用語集 › 🔒 セキュリティ › DNSSEC
【でぃーえぬえすせっく】

DNSSEC とは?

💡 DNSの「嘘の回答」を見破る仕組み
📌 このページのポイント
DNSSEC - 信頼の連鎖 署名検証の連鎖(Chain of Trust) Root DNS .(ルート) 🔑 ルート鍵 署名 TLD DNS .jp / .com 🔑 TLD鍵 署名 権威 DNS example.jp 🔑 ゾーン鍵 上位が下位の鍵を署名 → 信頼が連鎖する DNSクエリの流れ クライアント example.jp? リゾルバ 署名を検証 応答+署名 RRSIG付き 検証OK 改ざんなし DNSSECがない場合: 応答が改ざんされても検知できない(DNSキャッシュポイズニング等) DNSSECがある場合: 電子署名で応答の正当性を証明 → 改ざんを検知できる
DNSSECのイメージ
ひよこ ひよこ

なんでDNSセキュリティが必要なの?

ペンギン先生 ペンギン先生

通常のDNSは「応答が本物か偽物か」を検証する仕組みがないんだ。攻撃者がDNSの応答を偽造して「銀行のサイトはこのIPだよ」と嘘の回答を返すと、ユーザーは偽サイトに誘導される。これがDNSキャッシュポイズニングで、DNSSECはこれを防ぐんだよ

ひよこ ひよこ

どうやって偽物を見分けるの?

ペンギン先生 ペンギン先生

DNSの各レコードに電子署名(RRSIG)を付与するんだ。DNSSECに対応したリゾルバは、署名を公開鍵で検証して「この応答は正規のDNSサーバから来たもので改ざんされていない」と確認する。署名が合わなければ「偽の応答だ」と判断して破棄するよ

ひよこ ひよこ

普及してるの?

ペンギン先生 ペンギン先生

ルートDNSや主要なTLD(.com、.jp等)はDNSSEC対応済みだけど、個々のドメインの対応率はまだ低い。設定の複雑さや鍵管理の負荷が課題だよ。ただし金融機関や政府機関では導入が進んでいて、今後さらに普及が期待されているんだ

ひよこ ひよこ

DNS over HTTPSとの違いは?

ペンギン先生 ペンギン先生

DNSSECは「応答の真正性(改ざんされていないか)」を保証する。DNS over HTTPS(DoH)は「通信の暗号化(盗聴されないか)」を保証する。役割が違うから、両方使うのが理想的なDNSセキュリティだよ。DNSSECで改ざん防止+DoHで盗聴防止、という二重の防御だね

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「DNSSEC」って出てきたら「DNSの回答が本物かどうか検証するセキュリティ技術」と思えればだいたいOK!
📖 おまけ:英語の意味
「DNS Security Extensions」 = DNSセキュリティ拡張
💬 通常のDNSには認証機能がなく、偽の応答を見分けられない。その弱点を補うために作られたよ
🔗 あわせて読みたい
← 用語集にもどる