パブリックDNSとプライベートDNSの違いとは

どちらもやることは同じで、氏名や住所の解読を行います。ネームサーバーはインターネット上に存在し、一種の電話帳のような機能を持ち、人間が判読できるドメイン名（例えば、ibm.com）を機械が解釈できる数値のIPアドレスに変換します。これは、ユーザーが探している適切なWebの宛て先をWebブラウザーが正確に見つけられるようにする重要なマッチング・プロセスです。

パブリックDNSを運用する手順は次のとおりです。

1. 名前解決アクティビティは、ユーザーがドメイン名を要求すると開始されます。ユーザーは、設定済みのブラウザーにWebサイトの所在地を入力することで、DNSリクエストを入力します。
2. ユーザーのデバイス（エンドポイント）は、ローカルDNSチェックを実行して、デバイスのキャッシュまたはローカルDNSサーバーにそのドメインに一致するIPアドレスが既に含まれているかどうかを確認します。
3. ローカルDNSチェックで一致が見つけられなかった場合、そのリクエストは再帰DNSリゾルバーに転送されます。リゾルバーは、多くの場合、インターネット・サービス・プロバイダー（ISP）または、GoogleやCloudflareなどのDNSサービスを通じて、パブリックDNSサービスによって提供されます。
4. リクエストを処理できるトップレベル・ドメイン（TLD）サーバーに誘導することで、リゾルバーはDNSクエリを誘導するルート・ネーム・サーバーに接続します。
5. 次のステップでは、リゾルバーがTLDサーバーにクエリを送信し、このサーバーがその特定ドメインの権威ネーム・サーバーを参照します。
6. 問題の権威ネーム・サーバーは、そのIPアドレスをWebサイト用に予約し、それを再帰リゾルバーに送り返します。
7. リゾルバーは、後で使用するためにDNSデータをDNSキャッシュにロードすると同時に、承認されたIPアドレスを元の要求を発行したデバイスに送り返します。
8. これでDNS解決プロセスが完了しました。デバイスのブラウザーは、このIPアドレスを通じてWebサーバーに接続し、Webサイトのコンテンツをダウンロードできるようになります。

使用可能なURLを取得するだけでも、多くのやり取りがあります。驚くべき点は、これらすべてのDNS応答が非常に高速に実行されることです。

速度を見てみましょう。接続性や伝送レイテンシーなどの性能関連の問題に多少依存しますが、最も遅い場合、パブリックDNSプロセスには数秒かかる可能性があります。ただし、最高速度では同じプロセスにミリ秒かかる場合があります。

IPアドレスの交渉が適切に行われ、解決すると、ユーザーはそのIPアドレスにアクセスします。コンテンツがDNSレコードとしてダウンロードされる前に、Time to Live (TTL)指定が割り当てられます。これは同じDNS レコードをダウンロードできる回数を制御する設定です。

TTLは、コンテンツを既存のオンラインから極めて長期間にわたって保持するためにインストールされています。TTLは、オンライン・コンテンツにアクセスされるたびに動作するカウンターのように機能します。カウンターがゼロになると、ユーザーはそのコンテンツを利用できなくなります。

独自のDNSの運用により組織または個人が最大限のプライバシーを選択する場合、その機能の管理プロセスで求められる段階的な手順は少なくなります。このプロセスは、パブリックDNS Servicesの動作速度よりもかなり動きが速い傾向があります。これは主に、徹底した隔離により実現されています。

「プライベートDNS」という用語には、プライベートDNSが実装される場所と方法に応じて、2つの具体的な意味があります。クラウド・コンピューティング環境内で運用されているプライベートDNSゾーンを参照し、内部の参考情報にアクセスできます。あるいは、特定のコンテンツを保護し、クエリの暗号化を支援するために、ユーザーのデバイス上で運用されているプライベートな内部 DNS サービスを意味する場合もあります。

プライベートDNSゾーンの名前検索と解決プロセスは、次の手順に集約されます。

1. ユーザーがWebアドレス（例：www.example.com ）をWebブラウザに入力します。
2. 操作されているデバイスはDNSクエリを発行し、そのWebサイトに一致するIPアドレスを検索します。
3. このポイントは、パブリックDNSとプライベートDNSのパスが完全に分岐する場所です。このデバイスは、暗号化されたトンネルを使用してプライベートDNSサーバーに接続します（パブリックDNSでは代わりに暗号化されたクエリが使用されます）。DNS over TLS (DoT) や DNS over HTTPS (DoH) などの安全な内部プロトコルは、必要な安全なチャネルを提供します。仮想プライベート ネットワーク (VPN) は、VPNプロバイダーのサポートを受けて、同じ暗号化機能を実現します。
4. プライベートDNSサーバーは暗号化された要求を取得し、正しいIPアドレスを見つけ、安全に暗号化された同じ接続を使用して元のデバイスに送信します。
5. 正しいIPアドレスがデバイスに送り返されると、デバイスはそのWebサイトのサーバーに安全に接続します。

6つの領域を直接比較することで、パブリックDNSとプライベートDNSの主な違い (および微妙な類似点) が正確に分かります。

パブリックDNSとプライベートDNSの一般的な目的は非常に似ており、どちらもドメイン名を変換します。

パブリックDNSはパブリックドメイン名を適切なパブリックアドレスにデコードすることで、ユーザーがインターネット上でこれらのサイトにアクセスできるようにします。

一方、プライベートDNSは、内部で使用されるDNS名を内部IPアドレスに変換し、そのグループまたは組織が効果的にやりとりできるようにします。

この比較では、セキュリティーが重要な要素です。結局のところ、当社がプライベートDNSテクノロジーを採用している主な理由はセキュリティーの観点からです。ピークセキュリティーを必要とする組織では、通常、パブリックインターネットからネットワークの詳細を隠すプライベートDNSの使用を選択します。

パブリックDNSセキュリティーでは提供される保護手段が大幅に少なくなりますが、フィッシングやマルウェア攻撃から保護するように設計された他の機能により、その不均衡が補われます。

開発者は日常的にドメインネームシステムセキュリティ拡張（DNSSEC）を使用し、デジタル署名を追加してDNSセキュリティープロトコルを強化しています。ファイアウォールなどの従来のインターネット・セキュリティー対策は、パブリックDNSとプライベートDNSの両方で実装できます。

誰が特定のDNSにアクセスできるかは、DNSの種類によって異なります。パブリックDNSであれば、インターネットにアクセスできるデバイスを持つ人なら誰でもアクセスが可能です。

対照的に、プライベートDNS内ではアクセスが厳密に制御され、オンプレミス・アクセスにルート化されます。また、アクセスは、社内ネットワークの特定のユーザー、例えば、会社の拠点で勤務する労働者や仮想プライベートクラウドを介したユーザーに限定されます。

バックグラウンドでのアクセスの場合、ネットワーク管理者は、nslookup（ネームサーバールックアップ）などのクエリツールを使用してIPアドレスを探索し、コマンドラインプロンプトを通じて一般的なトラブルシューティング活動を実行します。

使用するサーバーを制御および運用するのは誰ですか？プライベート DSN の場合、答えは簡単で、内部ネットワークを運用しているのは会社またはグループです。彼らがプライベートDNSサーバーを維持し、制御しています。

パブリックDNSの場合、インターネット・サービス・プロバイダー（ISP）またはCloudflareやGoogleなどのサードパーティー・プロバイダーがサーバーを運用します。どちらの場合も、外部のエンティティがサーバーを直接制御します。

パフォーマンスは、かつてのような単純な問題ではありません。これまで、プライベートDNSはパブリックDNSよりもパフォーマンスが速いというのは当然の結論でした。結局のところ、内部クエリを通じて求められている情報は、プライベート・ネットワーク上に含まれていれば移動距離が短くなります。これにより、レイテンシーの問題は軽減されました。

ただし、現在では、サービスプロバイダーによっては、パブリックDNSで超高速の速度を達成するために必要な性能のレベルがより実現可能であることがよくあります。これは、より高速なネットワークとより安定した伝送を実現するグローバル・ネットワークのおかげです。パブリックDNSとプライベートDNSのどちらがより良いパフォーマンスを発揮するかは、通常、対象のネットワークによって大きく異なります。

この領域は、プライベートDNSがパブリックDNSよりもかなり多くの選択肢を提供する領域です。プライベートDNSを使用すると、グループや企業はその衣服のニーズに基づいてカスタム構成を作成できます。カスタムDNSには、カスタム・ドメイン命名スキームを実行したり、コンテンツ・フィルタリングを実行したりする機能が含まれる場合があります。

あるいは、パブリックDNSは提供するカスタマイズ・オプションが限られています。開発者は、すべてのパブリックDNSユーザー向けに標準的な形式でその設定を作成します。

DNSでは大きな変化が起きましたが、関連するテクノロジーが進歩し続け、ユーザーの世界的な拡大に次に進むにつれて、今後もその変化は起こり続けるでしょう。

たとえば、IPv4インターネット・ルーティング・プロトコルを考えてみましょう。IPv4（Internet Protocolバージョン4）は、インターネット革命以前の1970年代初頭に開発され、1980年代初頭に正式に導入されました。IPv4アドレスは、コンピューターネットワークに接続する任意のデバイスに割り当てることができる32ビットの数値ラベルであり、通信とルーティングの目的に不可欠です。IPv4アドレスは、ピリオドを使用してさまざまな間隔で区切られた長い数字の文字列として表現されます。

確率の法則に基づいて計算でき、各IPv4アドレスに含まれる整数の数により、約43億個のアドレスが可能であると計算できます。そして、その膨大な数でさえ、ネットワークに接続する必要があるテクノロジー・デバイスの増え続けるプールに追いつくには不十分であることが判明しました。

この「過密」状況を軽減するために、1995年に導入されたのがIPv6（Internet Protocolバージョン6）です。2つのプロトコルを比較すると、まず気付くのはIPv6がいかに大きいかということです。IPv6は128ビットのアドレスを提供しており、これはIPv4のちょうど4倍の大きさに値します。

この増加により、可能性のある所在地のプールは想像を絶するほど深くなります。その数字は 340澗であり、これは3.4×10の38乗として計算され、3.4の後に38個のゼロが続く数値で表現されます。これほどまでに大量の水をたたえたプールの水が完全に干上がるというのは想像しがたいでしょう。しかし、世界中のコンピューターの使用状況は、前例のない成長により、これほど大きなプロンプトを引き起こす可能性があります。

IPv6は、IPv4の4倍のアドレス空間を提供するだけでなく、ステートレス・アドレス自動構成（SLAAC）が含まれます。この主要な機能により、デバイスは外部のDHCPサーバーに依存せずに独自のIPアドレスを構成できるため、ネットワーク・トラフィックも削減されます。

IPv6では、ドメイン名と適切なIPv6アドレスを一致させる拡張タイプのDNSレコードも使用します。このDNSレコードは「AAAA」と呼ばれ、適切なIPv4アドレスを保持するDNSレコードである「Aレコード」から大幅にステップアップしたものです。AAAAレコード（Quad-A-Record と呼ばれることもある）とAレコードの違いは、AAAAが使用されている大量の128ビット識別子を収容できるように容量が増加したことです。

AレコードとAAAAレコードを効果的に無効にする方法の1つは、CNAME（正規名）を作成することです。CNAMEは、特定のドメインまたはサブドメインのエイリアスとして動作するDNSレコードの一種です。CNAMEを含むホスト名では、すでにその名前が付いているAレコードまたはAAAAレコードを有効にできません。これが注意すべき軽微な制限の1つです。

IPv6は、時間をかけて更新されてきた唯一の主要なプロトコルではありません。トランスポート層セキュリティー（TLS）は、Webベースおよびその他のネットワーク通信を保護する、高度な暗号化プロトコルです。TLSは、セキュア・ソケット層（SSL）と呼ばれる以前のプロトコルが1999年にアップグレードされたものです。SSLと同様、TLSはユーザーを認証し、不正アクセスを阻止し、データの整合性を維持およびチェックする手段を提供します。