DNSセキュリティーとは

DNSセキュリティーは、暗号化、認証、脅威インテリジェンスの手法を適用することで、「悪意のある行為者」とその悪意のあるドメインを寄せ付けません。

DNSセキュリティーが必要な理由主な理由は、DNSサービスが現代の通信において中心的かつ重要な役割を果たしているためです。DNSはインターネットの「電話帳」（またはディレクトリ・リスト）として機能し、ドメイン要求とアドレスの照合を支援します。

このアクティビティーがいかに重要であるかを実際に理解するには、平均的な一日のうちでこれらの検索サービスが何回必要になるかを考えてみてください。この数字を週、月、年ごとに掛け合わせると、このアクティビティーが現代のコンピューティングにおいていかに一定かつ継続的に行われているかが明確に分かります。

DNSは、潜在的に価値があり機密性の高いデータであるIPアドレスを多く扱うアクティビティーでもあります。さらに、DNS層のテクノロジーには、さまざまな形態のサイバー攻撃にさらされる脆弱性 がいくつか存在します。

悪意のあるアクター（脅威アクターとも呼ばれる）は、サイバー攻撃やその他の有害なアクションを実行する手段を持つ存在です。しかし、これらの個人やグループは誰なのでしょうか？最近では、それこそさまざまな可能性が考えられます。

• 被害者から高額な身代金を獲得することを望んでいるハッカー

• 恨み（不満）を晴らそうとする政治派閥

• 明らかな哲学的動機を持たない破壊者。

• 不正国家による国家支援のテロ活動

これらすべての潜在的な犯罪者について本当に恐ろしいのは、彼らがいかに自分の身元をうまく隠しながら、他人の身元を容赦なく侵害できるかという点です。

攻撃は、サービス・プロバイダーがWi-Fiを提供するあらゆる場所から生じるおそれがあります。通りにある住宅の地下で働く個人から、世界中の隠れた場所で活動するプロのサイバー犯罪者のグループまで多岐にわたります。この優れた隠蔽能力により、検知を回避できるくらい十分に気配を消すことができるため、その悪質な計画を続行できます。

DNSセキュリティは、4つの独立したサイバーセキュリティー・プロセスを中心に展開します。

DNSセキュリティーの基本原則に従うことで得られる主な利点は、セキュリティーの強化とプライバシーの向上であり、それは次のような形で現れます。

分散型サービス妨害（DDoS）攻撃は、DNSトラフィックの通常の流れを妨害するように設計されています。意図したターゲットに大量のWebトラフィックをフラッディングさせると、ターゲットのシステムが完全に停止します。

道端で小さな食堂を経営していて、突然何千人ものお腹を空かせた客が押し寄せ、全員がその場で料理を要求してきたときのように、ものすごく圧倒される状況を想像してみてください。DDoS攻撃は、その数の純粋なパワーによって、同じように機能します。

また、オープンで利用可能なDNSサーバーを使用してトラフィックを増幅し、標的のインターネット・サービスまたはドメインを圧倒する目的でネットワーク・セキュリティーを侵害するDNS増幅攻撃もあります（侵害された多数のコンピューターがこのように使用される場合は、ボットネットと呼ばれます）。増幅攻撃は、なりすましのソースアドレス（標的とする被害者に属するもの）を使用して、その被害者に大量の不要なネット・トラフィックを仕掛けます。

DNSセキュリティーは、さまざまな方法でDDoS攻撃に対抗します。まず、DNSセキュリティーでは、DNSデータ転送を受け入れるための前段階としてデジタル署名の使用が義務付けられています。また、AI搭載のアルゴリズムを活用して、異常検知で固有のDNS脅威を検出します。

もう1つの方法であるレート制限では、経過時間に基づいて、単一のクライアントが実行できるDNS要求の数を制限します。DNSゾーン検証では、確認済みで有効なDNSレコードのみが通常のDNSトラフィック・フローへの参加を許可されます。

真に安全なDNSを確立するには、「決して信頼せず、常に検証する」というゼロトラスト・サイバーセキュリティーの理想に沿ってサポートすることが不可欠です。つまり、要求者の身元が最初に検証され、その後アクセスが許可されなければ、（どれほど重要ではないように見えても）どのリソースにもアクセスが許可されません。

IBM IBM Institute for Business Valueが発行したゼロトラスト・セキュリティーに関するレポートで概説されているように、ゼロトラストの理想を完全に受け入れている企業には顕著な共通点があります。このレポートでは、「ゼロトラスト・ペースセッター」と、推定23%の企業がゼロトラストの実践原則を最大限に活用するために実行している具体的な行動について説明します。

DNSリゾルバーは、ゼロトラストの実践原則を適用する上で重要な役割を果たします。リゾルバーは仲介者として機能します。ユーザーが特定のWebサイトをリクエストすると、DNSリゾルバーがそのリクエストを処理します。次に、そのDNSインフラストラクチャー全体をスキャンし、DNSサーバーを検査して、正しいIPアドレスを検索します。

DNSシステムがそのIPアドレスを見つけることができなかった場合、DNSリゾルバーはシステムの外部で権威ネーム・サーバーにアクセスします。これらのネーム・サーバーは、確認されたIPアドレスを発行することにより、要求されたIPアドレスの「最終決定」を提供します。再帰DNSリゾルバーは、そのIPアドレスをキャッシュに閉じ込めて安全に保持し、次に必要になったときに内部ですばやくアクセスできるようにします。

DNSセキュリティーは、多数のセキュリティー・サービスとセキュリティー・ツールを活用します。AI搭載の脅威検知システムは自動化を提供します。同じことが、機械学習フィードとインテリジェンス・フィードから恩恵を受けるDNSリゾルバーやその他のセキュリティー・ソリューションにも当てはまります。

これらのシステムやソリューションは、必要なプロセスを自動化するだけでなく、DNSトラフィックをリアルタイムで積極的に監視します。DNSSECは、DNSハイジャック、フィッシング、トンネリングなどのサイバー攻撃からインターネット・プロトコルを保護することで、セキュリティー・プロセスの自動化にも役立ちます。これらのサイバー攻撃は、DNSトラフィックを著しく妨害し、ユーザー・エクスペリエンスに悪影響を与える可能性があります。

さらに、DNS セキュリティーは、モノのインターネット機能を備えたオブジェクトの保護にも役立ちます。DNSセキュリティーは、IoT（モノのインターネット）デバイスがコマンド・アンド・コントロール・サーバーとやり取りしたり、ボットネットの新しい部分として採用されたりすることをブロックするなど、さまざまな方法で IoTフレームワークを保護します。

高度化と進化を続けるDNS攻撃が絶えず適応能力を維持していることを考慮すると、サイバーセキュリティーの維持はフルタイムの仕事です。このような攻撃に対抗し、サイバーセキュリティーを強化するために、主に次のタイプのDNSセキュリティー・ソリューションが使用されます。

• DNSファイアウォール： DNSリクエストが生成されるたびに、セキュリティー・ファイアウォールで停止され、悪意のあるWebサイトやドメインに関連付けられたIPアドレスのリストと照らし合わせてリクエストが評価されます。ファイアウォールは、フィッシングやマルウェアの試みに対する保護も提供します。

• DNSトンネリング検知：DNSトンネリングには、秘密のデータ窃盗が含まれます。これは、悪意のある行為者が機密データを追跡し、無害に転送されているデータに偽装してネットワークまたはシステムからそのデータを抽出します。もう1つの取り組みとなるのが、DNSハイジャックの実行を支援するコマンド・アンド・コントロール通信です。

• 保護DNSサービス：保護DNSサービスは、有害なWebサイトを阻止する先見的な脅威保護管理を可能にします。これは、脅威フィードと確立されたポリシーに対してDNS要求を評価することで実現します。