公開日：2024年3月8日
寄稿者：Tasmiha Khan、Michael Goodwin
DNSSECは、暗号化認証を使用して、DNSクエリで返されたDNSレコードが権威ネームサーバーからのものであり、途中で変更されていないことを検証するドメイン・ネーム・システム（DNS）の機能です。
つまり、DNSSECはユーザーを偽のWebサイトではなく、検索している実際のWebサイトに誘導するようサポートします。検索を非公開にするわけではありませんが（トランスポート層セキュリティー（TLS）は、インターネット上のプライバシーを確保するために設計されたセキュリティープロトコルです）、悪意のあるエンティティが操作されたDNS応答をDNSリクエストに挿入するのを防ぐのに役立ちます。
DNSSEC（ドメイン・ネーム・システム・セキュリティー・エクステンションズの略）は、DNSプロトコルを拡張し、DNSスプーフィング、DNSキャッシュ・ポイズニング、中間者攻撃、DNSデータへのその他の不正な変更など、さまざまなサイバー攻撃の影響を受けやすいDNSの脆弱性に対処するために使用されます。DNSSECのデプロイメントにより、これらの潜在的なリスクに対してDNSを強化し、より安全で信頼性の高いインターネットインフラストラクチャーを提供します。DNSリゾルバーが情報を照会すると、DNSルックアップ応答はデジタル署名の検証によって検証され、受信したデータの信頼性と整合性が確認されます。
サイバーセキュリティーの脅威が進化し続けるにつれて、DNSSECなどの強力なセキュリティー対策の需要が高まる可能性があります。Internet Corporation for Assigned Names and Numbers（ICANN）のような組織は、DNSセキュリティーにおけるその重要な役割に対する認識の高まりを反映して、その世界的な導入を積極的に推進しています。
DSレコードは、親ゾーンと子ゾーンの間に安全な信頼の鎖を確立するために使用されます。 これらには、DNSKEYレコードの暗号化ハッシュが含まれています。
DNSKEYレコード（DNSSEC鍵ともいいます）には、特定のDNSゾーンに関連付けられた公開鍵が格納されます。これらの鍵はデジタル署名を検証し、そのゾーン内のDNSデータの信頼性と整合性を確保するために使用されます。
RRSIGレコードには、一連のDNSリソースレコードに関連付けられた暗号署名が含まれています。
これは、DNS 内の特定の名前に関連付けられた特定のタイプのすべてのリソース コードのコレクションです。たとえば、「example.com」に関連付けられている2つのIPアドレスがある場合、これらのアドレスのAレコードがバンドルされてRRsetが形成されます。
これは、ドメインに存在するレコードタイプをリストするレコードであり、特定のドメイン名の存在の認証された拒否を示すために使用されます。これは、「ネクスト・セキュア」レコードを返すことで機能します。たとえば、再帰リゾルバーがネームサーバーに存在しないレコードを問い合わせると、ネームサーバーは、要求されたレコードが存在しないことを示す別のレコード（サーバー上で定義された「ネクスト・セキュア・レコード」）を返します。
これはNSECに対する機能強化です。攻撃者がゾーン内の既存のドメインの名前を予測したり推測したりするのがより困難になるため、セキュリティーが向上します。NSECと同様に機能しますが、特定のゾーンの名前を一覧表示しないよう、暗号的にハッシュされたレコード名を使用します。
ゾーン署名鍵のペア（公開鍵と秘密鍵）は、RRsetの署名と検証に使用される認証鍵です。DNSSECでは、各ゾーンにZSKペアがあります。秘密鍵は、RRsetのデジタル署名を作成するために使用されます。これらの署名は、RRSIGレコードとしてネームサーバーに保存されます。DNSKEYレコードに保存されている関連する公開鍵は署名を検証し、RRsetの信頼性を確認します。ただし、公開ZSKを検証するには、追加の対策が必要です。このために、鍵署名鍵が使用されます。
鍵署名鍵は公開鍵と秘密鍵のペアであり、公開ゾーンの署名鍵が漏洩していないことを検証するために使用されます。
DNSセキュリティー拡張機能は、DNSのセキュリティーと信頼性を強化するように設計された、暗号的に保護されたフレームワークを提供します。DNSSECの中核では、公開鍵と秘密鍵のペアのシステムが採用されています。DNSSEC検証を有効にするために、ゾーン管理者は、プライベートゾーン署名鍵と、DNSKEYレコードとして配布される対応する公開鍵を使用して、デジタル署名（RRSIGレコードとして保存）を生成します。ZSKの署名と認証には鍵署名鍵が使用され、追加のセキュリティー・レイヤーを提供します。
DNSリゾルバーがクエリを受けると、要求されたRRsetと、プライベートゾーン署名鍵を含む関連するRRSIGレコードを取得します。次に、リゾルバーは、公開ZSK鍵を保持するDNSKEYレコードを要求します。これら3つのアセットを組み合わせて、リゾルバーが受信する応答を検証します。ただし、公開ZSKの信頼性は依然として検証する必要があります。ここで、鍵署名鍵が登場します。
鍵署名鍵は、パブリックZSKに署名し、DNSKEYのRRSIGを作成するために使用されます。ネームサーバーは、パブリックZSKの場合と同様に、DNSKEYレコードでパブリックKSKを公開します。これにより、両方のDNSKEYレコードを含むRRsetが作成されます。これらはプライベートKSKによって署名され、パブリックKSKによって検証されます。この認証は、KSKの目的であるパブリックZSKを検証し、要求されたRRsetの信頼性を検証します。
DNSSECは、DNS階層全体で「信頼の鎖」を確立し、各レベルでDNSデータに署名して、データの整合性と信頼性を保証する検証可能なパスを作成するという原則に基づいて運営されています。チェーン内の各リンクはデジタル署名で保護され、ルートゾーンサーバーから始まり、最上位ドメイン（TLD）サーバーを経由して個々のドメインの権限のあるDNSサーバーまで続くトラストアンカーが作成されます。
委任署名者（DS）レコードは、親ゾーンから子ゾーンへの信頼の転送を可能にするために使用されます。リゾルバーが子ゾーンを参照すると、親ゾーンは、親ゾーンのDNSKEYレコードのハッシュを含むDSレコードを提供します。これは、子ゾーンからのハッシュされたパブリックKSKと比較されます。一致はパブリックKSKの信頼性を示し、サブドメイン（子ゾーン）内のレコードが信頼できることをリゾルバーに知らせます。このプロセスはゾーンからゾーンへと機能し、信頼の鎖を確立します。
DNSSECとDNSセキュリティーは、インターネットセキュリティーの領域内で関連する概念であり、それぞれに明確な焦点と範囲があります。DNSSECは、特にドメイン・ネーム・システムのセキュリティーを強化するために設計された一連のDNS拡張機能を指します。その主な目的は、秘密鍵と公開鍵の暗号化を通じてDNSレコードの整合性と信頼性を確保することです。
DNSセキュリティーは、DNS環境全体を保護するための包括的なアプローチを含む広義の用語です。DNSSECはDNSセキュリティーの重要な要素ですが、DNSセキュリティーの範囲はDNSSECの特定のプロトコルにとどまりません。DNSセキュリティーは、分散型サービス妨害（DDoS）攻撃やドメイン盗難などのさまざまな脅威に対処し、DNSインフラストラクチャーを侵害する可能性のある悪意のある活動から保護するための総合的な戦略を提供します。
