DNSフィルタリングとWebフィルタリングの違いとは

どちらのコンテンツ・フィルタリング・ポリシーも、基本的には同じサイバーセキュリティー目標、つまり悪意のあるWebサイトやその他の悪意のある行為者による有害なコンテンツからユーザー（およびそのシステム）を保護することを目指しています。各アクセス制御形式は、関連性はあるものの個別の機能を実行するために、異なる方法で構築されています。

DNSフィルタリングはドメイン・ネーム・システム（DNS）に基づいており、潜在的に危険なWebサイトがアクセスされる前に傍受することを目的としています。Webフィルタリングは、悪意のあるサイトを検知するだけでなく、そのようなサイトとその手法の分析検査も実行する、より豊富でより徹底して開発されたセキュリティー対策を意味します。

先に進む前に、両方のタイプのフィルタリングによって、まさにどのような種類のWebコンテンツが積極的に検知されて除外されるのかを確認してみましょう。

かつて「不適切なコンテンツ」とは「アダルトコンテンツ」を指し、これは従来、性的なコンテンツを指すものでした。近年の傾向では、この包括的な用語は、ヘイトスピーチや暴力的なイデオロギーを流布するサイトなど、潜在的に不快なコンテンツをより幅広くカバーするようになりました。

さらに、携帯電話カメラの爆発的な使用やソーシャル・メディアの前例のない増加のために、現在ではユーザーが撮影したビデオ映像がオンラインで普及しています。この種のコンテンツには、注目すべきすべての内容が含まれており、その中にはどぎつい行為や違法な行為が詳しく掲載されているものもあります。このようなコンテンツはすべて不適切とみなされますが、この主観的な用語には解釈の余地が残ります。

次に、より掛け値なしに悪意のあるコンテンツに移ります。攻撃的な画像が含まれているかどうかはわかりませんが、おそらく含まれないでしょう。なぜなら、ことわざのトロイの木馬のように、完全に普通に見える方が効果的だからです。そうすれば、ユーザーは通常のコンテンツ以外に何かが含まれているとは思わなくなるでしょう。

しかし、この誤解を招く正常性により、ネットワーク・セキュリティーを侵害しようとするマルウェアをシステムに導入するなど、さまざまなサイバー攻撃が隠れてしまう可能性があります。この種の脅威は、何らかの形の支払いを強要するまでユーザーのシステムを人質に取るように設計されたランサムウェアを使用する場合に最も緊急性が高くなります。有害なコンテンツには、機密データを取得しようとするフィッシング攻撃が潜んでいる場合もあります。

フィルタリングを必要とするWebコンテンツの3番目のカテゴリーには、わいせつまたは扇動的なものではなく、組織のセキュリティー・ソリューションに悪影響を及ぼす可能性もなさそうなコンテンツが含まれます。それは望ましくないコンテンツですが、それにはさまざまな理由がある可能性があります。

「望ましくない」という語は不適切なコンテンツや有害なコンテンツにも当てはまるのは事実ですが、ここでは非生産的なコンテンツを掲載するサイトについて言及しています。ソーシャル・メディア・サイトとモデレートされていないチャット・ルームは、ストリーミング・ビデオを特徴とするサイトと同様に、このカテゴリに分類されます。また、リダイレクトを使用してユーザーを他のWebサイトに誘導する特定のWebサイトや、終わりのない一連の広告メッセージを視聴者に送り込むサイトが含まれます。

DNSフィルタリングは、潜在的に危険なDNSリクエストが実行され、IPアドレスと照合される前に、それを検出します。その順序は次のとおりです。

1. ユーザーは特定のWebサイトへのアクセスを要求することでプロセスを開始します。
2. このようなDNSクエリーに応答して、ユーザーのシステムは、より広いドメイン名（ibm.comなど）をIPアドレスに変換するDNSリクエストを発行します。
3. そこでDNSフィルタリング・サービスの出番となります。DNSフィルターは、要求されたドメインを、危険な可能性のあるWebサイトの「ブロックリスト」に照らしてチェックします。
4. 要求されたドメインが、チェックされたブロックリストにフラグが立てられていない場合、その要求が受け入れられ、システムは対象のWebサイトにアクセスし続けます。
5. あるいは、要求されたWebサイトがブロックリストに含まれている場合、DNSフィルターによってそのサイトへのアクセスがブロックされ、そのIPアドレスがDNSサーバーによって使用されるのを防ぎます。

ドメインがDNSフィルタリング・ソリューションによってブロックされると、そのブロックは潜在的に危険な特定のページだけではなく、そのドメイン内のすべてのWebページに適用されることに留意してください。セキュリティーの観点から見ると、DNSフィルターはフィッシングWebサイトや悪意のあるドメインによる侵入を防ぐのに役立ちます。

Webフィルタリング・プロセスは、DNSフィルタリングとは少し異なります。これはDNSフィルタリングよりも精密なツールで、分析範囲も広いです。ただし、DNSフィルタリングのような先制的なタイミングが欠けており、それがこの2つの大きな違いです。Webフィルタリングの手順は比較的簡単です。

1. Webフィルターは、すでにシステムのブラウザーに移動し、読み込まれている実際のWebトラフィックを検査します。
2. Webフィルターを使用すると、ユーザーは特定のURL、特定のWebサイトの一部、またはカテゴリーをブロックできます。
3. ネットワーク管理者は、Webフィルタリングによって実現される正確できめ細かな制御を使用してアクセスをカスタマイズします。この方法では、ページをすぐにブロックするタイミングから、サイトの個々の部分を読み込むことができる選択まで、すべてをカバーします。

Webフィルタリング・プロセスの主要な部分は、WebサーバーとWebブラウザー間で安全に暗号化されたリンクを形成するセキュリティー・ソリューション、Secure Sockets Layer（SSL）によって処理されます。

DNSフィルタリングとWebフィルタリングには、次のような顕著な共通点があります。

• Webフィルタリングの方法論とDNSフィルタリング・ソリューションはどちらもファイアウォールを使用しますが、その方法は異なります。Webフィルタリングは、次世代ファイアウォール（NGFW）を使用して、Webトラフィックをアプリケーション層で評価し、不適切なサイトや悪意のあるサイトをブロックします。対照的に、DNSフィルタリングでは、DNSレベルで動作する他のセキュリティー対策と連携する特定のタイプのDNSファイアウォールを使用します。

• ウイルス対策保護の点では、DNSフィルタリングには主流なウイルス対策保護は存在しません。その代わり、企業は、Cloudflare Gateway、Cisco Umbrella、Control Dなど、多くの専門的なカスタムDNSフィルタリング・サービスのいずれかを選択する傾向にあります。同様に、Microsoft Defender、Norton、McAfeeのような、Webフィルタリングのために特別設計されたウイルス対策ソリューションやエンドポイント・セキュリティー・ソリューションも豊富にあります。

• DNSフィルタリングとWebフィルタリングはどちらも、Secure Web Gateway（SWG）と呼ばれるセキュリティー・ソリューションを使用します。DNSフィルタリングでは、SWGは保護層として機能します。SWGのよくある機能の1つは、管理者が完全なアドレスを調査、評価できるようにするURLフィルタリングです。SWGは、すべてのインターネット・トラフィックを綿密にチェックし、必要に応じてページ・ブロックをインストールすることにより、包括的なWebフィルタリングを実行します。

• 仮想プライベート・ネットワーク（VPN）は、ローカル・ネットワークに適用される制限を回避できる暗号化された接続を提供することで、Webフィルタリング・システムと連携します。DNSフィルタリングは通常、DNSレベルで特定のWebサイトへのアクセスを防止することで機能します。VPNは通常、DNSフィルタリングをバイパスしますが、多数のVPNプロバイダーは、これらのサービスに組み込まれた独自のDNSフィルタリング・スキームを提供しています。