DNS 过滤

本文约需 2 分钟阅读

DNS フィルタリングとは、端末がドメイン名を IP アドレスに変換する DNS クエリの 段階で、悪意あるサイトや不適切なコンテンツへのアクセスを遮断する技術です。 ブラウザが URL を開く前の最も早い段階でブロックするため、フィッシングサイトやマルウェア配布サイトへの 接続を未然に防げます。エンドポイントにソフトウェアをインストールする必要がなく、 DNS サーバーの設定を変えるだけで組織全体やネットワーク全体に適用できる 手軽さが最大の利点です。

DNS シンクホールの仕組み

DNS フィルタリングの中核技術が DNS シンクホール (DNS Sinkhole) です。 通常の DNS 解決では、クライアントの問い合わせに対して正しい IP アドレスが 返されますが、シンクホールではブロック対象のドメインに対して意図的に 無効な IP アドレスやブロックページの IP を返します。

ブロック対象のドメインリストは、脅威インテリジェンスフィードやコミュニティが 管理するブロックリストから自動更新されます。Pi-hole のようなセルフホスト型の DNS シンクホールでは、広告ドメインのブロックリストを追加してネットワーク全体の 広告ブロッカーとしても機能します。

主要な DNS フィルタリングサービス

フィッシング・マルウェアサイトのブロック

DNS フィルタリングが特に効果を発揮するのは、フィッシングサイトと マルウェア配布サイトの遮断です。メールに含まれる悪意あるリンクをクリックしても、 DNS の段階でブロックされるため、ブラウザがサイトに接続する前に遮断できます。ファイアウォールが IP アドレスやポート番号で通信を制御するのに対し、DNS フィルタリングは ドメイン名という人間が理解しやすい単位で制御できる点が運用上の強みです。

ただし、攻撃者がドメインを使わず IP アドレスを直接指定した場合や、 DNS フィルタリングを迂回する設定を端末側で行った場合は効果がありません。ファイアウォールやエンドポイントセキュリティと 組み合わせた多層防御が不可欠です。フィッシング対策の記事も あわせて参照してください。

子どものインターネット安全での活用

DNS フィルタリングは、家庭での子どものインターネット利用を安全にする 手段としても広く活用されています。ルーターの DNS 設定を Cloudflare 1.1.1.3 や OpenDNS Family Shield に変更するだけで、ネットワークに 接続するすべての端末でアダルトコンテンツや暴力的なサイトへのアクセスを 制限できます。端末ごとにペアレンタルコントロールソフトを入れる手間が 不要で、子どもが設定を解除しにくい点もメリットです。子どものインターネット安全の記事で 具体的な設定手順を解説しています。

DNS over HTTPS との関係

DNS over HTTPS (DoH) は DNS クエリを HTTPS で暗号化する技術で、プライバシー保護に有効ですが、 DNS フィルタリングとの間に緊張関係があります。ブラウザが独自の DoH リゾルバ (例: Cloudflare 1.1.1.1) を使用すると、ネットワーク管理者が 設定した DNS フィルタリングがバイパスされてしまうためです。

この問題に対処するため、NextDNS や Cloudflare Gateway のような サービスは DoH 対応の DNS フィルタリングを提供しています。暗号化された DNS クエリに対してもフィルタリングを適用でき、プライバシーとセキュリティを 両立させます。企業環境では、グループポリシーで DoH の宛先を組織の DNS フィルターに固定する運用が一般的です。公衆 Wi-Fi セキュリティの記事では、 外出先での DNS 保護についても触れています。

よくある誤解

「DNS フィルタリングを入れれば安全」と考えるのは危険です。DNS フィルタリングは あくまで多層防御の一層であり、DNS スプーフィングへの 耐性はありません。また、ブロックリストに登録されていない新規の悪意あるドメインは 素通りします。リアルタイムの脅威検知にはEDR や次世代ファイアウォールとの 併用が必要です。

ネットワークセキュリティの関連書籍は Amazonでも探せます。