ビジネスのための DNS セキュリティ：その概要と重要性

この記事では、DNS(新しいウィンドウ) セキュリティとは何か、ビジネスにとって何を意味するのか、そして Proton VPN を使用することで、ビジネスに必要なDNS セキュリティ(新しいウィンドウ)をどのように提供できるかについて見ていきます。

ドメインネームシステム（DNS）は、人間にとって分かりやすいドメイン名を、コンピューターがウェブサイトやその他のインターネットリソースを識別するために使用する数値のIPアドレス(新しいウィンドウ)に変換します。したがって、DNS は仕事を含め、私たち全員がインターネットを使用する方法において重要な役割を果たしています。

残念ながら、DNS は1983年に発明されましたが、これはオンラインセキュリティの必要性が考慮されるずっと前のことでした。デフォルトでは、DNS リクエストは誰でも見ることができるプレーンテキストで送信され、悪意のあるドメインにリダイレクトするために簡単にハイジャックされます。この状況は個人のインターネットユーザーにとっても十分に危険ですが、ビジネスにおいては壊滅的な被害をもたらす可能性があります。

• DNS とは？
• ビジネスにおける DNS とプライバシー
• ビジネスにおける DNS とセキュリティ
• DNS セキュリティソリューション
• Proton VPN がビジネスの DNS を保護する方法
• 最後に：ビジネスにおける DNS 保護の重要性

DNS とは？

コンピューターは、インターネットに直接接続するすべてのデバイスを一意の数値 IP アドレスで識別します。古い IPv4 システムは8桁のアドレス（185.159.159.140 など）を使用しますが、これらは枯渇しつつあるため、新しい IPv6 規格では最大45文字の長さ（2001:db8::8a2e:370:7334 など）になる16進数システム（数字と文字の両方を含む）を使用します。

これはコンピューターにとっては素晴らしいことですが、人間にとってはそうではありません。人間は意味のある文字ベースのアドレス（ドメイン名）（protonvpn.com など）を覚える方がはるかに得意だからです。DNS により、人間は理解できるドメイン名を入力し、それをコンピューターが理解できる数値アドレスにマッピングすることができます。本質的に、DNS はドメイン名と IP アドレスを相互参照する電話帳のように振る舞います。

ドメイン名を入力すると（例えばブラウザの検索バーに）、DNS クエリが DNS サーバーに送信され、クエリが解決されます。つまり、ドメイン名が対応する IP アドレスに翻訳されます。

DNS の仕組みについて詳しく見る(新しいウィンドウ)

ビジネスにおける DNS とプライバシー

DNS は便利ですが、大きなセキュリティ上の問題を引き起こします。企業の DNS クエリにアクセスできる人物は、事実上、その全閲覧履歴を知ることになり、これにはオフィスネットワークを使用してインターネットに接続するすべてのスタッフメンバーの履歴も含まれます。

DNS と企業の ISP

デフォルトでは、DNSクエリはお客様のインターネットサービスプロバイダ(新しいウィンドウ)（ISP）によって解決されます。残念ながら、ISPは個人や企業のプライバシー保護を業務とはしていません。政府による大規模なスパイプログラムの多くは、ISPに顧客の閲覧履歴のログ保存を義務付けることに依存しています。そして、簡単かつ安価であるため、ほとんどのISPはDNSログのみを保存することで、こうした法的義務を果たしています。

一部の国（米国など）では、ISPが広告や分析目的で顧客のDNSレコードを使用または販売すること(新しいウィンドウ)さえ許可されています。

DNSと企業の監視

ほとんどのDNSクエリはプレーンテキストでDNSサーバーに送信されるため、それらを傍受できるあらゆる組織が、お客様の会社の全閲覧履歴を知ることになります。これには、会社の連絡先、取引先、サプライヤー、顧客、政府、交流のある保健安全規制機関などが含まれます。

このデータはすべて、競合他社にとって非常に価値のある情報となる可能性があります。

DNSと企業のセキュリティ

ハッカーは、企業の閲覧履歴を受動的に盗み見るだけでなく、DNSを悪用してさまざまな能動的な攻撃を行うことができます。これらの多くはDNSサーバー自体を標的としています（通常はサーバーに過負荷をかけることを目的とした様々な形式のサービス拒否攻撃(新しいウィンドウ)です）。しかし、自社でDNSサーバーを運用していない限り（一部の企業は運用していますが）、そのような攻撃がビジネスの脅威となる可能性は低いです。

ほとんどの企業にとって脅威となり得るDNSベースの攻撃には、以下のようなものがあります。

DNSスプーフィング

検索プロセスを高速化し、DNSサーバーの負荷を軽減するために、頻繁なクエリは多くの場合、DNSサーバー上にローカルに保存（キャッシュ）されます。DNSスプーフィング攻撃（DNSポイズニングとも呼ばれます）を実行するために、攻撃者は偽のDNSレコードをDNSサーバーのキャッシュに挿入します。

これは、中間者攻撃(新しいウィンドウ)（ユーザーのデバイスとDNSサーバー間のクエリを傍受する）またはキャッシュポイズニング(新しいウィンドウ)（DNSサーバーソフトウェアの脆弱性を悪用して悪意のあるエントリをキャッシュに注入する）によって行われます。

DNSキャッシュが汚染されると、ユーザーが正規のウェブサイトにアクセスしようとした際に、改ざんされたDNSレコードが攻撃者の管理する別のIPアドレスにユーザーをリダイレクトしてしまいます。フィッシング攻撃と同様に、これは通常、パスワードやクレジットカード情報が盗まれたり、会社のコンピューターにマルウェアがアップロードされたりする結果を招きます。

DNSトンネリング

機密データの持ち出し（盗難）を防ぐことを目的としたファイアウォールやその他のセキュリティ対策を回避するための企業の監視ツールとしてよく使用されるDNSトンネリングは、データをエンコードしてDNSクエリと応答内で送信できるようにし、事実上DNSインフラストラクチャを隠密な通信チャンネルとして使用します。

また、攻撃者が侵害されたシステムとの通信を維持し、検出されることなくコマンドを送信して出力を受信するために使用されることもあります。 DNSトンネリングは、DNSトラフィックが他の種類のトラフィックと比較してセキュリティデバイスによる精査が甘いことが多いという事実を悪用し、ファイアウォールやフィルタを回避する効果的な手法となっています。

DNSセキュリティソリューション

ほとんどのISPは、DNSセキュリティ対策を一切実施していません（そして一般的に、企業のプライバシー保護には関心がありません）。しかし、Cloudflare 1.1.1.1、Quad9、OpenNICなどのサードパーティDNSプロバイダーは、プライバシーとセキュリティをはるかに重視しています。これには、DNSをより安全にする技術の使用が含まれます。

プライベートDNS

プライベートDNS（暗号化済みDNSとも呼ばれます）は、DNS-over-TLS（DoT）、DNS-over-HTTPS（DoH）、またはDNSCryptセキュリティプロトコルを使用して、クエリを実行するデバイスとDNSサーバー間のDNSクエリを暗号化します。

これにより、ISP（または会社のインターネット接続を監視している他の誰か）がDNSクエリを見ることができなくなります。

プライベートDNSについてより詳しく(新しいウィンドウ)

プライベートDNSは、DNSクエリをプレーンテキストで送信するよりも明らかに大幅に改善されていますが、VPNサービスを使用するほどプライベートではありません。VPNサービスはDNSリクエストだけでなく、会社のすべての機密データを暗号化するため、ISPが企業のオンライン活動を見ることを完全に防ぎます。また、スタッフが訪問するウェブサイトから実際のIPアドレスを隠します。

DNSSEC

Domain Name System Security Extensions（DNSSEC）は、DNSにセキュリティの層を追加するために設計された仕様のスイートです。

DNSSEC:

• DNSクエリへの応答が本物であることを保証します。これは、DNSデータにデジタル署名を行い、それをクライアントが検証することによって行われます。これにより、データが改ざんされていないこと、および正当なソースからのものであることを確認できます。
• 転送中にデータが変更されていないことを保証します。これはDNSデータにデジタル署名することで行われ、中間者攻撃を防ぎ、誰かがデータを修正することを阻止します。 

Proton VPNが企業のDNSを保護する方法

企業のリソースを保護するためのゲートウェイIPアドレスを提供するだけでなく、Proton VPN for Businessは堅牢なDNSセキュリティも提供します。

• すべてのDNSリクエストは暗号化されたVPNトンネルを通じて送信され、独自の安全なDNSサーバーによって解決されます（そのため、プライベートDNSソリューションは不要です）
• DNSクエリ（およびその他のあらゆるもの）のログを記録することはありません   
• NetShield Ad-blocker機能は、広告、トラッカー、および（より詳細な制御のためにオプションで）マルウェアとして知られる悪意のあるドメインへのDNSクエリをブロックするDNSフィルタです 
• DNSサーバーはDNSSECを使用してDNSデータを認証します（NetShieldによってブロックされたドメインを除く。これらはそもそも解決されません）

最後に：企業におけるDNS保護の重要性

DNSセキュリティは見過ごされがちですが、セキュリティ体制を評価するあらゆる企業にとって重要な考慮事項であるべきです。実際、DNSトンネリングのような攻撃が存在するのは、企業のDNSクエリの保護に十分な注意が払われていないことが多いためです。

Proton VPN for Businessを使用すれば、すべてのDNSクエリが暗号化され、DNSログは保存されず、DNS解決はDNSSECを使用して認証されるため安心です。