DNSSEC とは何ですか? どのように機能しますか?

ブログ

DNSSEC とは何か、DNS インフラストラクチャをどのように保護するのか、DNS スプーフィングやその他のサイバー脅威から保護するために DNSSEC がなぜ重要なのかを説明します。

byMilena Baghdasaryan

読書時間 9
DNSSEC とは何ですか? どのように機能しますか?
目次-

DNSSEC (Domain Name System Security Extensions) は、ドメイン名を IP アドレスに変換するドメイン ネーム システム (DNS) に重要なセキュリティ レイヤーを追加します。ただし、DNS システムは、DNS スプーフィングやDNS キャッシュ ポイズニングなどのサイバー攻撃に対して脆弱です。その通りです。これらの攻撃により、ユーザーを悪意のある Web サイトにリダイレクトし、データの盗難や金銭的損失につながる可能性があります。

IDC の Global DNS Threat Reportによると、2022 年には 88% の企業が DNS 攻撃を受け、平均で 942,000 ドルの損害を受けたと報告しています。DNSSEC は、正当な Web サイトにのみ接続するようにすることで、こうした攻撃を防ぐのに役立ちます。

したがって、オンラインでのプレゼンスの安全性を維持することに懸念がある場合は、DNSSEC について知っておく必要のあるすべての情報をここに示します。

主なポイント

  1. DNSSECの実装は、DNSスプーフィングやキャッシュポイズニングなどの脅威から保護するために不可欠です。
  2. DNSSECは、DNSデータが正当なソースからのものであることを保証し、偽のウェブサイトへのリダイレクトを防止することで、信頼を高めます。
  3. GDPR、HIPAA、NISTなどのサイバーセキュリティ規制への準拠は、DNSSECを採用することで達成できます。
  4. DNSSECが提供するデジタル署名は、DNSレスポンスの完全性と信頼性を保証し、改ざんされたデータをブロックするのに役立ちます。
  5. DNSSECの実装が正しく機能していることを確認するには、DNSSECチェッカーツールの使用が推奨されます。

DNSSEC とは何ですか?

DNSSEC は、DNS にセキュリティ レイヤーを追加し、この情報が正確であり、攻撃者によって改ざんされていないことを確認します。DNSSEC は、さまざまな種類のサイバー攻撃から DNS を保護するセキュリティ機能を追加するように設計された DNS プロトコル拡張機能です。 

DNS はインターネットのディレクトリとして機能し、「example.com」などの名前を、コンピュータが接続に使用する IP アドレスに変換します。ただし、標準 DNS はセキュリティを最優先として構築されておらず、さまざまなサイバー攻撃に対して脆弱になるという間違いがありました

明確にしておきたいのは、DNSSEC はデータを暗号化するために設計されたものではなく、DNS 応答の正確性と信頼性を保証するためにのみ設計されたものであるということです。このため、DNSSEC はフィッシング攻撃、中間者攻撃、その他のセキュリティ脅威からユーザーと組織を保護するために必要なツールとなっています。

PowerDMARCでDNSSECを簡素化!

15日間のトライアルデモを予約する

サイバーセキュリティにおいてDNSSECが重要な理由

DNSSEC を採用する組織は、特定のサイバー攻撃から組織自身とユーザーを保護します。サイバー脅威は日々巧妙化しています。調査によると、攻撃を受けた企業の 88% のうち31% がブランドにダメージを受け、消費者がブランドへの信頼を失ったことが明らかになっています。これは、予防策を講じなければ、これがいかに壊滅的な結果をもたらすかを示しています。

DNSSEC を実装することは、進化する脅威から防御し、組織とそのクライアントの安全なデジタル環境を維持するための積極的なステップです。 

DNSSEC はどのように機能しますか?

DNSSECの仕組み

DNSSEC の仕組みを段階的に説明します。

1. DNSレコードにデジタル署名を追加する

ドメインが DNSSEC で保護されている場合、その DNS レコード (A、MX、TXT レコードなど) はデジタル署名されます。これらの暗号署名は、公開鍵暗号を使用して作成されます。DNSSEC を使用する場合、ドメイン所有者は暗号鍵のペアを生成します。

  • 秘密鍵は DNS データに署名し、DNSKEY レコードを作成するために使用されます。各レコードに一意のデジタル署名が生成されます。
  • DNSSEC では、ゾーン署名キー (公開キー) が DNS システムで公開されるため、誰でも DNS レコードのデジタル署名を検証できます。これにより、DNS 応答の暗号化認証とデータ整合性が保証されます。

2. DNSリゾルバがドメインを要求する

ユーザーが Web サイトにアクセスしようとすると、ユーザーのデバイスは DNS リゾルバにリクエストを送信し、DNS 名前空間内のドメイン名に関連付けられた IP アドレスを検索します。DNS 解決プロセスは、ユーザーがブラウザにドメイン名を入力すると開始されます。ブラウザは、通常 ISP によって管理される再帰リゾルバに再帰 DNS クエリを送信します。 

リゾルバに IP アドレスがキャッシュされていない場合、DNS ルート ネーム サーバー、トップレベル ドメイン (TLD) サーバー、権威ネーム サーバーなどの一連のサーバーにクエリを実行します。これらのサーバーは連携して正しい IP アドレスを見つけ、それを再帰リゾルバに送り返します。 

リゾルバは、この情報を将来の使用に備えてキャッシュし、IP アドレスをユーザーのブラウザに返して、Web ページを読み込むことができるようにします。権限のあるサーバーが情報を見つけられない場合は、エラー メッセージを返します。DNSSEC 対応ゾーンでは、このエラー メッセージに認証された存在証明の否定が含まれます。

3. デジタル署名の検証

DNS リゾルバは、ドメインで DNSSEC が有効になっているかどうかを確認します。有効になっている場合、リゾルバはキー ペアの公開キーを使用して、DNS レコードのデジタル署名を検証します。このシナリオには、次の 2 つのケースがあります。 

  • 署名が一致する場合、リゾルバは DNS データが本物であり、改ざんされていないことを認識します。 
  • 署名がまったく一致しない場合、リゾルバは応答を拒否します。これにより、ユーザーが悪意のある可能性のあるサイトに接続するのを防ぎます。 

DNS レコード名がわからない場合は、 DNS レコード チェッカーを使用して調べてください。

4. 信頼の連鎖

DNSSEC は、「信頼のチェーン」と呼ばれる概念に基づいて動作します。チェーンの最上位には、デジタル署名された DNS のルート ゾーンがあります。 

その後、DNS 階層の各レベル (例: ルート → .com → example.com) は、安全なチェーンを作成して、その下のレベルを検証します。これにより、すべての DNS 応答が権威のある DNS サーバーから送信されることが保証されます。 

5. 攻撃からの保護

最後に、DNSSEC は次のような攻撃からユーザーを保護します。 

  • DNS スプーフィング: 攻撃者がユーザーを偽の Web サイトにリダイレクトするのを防ぎます。これは、DNS 応答が本物であることを保証することによって行われます。
  • キャッシュ ポイズニング: 悪意のあるデータが DNS リゾルバーに保存されるのを防ぎます。

DNSSEC は何をするのですか?

DNSSEC は、DNS プロトコル データの改ざんを防ぐことでインターネットをより安全にします。ご存知のとおり、DNS はドメイン名を IP アドレスに変換しますが、情報の出所は検証しません。これにより攻撃のリスクが生じますが、DNSSEC はこれを解決できます。 

送信中に DNS データが変更されていないことを確認することで、改ざんを防止します。攻撃者が情報を変更しようとすると、DNSSEC がそれを検出し、応答をブロックします。これにより、ユーザーは安心して正しい Web サイトに接続できます。 

DNSSEC は、トラスト アンカーを基盤として使用して、DNS データが正しいソースから来ていることを確認します。これにより、ハッカーが権威あるネーム サーバーを装い、ユーザーを偽の Web サイトにリダイレクトすることが防止されます。さらに、これは特にセキュリティが最優先される銀行や医療などの業界では信頼を構築します。 

さらに、DNSSEC は最新のセキュリティ標準への準拠をサポートします。現在、多くの組織や政府は、サイバーセキュリティ規制を満たすために DNSSEC を義務付けています。また、DNSSEC は、オンライン アクティビティをさらに保護するために、企業がより高度なセキュリティ ツールを採用することを推奨しています。 

DNSSECの設定

ドメインで DNSSEC を有効にすることは、サイバー攻撃からドメインを保護するための重要なステップです。簡単なステップバイステップのプロセスで設定する方法は次のとおりです。

1. ドメインレジストラのDNS設定にアクセスする

まず、ドメイン名を登録したアカウントにログインします。次に、DNS設定のセクションに移動します。これは、A、CNAME、またはMXレコードのようなDNSレコードタイプを管理するアカウントの部分です。ほとんどのレジストラには、「DNSSEC」とラベル付けされた別のオプションがあり、簡単に見つけることができます。 

2. DNSSECを有効にする

DNSSEC をオンにするオプションを探します。レジストラによっては、DNSSEC を有効にするボタンやスイッチが用意されている場合もあります。DNSSEC を有効にすると、レジストラはドメインに固有の DNSSEC レコードを作成します。これらのレコードは、次の手順で必要になります。 

3. ドメインのDNS設定にDSレコードを追加する

DS レコード (委任署名者レコード) は、ドメインを DNSSEC システムにリンクする DNS レコードの一種です。DS レコードには、DNSSEC 設定を検証するキーやアルゴリズムなどの重要な情報が含まれています。 

レジストラから DS レコードをコピーし、このレコードを DNS 設定の「レコードの追加」オプションに貼り付けます。最後に、正しいレコードを貼り付けて保存したことを確認します。 

4. セットアップを確認する

DS レコードを追加したら、DNSSEC が正しく動作しているかどうかを確認します。そのためには、 DNSSEC チェッカーツールを使用する必要があります。多くのレジストラは、セットアップを確認するための組み込み検証ツールも提供しています。

使用するツールは DNSSEC 構成をテストし、エラーがあるかどうかを表示します。すべてが正しければ、ドメインは DNSSEC によって保護されていません。 

DNSSEC の課題と限界

DNSSECの限界

DNSSEC は DNS のセキュリティを強化しますが、課題がないわけではありません。次のような問題を理解することが重要です。

1. 実装の複雑さ

DNSSEC を設定するのは、特に DNS 管理にまったく慣れていない人にとっては、かなり面倒な作業です。そのため、設定に小さなエラーがあっても、DNS 解決に失敗する可能性があります。

2. DNS応答サイズの増加

DNSSEC は、DNS レコードにデジタル署名を追加します。これにより、DNS 応答のサイズが大幅に増加し、特に低速ネットワークや古いシステムではパフォーマンスの問題が発生します。Web サイトのパフォーマンス、特にDNS 解決時間は、競合他社への切り替えと比較して、サイトでの顧客維持に大きな影響を与えます。Googleの調査では、ページの読み込み時間とユーザーの直帰率の間には明確な相関関係があることが明らかになっています。ページの読み込み時間が 1 秒から 3 秒に増加すると、直帰の可能性は 32% に上昇し、5 秒に達すると、その可能性は 90% に急上昇します。最適なユーザー エクスペリエンスを得るには、DNS ルックアップに 100 ミリ秒未満、できれば 50 ミリ秒未満かかるのが理想的です。これにより、Web サイトのコンテンツがブラウザに読み込まれるのに 1 ~ 2 秒かかります。

webpagetest.org による cisco.com の分析は、この概念を示しています。cisco.com の最初の DNS ルックアップには 25 ミリ秒かかり、その後の www.cisco.comリダイレクトのルックアップにはさらに 33 ミリ秒かかります。これらの DNS 解決時間は、全体的な接続遅延とページ読み込み時間に影響し、ユーザー エクスペリエンスと潜在的な顧客エンゲージメントに直接影響します。

3. 広範囲にわたる導入の欠如

DNSSEC はメリットがあるにもかかわらず、世界中で使用されているわけではありません。APNICの 2023 年のレポートによると、世界中のドメインの約 40% のみが DNSSEC を実装しています。つまり、DNSSEC は安全でないドメインにアクセスしているユーザーを保護できないため、DNSSEC の全体的な有効性が低下します。

4. データの暗号化なし

DNSSECはデータの完全性と信頼性を保証しますが、DNSクエリや応答を暗号化しません。これは、DNSリクエストの内容が依然として攻撃者に閲覧可能であることを意味します。これは、ユーザーのプライバシーの一部が保護されないままであることを意味します。この問題を解決するために、企業はDNS over HTTPS(DoH)またはDNS overTLS(DoT)とともにDNSSECを使用することがよくあります。

5. DNS転送との互換性

DNSクエリをあるサーバーから別のサーバーに転送する DNS 転送は、DNSSEC と競合する場合があります。転送サーバーが DNSSEC 署名を検証しない場合、認証されていない応答が渡される可能性があります。これにより、システム全体のセキュリティが弱まります。

DNSSECを使用する利点

DNSSEC は、DNS のセキュリティと信頼性を強化するためにいくつかの利点を提供します。DNSSEC を使用する主な利点は次のとおりです。

1. サイバー攻撃から保護

DNSSEC は、DNS データが攻撃者によって変更または偽造されていないことを確認します。DNS レコードにデジタル署名することで、このセキュリティ対策はサイバー攻撃を防止します。この保護は、機密データを保護し、オンラインでの信頼を維持するために最も重要です。 

2. オンラインサービスへの信頼を高める 

DNSSEC を使用すると、ユーザーはアクセスする Web サイトが本物であることを確信できます。これは、信頼が不可欠な銀行、医療、電子商取引などの業界では特に重要です。DNSSEC は、ルート DNS ネーム サーバーから個々のドメインに至るまで信頼のチェーンを作成し、インターネット サービス全体の信頼性を高めます。 

金融機関にとって、DNSSEC は、特にオンライン バンキング取引の機密性を考慮すると、顧客と金融機関の両方を不正行為から保護する上で非常に重要です。電子商取引では、DNSSEC によって顧客が悪意のある Web サイトにリダイレクトされないようにし、顧客の財務情報を保護し、フィッシング攻撃を防止します。 

医療機関も DNSSEC から大きな恩恵を受けています。これは、オンライン医療サービスや医療記録における個人の健康情報を保護するための重要な保護層が追加されるためです。

3. 規制コンプライアンスをサポート

DNSSEC は、GDPR、HIPAA、NIST などのサイバーセキュリティ フレームワーク全体の規制コンプライアンスを組織が満たすために重要です。また、 SPF や DKIMなどの DNS リソース レコードを保護するため、 DMARC コンプライアンスにとっても重要です。

DNSSEC を実装することで、組織は堅牢なセキュリティ対策とデータ保護への取り組みを実証できます。これは、規制遵守プロセスの一環としての監査や評価の際に特に有益となる可能性があります。 

さらに、DNSSEC は、データのプライバシーと整合性にとって重要な懸念事項である DNS スプーフィングやキャッシュ ポイズニング攻撃の防止にも役立ちます。サイバー脅威が進化し続ける中、安全でコンプライアンスに準拠したインフラストラクチャを維持する上での DNSSEC の役割は、さらに顕著かつ重要になるでしょう。

4. 業務の中断を防ぐ

DNS へのサイバー攻撃は、Web サイトのダウンタイム、顧客の信頼の喪失、金銭的損失につながる可能性があります。DNSSEC の検証プロセスは、このような攻撃のリスクを軽減し、企業が中断のないサービスを維持するのに役立ちます。

最後の言葉

DNSSEC は、ドメインのセキュリティを向上させ、サイバー脅威から保護するための最も重要なツールの 1 つです。DNS データが本物であり、改ざんされないことを保証することで、信頼を構築し、ユーザーの安全を確保できます。

ウェブサイトやオンライン サービスを管理している場合は、ドメインを保護するために DNSSEC の実装を検討する必要があります。

すでにドメインに DNSSEC を実装している場合は、DNSSEC チェック ツールを使用して今すぐチェックしてください。無料でサインアップしてください

CTA

最新記事 by Milena Baghdasaryan(全て見る)
2025年に「SPFレコードが見つかりません」を修正する方法spf record not found ブログDMARCメールセキュリティ:ドメイン保護ガイド