタリングを重視するユーザーに向いています。

NextDNS

NextDNSは、カスタマイズ性の高いDNSサービスです。

広告ブロック、トラッカーブロック、ログ設定、フィルタリングルールなどを細かく設定できます。

AdGuard DNS

AdGuard DNSは、広告ブロックやトラッキング対策に使われることが多いDNSサービスです。

DoHにも対応しており、広告配信ドメインやトラッキングドメインのブロックに使われることがあります。

ブラウザでDoHを利用する方法

ChromeやEdgeの場合

ChromeやEdgeでは、「セキュアDNS」という名称でDoH関連の設定が用意されています。

一般的な設定場所は次のような流れです。

設定
→ プライバシーとセキュリティ
→ セキュリティ
→ セキュアDNSを使用する

そこから、自動設定を使うか、特定のDNSプロバイダを指定できます。

ただし、ブラウザのバージョンやOS、管理ポリシーによって表示や挙動が異なる場合があります。

Firefoxの場合

Firefoxでは、「DNS over HTTPS」という名称で設定できます。

一般的な設定場所は次のような流れです。

設定
→ プライバシーとセキュリティ
→ DNS over HTTPS

Firefoxでは、保護レベルを選べる場合があります。

また、VPN、企業ポリシー、ペアレンタルコントロールなどが有効な場合、DoHの挙動が変わることがあります。

OSレベルのDoHとブラウザレベルのDoH

ブラウザレベルのDoH

ブラウザレベルのDoHでは、そのブラウザのDNS問い合わせだけがDoH経由になります。

たとえば、ChromeでDoHを有効にした場合、Chromeの名前解決にはDoHが使われることがあります。

しかし、他のアプリのDNS問い合わせまで必ずDoHになるとは限りません。

Chrome：DoHを使う
メールアプリ：通常のDNSを使う
チャットアプリ：通常のDNSを使う

このように、ブラウザ単位のDoHは導入しやすい一方で、端末全体のDNS通信を統一できるとは限りません。

OSレベルのDoH

OSレベルでDoHを設定すると、対応しているアプリ全体に影響する場合があります。

たとえば、OSのDNS設定としてDoHを使うことで、ブラウザ以外のアプリでも暗号化DNSを利用できることがあります。

ただし、すべてのアプリがOSのDNS設定に従うとは限りません。

アプリによっては独自のDNS処理を行う場合もあります。

DoHに関するよくある誤解

DoHを使えば完全に匿名になるわけではない

DoHは、DNS問い合わせを暗号化する技術です。

しかし、接続先IPアドレス、通信量、Cookie、ログイン情報、ブラウザフィンガープリントなどは別の問題です。

そのため、DoHを使っても完全な匿名化はできません。

匿名性を高めたい場合は、VPN、Tor、Cookie管理、トラッキング防止、ブラウザフィンガープリント対策など、別の対策も必要になります。

DoHを使えば危険サイトを完全に防げるわけではない

DoHそのものは、DNS通信を暗号化する仕組みです。

危険サイトのブロックは、利用しているDNSプロバイダがセキュリティフィルタリングを提供している場合に機能します。

つまり、次の2つは別のものです。

DoH：DNS通信の暗号化
セキュリティDNS：危険ドメインのブロック

DoHを有効にしただけで、すべての危険サイトを防げるわけではありません。

DoHは常に通常DNSより安全とは限らない

個人利用では、DoHによってDNSのプライバシーを高められることがあります。

しかし、企業や学校、家庭の管理環境では、DoHによってセキュリティ管理が難しくなる場合があります。

たとえば、社内DNSを迂回すると、危険サイトのブロックや社内ドメインの名前解決がうまく機能しない可能性があります。

DoHは便利な技術ですが、利用環境によってメリットとデメリットが変わります。

まとめ

DoHはDNS問い合わせをHTTPSで暗号化する仕組み

DNS over HTTPS（DoH）は、DNS問い合わせをHTTPSで暗号化して送受信する技術です。

従来のDNSでは、どのドメインにアクセスしようとしているかが通信経路上で見える可能性がありました。

DoHを使うことで、DNS問い合わせの内容を第三者から見られにくくできます。

DoHはプライバシー向上に役立つが万能ではない

DoHで守れるのは、主にDNS問い合わせの通信です。

DoHで守れるもの：
DNS問い合わせの内容
端末とDoHリゾルバ間の通信経路

DoHで守れないもの：
通信全体
接続先IPアドレス
Cookie
ログイン情報
完全な匿名性

そのため、DoHは匿名化技術ではなく、DNSのプライバシーを高めるための技術と理解するのが適切です。

利用環境に応じて設定することが重要

個人利用では、公共Wi-Fiや不審なDNS改ざんへの対策としてDoHは有効です。

一方で、会社、学校、家庭の管理ネットワークでは、DNSフィルタリングやペアレンタルコントロール、社内DNSと衝突する可能性があります。

DoHを利用する際は、次の点を確認することが大切です。

どのDoHプロバイダを使うのか
そのプロバイダのログポリシーはどうなっているか
会社や学校のポリシーに反しないか
家庭内のフィルタリングを回避しないか
DoHだけで匿名化できると誤解していないか

一言でまとめると、DoHは次のような技術です。

DNS over HTTPSは、DNS問い合わせをHTTPSで暗号化し、DNSのプライバシーと改ざん耐性を高める仕組みです。

ただし、通信全体を匿名化するものではなく、どのDNS事業者を信頼するかが重要になります。

以上、DNS over HTTPSとはなんなのかについてでした。

最後までお読みいただき、ありがとうございました。