セキュアDNSとは？ VPNとは何が違うの？

VPNの導入を検討していると、セキュアDNSやプライベートDNSという言葉が出てくることがあります。そもそもDNSとは何でしょうか。この記事では、従来のDNSとセキュアDNSは何が異なるか、VPNとは何が違うのかについて、わかりやすく解説しています。

セキュアDNSの特徴とは

従来のDNSの概要と問題点、セキュアDNSのメリットとデメリットについて解説します。

DNSとは

「DNS（Domain Name System）」とは、「IPアドレス」と「ドメイン名」を相互に変換する、電話帳のようなシステムです。

「IPアドレス（Internet Protocol Address）」とは、「192.168.2.1」のような数字で、インターネット上の住所を表しています。

「ドメイン名」とは、「www.example.com」などの、人間にとって覚えやすい文字列となっています。

IPアドレスとドメインの紐づけは、1対1、多対1、1対多、多対多のいずれのパターンもあります。

ブラウザにドメイン名を入れてWebページが表示されるのは、背後でDNSによってIPアドレスに変換されているためです。

DNSの問題点

DNSはインターネットを支える基盤システムですが、1983年に開発された古い技術のため、様々な問題を抱えています。

セキュリティやプライバシーの問題

DNSクエリの盗聴

DNSの通信は通常、暗号化されていないため、第三者がその内容を読み取ることができます。

ユーザーの通信履歴が漏洩し、プライバシー侵害のリスクがあります。

中間者攻撃 Man in the Middle Attack

攻撃者が通信に介入し、DNSの通信を改ざんすることで、ユーザーを偽サイトに誘導する攻撃です。

ユーザーがフィッシング詐欺にあったり、個人情報が盗まれたりするリスクがあります。

DNSキャッシュポイズニング DNS Spoofing

攻撃者がDNSサーバーのキャッシュに偽の情報を忍び込ませ、ユーザーを別のIPアドレスに誘導する攻撃です。

中間者攻撃と同じ様に、フィッシング詐欺にあったり、個人情報が盗まれたりするリスクがあります。

中間者攻撃が応答メッセージを改ざんするのに対し、キャッシュポイズニングは元データを改ざんするという点が異なります。

DNSトンネリング DNS Tunneling

DNSプロトコルを悪用して、セキュリティブロックを回避し、データを外部に転送する方法です。

データ漏洩や不正アクセスのリスクがあります。

DNSリフレクションアンプ攻撃 DNS Amplification Attack

DNSに問い合わせをすると、問い合わせをしたIPアドレスに結果を返すことを利用して、攻撃対象のIPアドレスに偽装して大量に問い合わせることで、対象のIPアドレスに膨大な通信トラフィックを発生させる攻撃です。

ターゲットのサーバーやネットワークが過負荷状態となり、サービス停止となるリスクがあります。

信頼性や管理の問題

単一障害点 Single Point of Failure

特定のDNSサーバーがダウンすると、そのサーバーに依存しているすべてのドメインがアクセス不能になるリスクがあります。

サービス停止や、ウェブサイトのダウンタイムが発生します。

通信速度のボトルネック

DNSサーバーの応答時間が遅いと、ユーザーの通信速度全体を低下させます。

管理の難易度

DNSの管理には高度な知識が必要で、設定を間違える可能性も高いです。

正常な通信ができなかったり、セキュリティホールとなったりします。

セキュアDNSのメリットとデメリット

セキュアDNSとは、DNSのセキュリティ対策を強化した技術やプロトコル（規格）のことを指します。

しかし、管理の複雑さや速度については、むしろ悪化している面もあります。

メリット

プライバシー保護

通信を暗号化し、第三者による盗聴を防ぎます。

セキュリティ強化

新しい通信方式や適切なキャッシュ管理により、各種攻撃に対する防御力を高めます。

整合性確認

デジタル署名により、データが正当なものかを確認します。

デメリット

パフォーマンス低下

データの暗号化やデジタル署名の検証などの処理が必要となるので、より応答時間が長くなる可能性があります。

管理コストの増加

セキュアDNSの設定と管理には、より専門的な知識が必要となります。

また、「鍵」や「ゾーン署名」など、今まではなかった管理作業も追加されます。

互換性の低下

セキュアDNSは、古いシステム・機器・アプリがまだ対応していないことがあります。

一部のユーザーが正常に通信できなかったり、セキュリティ機能を利用できなかったりします。

集中管理による懸念

セキュアDNSは、特定の事業者のサーバーを経由します。

これらの事業者にデータが集まることに対する懸念があります。

規制の回避

セキュアDNSは、個人のセキュリティやプライバシー保護を強化しますが、管理者からすれば、フィルタリングや検閲をすり抜ける手段ともなり得ます。

国や組織によっては、逆に問題となる場合もあります。

セキュアDNSとVPNの違いとは

セキュアDNS、プライベートDNS、VPNについて、それぞれ比較を行ないます。

セキュアDNSの種類

セキュアDNSには、主に次の3つの技術があります。

それぞれの特徴をご紹介します。

DNSSEC（DNS Security Extensions）

「DNSSEC」は、DNSデータの改ざん防止と、データの整合性保証を目的とした機能です。

1999年に提案され、2005年に標準化されました。

DNSにデジタル署名を追加することで、これらの機能を実現しています。

DNSサーバー側の実装の話であり、ユーザー側が特に意識する必要はありません。

DoH（DNS over HTTPS）

「DoH」は、DNSクエリの通信を暗号化し、プライバシー保護することを目的とした機能です。

2018年に標準化されました。

HTTPSトラフィックに混ざるため、DNSトラフィックだとは識別しにくくなっています。

DNSサーバー側と、ブラウザ側での実装が必要となります。現在、主要なブラウザはほぼDoHをサポートしています。

DoT（DNS over TLS）

「DoT」も、DNSクエリの通信を暗号化し、プライバシー保護することを目的とした機能です。

2016年に標準化されました。

DoHと異なり、専用の通信ポートを使用するので、DNSトラフィックだと簡単に識別することができます。これはネットワーク管理者にとってはメリットとなります。

また特定のアプリではなく、ネットワーク全般を保護するため、OSやルーターなどのレベルで設定されます。

比較

セキュアDNSの違いを表にまとめると、以下のようになります。

DNSSECとDoH、DNSSECとDoTは併用されますが、通常DoHとDoTが併用されることはありません。

セキュアDNSとVPNの違い

セキュアDNSは、DNSクエリとレスポンスのセキュリティを強化するための技術です。通信を暗号化し、データの整合性を保証します。

VPNは、ユーザーとVPNサーバー間の通信を暗号化する技術です。IPアドレスがVPNサーバーのものに置き換わることで、コンテンツの地理的制限を回避するためにも使用されます。

セキュアDNSとVPNは併用することで、さらにセキュリティを高めることができます。

商用VPNサービスには、DNS機能が含まれていることも多いです。

セキュアDNSとプライベートDNSの違い

「プライベートDNS」とは、特定の組織や個人の間でのみ使用されるDNSのことです。

DNSを利用するということは、自分がどのWebサイトを閲覧しているのかが、DNSサーバーの管理者に伝わるということを意味します。

プライベートDNSを利用することで、プライバシーを保護することができます。

セキュアDNSは技術的な問題ですが、プライベートDNSは運用の問題です。

商用VPNサービスが、セキュアDNSかつプライベートDNSを提供していることもあります。

無料で使えるセキュアDNSはある？

セキュアDNSを提供している代表的な事業者をご紹介します。

• Cloudflare： 1.1.1.1
• Google Public DNS： 8.8.8.8
• Quad9： 9.9.9.9

おすすめのセキュアDNS+VPNサービスは？

よりセキュリティを高めるには、無料ではなく有料サービスを利用することが重要となります。

おすすめは、業界最高速のVPNと、セキュアDNSがセットになった、NordVPNです。

暗号化されたプライベートDNSと、世界111ヶ国に設置されたVPNサーバーによって、位置情報やどのサイトにアクセスしたかなどの履歴を、完全に保護しています。

基本的な料金は以下の通りです。

• 1ヶ月プラン：1,960円/月
• 1年プラン：690円/月
• 2年プラン：550円/月

まとめ セキュアDNSとは