DNS フィルタリングとは

この記事は約 2 分で読めます

DNS フィルタリングとは、端末がドメイン名を IP アドレスに変換する DNS クエリの段階で、悪意あるサイトや不適切なコンテンツへのアクセスを遮断する技術です。ブラウザが URL を開く前の最も早い段階でブロックするため、フィッシングサイトやマルウェア配布サイトへの接続を未然に防げます。エンドポイントにソフトウェアをインストールする必要がなく、 DNS サーバーの設定を変えるだけで組織全体やネットワーク全体に適用できる手軽さが最大の利点です。

DNS シンクホールの仕組み

DNS フィルタリングの中核技術が DNS シンクホール (DNS Sinkhole) です。通常の DNS 解決では、クライアントの問い合わせに対して正しい IP アドレスが返されますが、シンクホールではブロック対象のドメインに対して意図的に無効な IP アドレスやブロックページの IP を返します。

ブロック対象のドメインリストは、脅威インテリジェンスフィードやコミュニティが管理するブロックリストから自動更新されます。Pi-hole のようなセルフホスト型の DNS シンクホールでは、広告ドメインのブロックリストを追加してネットワーク全体の広告ブロッカーとしても機能します。

主要な DNS フィルタリングサービス

フィッシング・マルウェアサイトのブロック

DNS フィルタリングが特に効果を発揮するのは、フィッシングサイトとマルウェア配布サイトの遮断です。メールに含まれる悪意あるリンクをクリックしても、 DNS の段階でブロックされるため、ブラウザがサイトに接続する前に遮断できます。ファイアウォールが IP アドレスやポート番号で通信を制御するのに対し、DNS フィルタリングはドメイン名という人間が理解しやすい単位で制御できる点が運用上の強みです。

ただし、攻撃者がドメインを使わず IP アドレスを直接指定した場合や、 DNS フィルタリングを迂回する設定を端末側で行った場合は効果がありません。ファイアウォールやエンドポイントセキュリティと組み合わせた多層防御が不可欠です。フィッシング対策の記事もあわせて参照してください。

子どものインターネット安全での活用

DNS フィルタリングは、家庭での子どものインターネット利用を安全にする手段としても広く活用されています。ルーターの DNS 設定を Cloudflare 1.1.1.3 や OpenDNS Family Shield に変更するだけで、ネットワークに接続するすべての端末でアダルトコンテンツや暴力的なサイトへのアクセスを制限できます。端末ごとにペアレンタルコントロールソフトを入れる手間が不要で、子どもが設定を解除しにくい点もメリットです。子どものインターネット安全の記事で具体的な設定手順を解説しています。

DNS over HTTPS との関係

DNS over HTTPS (DoH) は DNS クエリを HTTPS で暗号化する技術で、プライバシー保護に有効ですが、 DNS フィルタリングとの間に緊張関係があります。ブラウザが独自の DoH リゾルバ (例: Cloudflare 1.1.1.1) を使用すると、ネットワーク管理者が設定した DNS フィルタリングがバイパスされてしまうためです。

この問題に対処するため、NextDNS や Cloudflare Gateway のようなサービスは DoH 対応の DNS フィルタリングを提供しています。暗号化された DNS クエリに対してもフィルタリングを適用でき、プライバシーとセキュリティを両立させます。企業環境では、グループポリシーで DoH の宛先を組織の DNS フィルターに固定する運用が一般的です。公衆 Wi-Fi セキュリティの記事では、外出先での DNS 保護についても触れています。

よくある誤解

「DNS フィルタリングを入れれば安全」と考えるのは危険です。DNS フィルタリングはあくまで多層防御の一層であり、DNS スプーフィングへの耐性はありません。また、ブロックリストに登録されていない新規の悪意あるドメインは素通りします。リアルタイムの脅威検知にはEDR や次世代ファイアウォールとの併用が必要です。

ネットワークセキュリティの関連書籍は Amazonでも探せます。