DNSとは?その仕組み

DNS(ドメイン ネーム システム)とは、数字の組み合わせであるIPアドレス(173.194.39.78など)を、コンピュータやその他の接続デバイスで人が読み取り可能なドメイン名(www.google.comなど)に変換するシステムです。

DNSは、インターネットのディレクトリとして機能し、人が扱いやすいドメイン名を機械が読み取り可能なIPアドレスに変換します。ユーザーがブラウザでウェブサイトアドレスを入力すると、そのサイトへのアクセスリクエストが発生します。DNSの役割は、テキストベースのURLを、コンピュータがウェブコンテンツの検索と配信に使用する特定のIPアドレスに対応付けることです。

つまり、ネットワーク機器は言葉ではなく数値識別子(IPアドレス)を使用して通信するため、DNSは必要な名前から数字への変換を解決します。ウェブページの閲覧、メールの送信、またはドメイン名の解決を必要とするオンライン活動を行うたびに、DNSプロトコルによってデジタルリクエストがインターネットと呼ばれる広大なネットワーク上の正しい宛先に到達することが保証されます。

サイバーセキュリティ教育とトレーニングを始めましょう

無料トライアルを始める

無料トライアルのお申し込み手順

  • 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
  • 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
  • プルーフポイントのテクノロジーを実際にご体験いただきます。
  • 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。

フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。

Proofpointの担当者がまもなくご連絡いたします。

DNSサーバーとは?

DNSサーバーとは、ドメイン名とIPアドレスを関連付けるデータベースを保持するよう構成されたシステム内のマシンを指します。DNSサーバーには、権威サーバーとリカーシブサーバー(再帰的サーバー)という2つの主要なタイプがあります。

権威サーバーは、1つまたは複数のドメインに対して決定的な制御権を持ち、これらに関する回答を直接提供します。権威サーバーは、その管理下にあるすべてのリソースについて、最新で正確な情報を提供する責任を負っています。

リカーシブサーバーは、パソコンやスマートフォンなどのクライアントマシンからクエリを受け取ります。特定のホスト名の変換方法が不明な場合、階層の異なるレベルにある権威サーバーに問い合わせます。十分なデータを取得すると、クエリを送信したデバイスに応答します。DNSサーバーは、ユーザーのデバイスと権威ソース間のやり取りを簡略化し、ユーザー体験を向上させます。

DNSの歴史

インターネット黎明期には、ウェブサイトにアクセスする唯一の方法は、ブラウザウィンドウにその長い数字の羅列であるIPアドレスを入力することでした。1980年代初頭、アメリカのコンピュータ科学者ポール・モカペトリスと同僚のジョン・ポステルが、IPアドレスをドメイン名に自動的にマッピングするシステムを開発し、DNSが誕生しました。この同じシステムが、今日のインターネットのバックボーンとしていまだに機能しています。[2]

DNSサーバーの種類

DNSは「インターネットの電話帳」と呼ばれています。例えば、「ニューヨーク・タイムズ」をオンラインで読みたい場合を考えてみましょう。ブラウザにドメイン名「www.nytimes.com」を入力すると、そのニュースサイトのフロントページが表示されます。その後、「ビジネス」「スポーツ」「オピニオン」といったタイトルのリンクをクリックするか、それぞれ独自のドメイン名とIPアドレスを持つ特定の記事に移動することができます。コンピュータ画面の裏では、クエリが以下の順序でインターネット上の複数のサーバーに送信されます。

  • リカーシブ リゾルバ サーバー:DNSクエリが開始されると、最初にリカーシブ リゾルバ サーバーに到達します。このサーバーは、ドメイン名をIPアドレスに変換する最初のリクエストを受け付けるインターネットのコンシェルジュのようなものです。サーバーが以前に同じドメインを解決したことがある場合は、キャッシュ機能のおかげで素早く回答できます。そうでない場合は、必要な情報を取得するために階層を上に向かって進みます。
  • ルートネームサーバー:ルートネームサーバーは、DNSルックアップのグローバル参照ポイントとして機能し、読み取り可能なホスト名を数値のIPアドレスに変換する上で基本的な役割を果たします。一意のルートゾーン ネーム サーバーアドレスは13個しかありませんが、それぞれがエニーキャスト アドレスを使用して世界中の様々な場所に戦略的にミラーリングされており、応答の堅牢性と信頼性を確保しています。
  • TLDネームサーバー:TLD(トップレベルドメイン)ネームサーバーは、.comや.orgなどのトップレベルドメインや、.ukや.jpなどの国別コードによって分類された名前空間の特定の部分の管理者として機能します。ここで、これらの区分内でさらに検索を絞り込みます。TLDに関連するホスト名の一部が与えられると、より正確な権威ソースを指し示すことで、より近い場所に案内します。
  • 権威ネームサーバー:最後に、権威ネームサーバーに到達することは、データの具体性において大当たりを引くことを意味します。これらは個々のドメインの決定的な記録を保持しており、Aレコード(アドレス)、MXレコード(メール交換)などの必要な詳細情報を含んでいます。これにより、特定のドメイン名と対応するIPアドレスをクエリ元に返します。[3]

DNSサーバーとリカーシブDNSサーバーの違い

DNSサーバーとリカーシブ DNSサーバーは、どちらもインターネットのドメイン名解決プロセスにおいて不可欠なコンポーネントですが、そのシステム内での役割は異なります。

DNSサーバー

DNSサーバーは通常、ドメイン名のサブセットに関する特定のデータを含む権威ネームサーバーです。要求されたホスト名に関連するIPアドレスを応答することで、DNSルックアップチェーンの最後の情報を提供します。基本的に、これらのサーバーは、「特定の本」(ドメイン名)とその対応する「場所」(IPアドレス)を正確に知っている図書館員のような役割を果たします。

リカーシブDNSサーバー

対照的に、リカーシブ DNSサーバーはドメインに関するデータ自体は保持していません。代わりに、権威サーバーが回答を与えるまで一連のリクエストを通じてクエリを解決するため、クライアントの代わりに動作します。情報のリクエストを受け取り、必要な回答を見つけるために他のソースに問い合わせる役割を果たします。また、同じホスト名に対する将来のリクエストに対して、すべてのステップを再度実行することなく、より迅速に回答できるようにレスポンスをキャッシュします。

これら2つのDNSサーバーの主な違いは機能にあります。権威DNSは保存された記録に基づいて直接質問に答えるのに対し、リカーシブは最初の問い合わせを受け取り、必要に応じて他のサーバーから回答を取得する準備を行います。

DNSのセキュリティ

DNSにはいくつかの潜在的なセキュリティ上の問題があります。このシステムは非常に広く使用されているため、どのようなDNSの障害も理論的には壊滅的な影響を及ぼす可能性があります。DNSの共同開発者であるモカペトリスは、2016年にテクノロジー誌「TechTarget」のインタビューで、これが大きな懸念事項だと述べています。[4] 世界中の何十億もの機器がDNSによって接続されており、さらに何十億もの機器がまもなくIoT(モノのインターネット)によって接続されるだろうとモカペトリスは述べています。

パンデミックが最も深刻な時期には、脅威アクターは世界的なCOVID-19パンデミックの中、在宅勤務をする人々のDNS設定を攻撃しました。攻撃者はLinksysルーターのDNS設定を変更し、パンデミックに関する情報を含むポップアップメッセージが表示される正規のウェブサイトに見えるサイトにユーザーを誘導しました。しかしセキュリティ研究者によると、ユーザーがクリックすると、偽のコロナウイルス関連アプリがダウンロードされ、さまざまな悪意のある活動が実行されたとのことです。[5]

FBIのインターネット犯罪苦情センター(IC3)は2020年3月、標的のコンピュータにマルウェアをダウンロードするリンクを含むCOVID-19関連のオンライン詐欺に注意するよう公衆に警告しました。これらの詐欺は、慈善寄付の募集、航空券の払い戻し、偽のCOVID-19治療薬や偽の検査キットの提供など、個人情報を取得するために設計された様々な手口を使用しています。

DNSルックアップ

DNSルックアップは、ドメイン名をIPアドレスに変換する重要なプロセスで、ブラウザがウェブリソースを読み込めるようにします。以下は、この変換プロセスの始めから終わりまでのステップバイステップの説明です。

  1. ユーザークエリの開始: DNSルックアッププロセスは、ユーザーがウェブブラウザにドメイン名を入力するか、インターネット アクセスを必要とするアクションを開始したときに始まります。このクエリは、人が読みやすいドメイン名をIPアドレスに変換する必要性を示します。
  2. リカーシブ リゾルバ サーバーの問い合わせ: ユーザーのデバイスは、通常インターネット サービス プロバイダー(ISP)が提供するリカーシブ リゾルバ サーバーにリクエストを送信します。その役割は、以前のルックアップからキャッシュに回答がない場合、クライアントに代わってウェブサイトのIPアドレスを取得し、後続の段階を案内する仲介者として機能することです。
  3. ルート ネーム サーバーの指示: 必要なデータがキャッシュにない場合、リカーシブ リゾルバは、エニーキャスト ネットワークを介して世界中に分散・複製された13のルートネームサーバーの1つに問い合わせます。これらはDNS階層の最上位で機能し、拡張子(.com、.orgなど)に基づいて適切なTLDサーバーを指し示し、ホスト名の次の部分をどこで検索すべきかを指示します。
  4. TLDサーバーの照会: ルートサーバーから指示を受けた後、.netや.ukなどの特定のサフィックスの下でドメインを管理するTLDサーバーに探索が続きます。これらは、それらのゾーン内で要求されたホスト名に関連する実際のデータを保持する権威ネームサーバーの詳細を保持しています。
  5. 権威ネームサーバーの解決: TLDによって照会され、エンドゲームに近づくにつれて、関連する権威ネームサーバーに直接アクセスします。権威ネームサーバーは、関連するドメイン空間に関する回答を提供する完全な制御権を持っています。このサーバーは、クエリを行うクライアントと宛先ホストマシン間の通信設定を可能にする、必要不可欠なIPマッピングを取得する前の最後の停止点です。
  6. IPアドレス応答の返信: 解決が成功すると、権威サーバーは元の入力されたテキストベースのURLにリンクされた正しい数値識別子を詳述する有効な記録を返し、これが最初のリクエスト元(ユーザーのデバイス自体)に到達するまでラインを下って伝達され、ループが完了し、意図されたネットワークリソースへのアクセスが可能になります。
  7. 効率化のためのキャッシング: 同じ宛先に関する将来の問い合わせの速度を向上させるため、解決されたアドレスは経路に関与する仲介者、特にリカーシブリゾルバのローカルキャッシュに一時的に保存されます。これにより、TTL値が更新の必要性を示さない限り、チェーン全体をバイパスすることで、繰り返しの訪問がはるかに迅速な体験となります。

DNSルックアップの各ステップは、ユーザーがウェブサイトに迅速にアクセスするための重要な仕組みを構成します。このシステムは、日々のオンライン操作で当たり前のように考えている接続性を維持するため、舞台裏でスムーズに動作しています。

最適なDNSサーバー

最適なDNSサーバーを選択する際は、速度、信頼性、セキュリティ機能、プライバシーポリシーを考慮してください。平均以上のDNSサーバーは、ISPが提供する標準的なオプションと比較して、これらの分野でパフォーマンスが向上していることが多いでしょう。以下に主要な選択肢を挙げます。

  • Google Public DNS: 速度と堅牢なインフラストラクチャで知られ、レイテンシーを改善してブラウジング エクスペリエンスを向上させたいユーザーの定番の選択肢です。
  • Cloudflare: プライバシーとパフォーマンスを優先し、CloudflareのDNSサービス1.1.1.1はIPアドレスを記録せず、多くの競合他社よりも高速なアクセス時間を約束します。
  • Quad9: セキュリティはQuad9の強みです。フィッシングやマルウェア配布で知られる悪意のあるドメインをブロックしながら、高速性の高い基準を維持します。
  • OpenDNS: シスコシステムズ社が所有するOpenDNSは、カスタマイズ可能なフィルタリング オプションを提供し、インターネット ナビゲーションの安全対策をより細かく制御したい人に最適です。

DNSサービスを選択する際に注目すべき機能:

  • 高速な応答時間
  • 高いアップタイム保証
  • 組み込みのセキュリティ対策(フィッシング詐欺からの保護など)
  • プライバシーの保証(最小限のデータログ記録)
  • ペアレンタル コントロールとカスタマイズ性

適切な選択は、セキュリティ重視か速度重視か、といったあなたの優先順位によって決まります。上記の各オプションは、今日の混雑したサーバー分野において、さまざまな面で実力を証明している優れた選択肢です。


 

資料

DNS Made Easy (2019). “What Is DNS? The glue that holds the Internet together.”
Cloudflare. “What is DNS? How DNS works.”
Margie Semil of TechTarget (January 2016). “DNS challenges have changed, but it’s vital role hasn’t.”
Shannon Vavra, Cyberscoop (March 2020). “Hackers are messing with routers’ DNS settings as telework surges around the world.”
Federal Bureau of Investigation (FBI) (March 2020). “FBI sees rise in fraud schemes related to the coronavirus (Covid-19) pandemic.”

 

[1] Cloudflare.com
[2] Cloudflare.com
[4] Shannon Vavra, Cyberscoop. “Hackers are messing with routers’ DNS settings as telework surges around the world” March 2020.
[5] Shannon Vavra, Cyberscoop. “Hackers are messing with routers’ DNS settings as telework surges around the world” March 2020.

無料トライアル

まずは無料のトライアルをお試しください