キャッシュ DNS は、DNS クエリーを検証および認証することで、インターネットセキュリティにおいて重要な役割を果たします。フィルターとして機能するため、悪性の Web サイトへのアクセスを防止し、サイバー脅威に対するもう一つの層として機能します。
キャッシュ DNS は、ドメイン・ネーム・システム(DNS)から特定の Web サイトまたは Web ドメインの IP アドレス を見つける際の最初のステップになります。ユーザーがブラウザーに Web ドメインを入力すると、DNS リクエストまたは DNS ルックアップがキャッシュ DNS サーバー(DNS リゾルバー)に送信されます。キャッシュ DNS サーバーは通常、ユーザーのインターネット・サービス・プロバイダー(ISP)によって管理されます。キャッシュ DNS リゾルバーは、ローカルキャッシュに格納されたデータから IP 情報を返すか、検索を開始して他のネームサーバーに照会し、最終的に権威 DNS サーバーから情報を取得します。
DNS の概要とキャッシュ DNS の役割
DNS はインターネットの住所録であり、ドメイン名(Web サイトのドメイン名など)に対応するコンピューターアドレスに関する情報を提供します。「example.com」のような人間にとって認識可能な Web アドレスをユーザーがブラウザーに入力すると、DNS はそれに対応する IP アドレス(マシンが認識できる英数字の文字列)を検索します。DNS を使用すると、ユーザーは、数字の長い文字列ではなく、覚えやすい名前を使用して Web サイトを検索できます。
キャッシュ DNS は、ドメインに関連付けられた IP アドレスを取得してインターネットナビゲーションをシームレスにすることによってこのプロセスを容易にするメカニズムです。
権威 DNS サーバーとは
権威 DNS サーバーは、ドメイン名とその IP アドレスの正式なレコードを保持します。
さまざまなタイプの DNS サーバーがある理由
ブラウザーが Web ページをより迅速にロードできるようにするために、ドメイン・ネーム・システムは、1 台の中央サーバー上の巨大データベースに一極集中させるのではなく、世界中にある数千台の DNS サーバーを使用します。権威 DNS サーバーは、Web ドメインと IP アドレスに関する正式な情報を保持します。しかし、数百万台のデバイスや IT システムが毎日数兆もの DNS リクエストを生み出しているため、DNS トラフィックが多すぎ、権威 DNS サーバー 1 台では処理できません。そこで、負荷を軽減し、DNS プロセスを高速化するために、世界中の何千台ものキャッシュ DNS サーバーが最初の DNS リクエストを処理して適切な情報を探し出すようになっています。
キャッシュ DNS サーバーの役割とは
キャッシュ DNS サーバーは、2 つの重要な機能を実行します。
データのキャッシング。キャッシュ DNS サーバーは、過去の DNS リクエストに対する応答をキャッシュメモリーに格納し、DNS リクエストに迅速に応答できるようにします。これは特に、ユーザーが繰り返し訪問するサイトの DNS リクエストに役立ちます。キャッシュ DNS サーバーは、このデータを一定期間保存します。この期間は TTL(Time to Live)と呼ばれ、ドメイン所有者によって定義され、権威ネームサーバーとそのレコードという形で実装されます。
他の DNS サーバーの検索。キャッシュ DNS サーバー のキャッシュメモリーに要求された DNS 情報がない場合、ドメイン名を再帰的に処理し、キャッシュメモリーにその情報を保存している可能性のある他のネームサーバーや、特定のドメインの特定の DNS レコードを保持する権威 DNS サーバーに関する情報を持っている可能性のある他のネームサーバーに問い合わせます。
最終的に、キャッシュ DNS サーバーは IP アドレスをユーザーのデバイスに返し、正しい Web サイトまたはリソースをブラウザーまたはアプリケーションにロードできるようにします。
DNS プロセスの仕組み
ユーザーが Web ブラウザーにドメイン名を入力すると、Web ページのロードを可能にする正しい IP アドレスを見つけるために、いくつかの重要な手順を実行する必要があります。
- ユーザーのコンピューターが DNS クエリーを生成し、キャッシュ DNS サーバーに送信します。
- キャッシュサーバーのキャッシュに情報があれば、そのサーバーはただちに IP アドレスを返します。
- キャッシュメモリー内に IP アドレスに関する情報がない場合、DNS リクエストはキャッシュサーバーからルートネームサーバーに転送され、そこからルートドメイン(.com、.edu、.co.uk など)に基づいてトップレベル・ドメイン・サーバー( TLD サーバー)に転送されます。次に、TLD サーバーは特定の Web ドメインのレコードを保持する正しい権威 DNS サーバーに DNS リクエストを転送します。
- キャッシュ DNS サーバーが正しいアドレスを見つけると、ユーザーのデバイスに情報が返され、Web ページがブラウザーにロードされます。
すべてがうまく機能していれば、 DNS プロセス全体はわずか 1 秒ほどで完了します。単一の Web ページをロードしたり単一のサービスに到達したりするために数百もの名前を解決しなければならない場合があるため、DNS のパフォーマンスは重要です。
キャッシュ DNS サーバーのメリット
キャッシュ DNS サーバーを使用することの主な利点は、DNS 情報の検索プロセスが高速化することです。DNS が権威ネームサーバーだけに依存しているとしたら、システムは DNS リクエストによって生成されるトラフィック量を処理できないでしょう。世界中にある数千台のキャッシュ DNS サーバーがローカルに情報をキャッシュしていれば、DNS システムは 1 日あたり数兆もの DNS リクエストに効率的に対応できます。
キャッシュ DNS サーバーのデメリット
DNS システムはセキュリティを考慮して設計されていないため、さまざまなサイバーセキュリティ攻撃でキャッシュ DNS サーバーが侵害される可能性があります。
キャッシュ DNS サーバーに対する脅威
DNS サーバーはさまざまな方法で標的にされたり利用されたりする可能性があります。これには次のようなものがあります。
- サービス妨害攻撃。このキャンペーンは、DNS サーバーに膨大な量のトラフィックや DNS リクエストを送信することによって、DNS サーバーをスローダウンさせたりクラッシュさせたりします。
- 増幅攻撃。 増幅 はフラッド攻撃の一種です。ハッカーはマルウェアに感染したマシンのネットワーク(ボットネット)を使用して、大量の DNS クエリーを DNS サーバーに送信します。その結果、DNS サーバーが過負荷になり、処理速度が低下したりクラッシュしたりすることがあります。増幅攻撃では、ターゲットマシンに向けて非常に長い応答を生じさせる方法でハッカーが DNS リクエストを送り、攻撃の影響を増幅させます。
- キャッシュポイズニング。 DNS キャッシュポイズニング攻撃では、攻撃者はリゾルバーサーバーのキャッシュ内の正規 DNS 情報を悪性の Web サイトのアドレスに置き換えます。その結果、正当な Web サイトを探しているユーザーは、元のサイトと同じように見える完全に異なるサイトの IP アドレスを取得することになります。通常、ハッカーはこの方法を使用してユーザーを欺き、ログイン認証情報やアカウント番号などの機微な情報を盗み取ります。
- トンネリング。DNS トンネリング攻撃は、DNS を隠し通信チャネルとして使用し、ファイアウォールやネットワーク・セキュリティ・デバイスによる検知を回避しながら、機微な情報を窃取したり、IT ネットワーク内の侵害されたデバイスを制御したりします。
よくあるご質問(FAQ)
キャッシュ DNS と反復 DNS の微妙な違いを理解することが重要です。どちらも DNS 機能を提供しますが、アプローチが異なります。キャッシュ DNS はクライアントに代わってクエリーを完全に解決します。一方、反復 DNS はクライアントに照会を行い、独自に解決プロセスを続行します。
もちろんです。Google Public DNS や OpenDNS など、個人的に使用できるパブリックなキャッシュ DNS サーバーがたくさんあります。これらのサーバーを使用するようにデバイスを設定すると、オンラインアクティビティの速度とセキュリティの両方を向上させることができます。
キャッシュ DNS サーバーは大量のユーザーデータを処理するため、プライバシーに関する懸念が生じることがあります。ただし、DNS over HTTPS(DoH)などの対策を実施することで、クライアントとキャッシュ DNS サーバー間の通信を暗号化し、この問題を緩和できます。
キャッシュ DNS には、あらゆるテクノロジーと同様に多くの利点がありますが、リスクがないわけではありません。潜在的なリスクとして、DNS 増幅攻撃やプライバシーの問題があげられます。セキュリティ対策を実施し、ベストプラクティスに関する情報を常に把握することが、これらのリスクの緩和に役立ちます。
できます。キャッシュ DNS は企業環境に適用可能であり、速度とセキュリティの強化につながります。ただし、実装を成功させるためには、設定と潜在的なプライバシーの問題について慎重に検討することが重要です。
Akamai が選ばれる理由
Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバルエンタープライズが、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。