ドメインネームシステム(DNS)とは、ユーザーがウェブサイトに接続する際に、インターネットプロトコルの数値的なアドレスではなく、インターネットドメイン名や検索可能なURLを使用することを可能にするシステムです。 ユーザーは、 93.184.216.34 などのIPアドレスを覚えておく必要はなく、代わりに www.example.com を検索することができます。
DNSの技術は、スマートフォンでの電話番号の管理に似ています。 ユーザーは、個々の電話番号を覚えておく必要はなく、連絡先リストに電話番号を保存しておけば、姓名で簡単に検索することができ、電話番号を簡単に探すことができます。
また、DNSを支える翻訳技術は、企業がインターネットを利用する方法、特にブランド・アイデンティティを確立して顧客にアピールする方法を完全に定義しました。 ドメインネームシステムがなければ、お客様は自分がどのウェブサイトを見ているのか、すぐにわからなくなってしまうでしょう。 また、IPアドレスは変化する場合がありますが、ドメイン名は覚えやすく、一貫性があります。
パブリックDNSとプライベートDNSの使用を差別化することが重要です。
- パブリックDNS: IPレコードは通常、インターネットサービスプロバイダー(ISP)からお客様のビジネスに提供されます。 これらのレコードは一般に公開され、どのデバイスを使用するか、どの ネットワーク に接続するかにかかわらず、誰でもアクセスすることができます。
- プライベートDNS: プライベートDNSは、パブリックDNSとは異なり、企業のファイアウォールの内側に存在し、内部サイトのレコードのみを保持します。 この場合、プライベートDNSは、利用している社内サイトやサービスのIPアドレスを記憶する範囲に限定され、プライベートネットワークの外からはアクセスできないようになっています。
ほとんどの場合、ホスト名をIPアドレスに変換する際には、ユーザーはパブリックDNSを利用します。 そのプロセスの概要は以下の通りです:
- ユーザーはブラウザにドメイン名やURL(例: www.example.com)を入力します。 それにより、ローカルのオペレーティングシステムやインターネットサービスプロバイダーが提供するローカルDNSサーバーに問い合わせが行なわれます。 クライアントとDNSネームサーバーの間を仲介するこの機能は、再帰リゾルバーと呼ばれます。再帰リゾルバーは、クライアントとの間に立って、ネームサーバー照会情報を要求したり受け取ったりするように設計されています。
- 再帰リゾルバーが問い合わせを要求すると、その問い合わせがルート・ネームサーバーに渡されます。ルート・ネームサーバーは、検索対象のドメイン名の拡張子を基に、ダイレクト先として適切なTLDネームサーバーを返します。 ルートネームサーバーは、ICANN(Internet Corporation for Assigned Names and Numbers)によっても管理されています。 TLDネームサーバーは、.com、.net、.edu、.govなどの一般的な拡張子で終わるURLの情報がすべて保持されているサーバーです。
- 大量のDNSルックアップが定期的に実行されるので、検索要求は再帰リゾルバーでバッチとしてまとめられ、実行した検索クエリーに基づいて、正しいIPアドレスが保持されている権威DNSが特定されます。 権威ネームサーバーは、通常、DNSルックアップの最後のステップです。 再帰的リゾルバーは、TLDネームサーバから応答を得た後、IPアドレスが配置されている権威ネームサーバに移動し、クライアントにサービスを返します。
DNSは、インターネットの中核機能として重要な役割を果たしており、ユーザーがリソースレコードを使ってIPアドレスの海を簡単に移動できるようにしています。 これらの重要なプロセスがなければ、私たちが日常的に使用しているオンライン機能のすべてをサポートすることは事実上不可能となり、また、メールサービスの設定、ウェブサイトのリダイレクト、複雑なIPv4とIPv6のウェブアドレスの認識などの機能も制限されてしまいます。 しかし、DNSルックアップが素晴らしいのは、どんなに複雑なプロセスであっても、すべての検索クエリとサーバーのリダイレクトが、クライアント側に影響を与えることなく、わずか数ミリ秒で行われることです。
多くの企業は、自社でDNSサーバーを保有することにメリットを感じています。 この方法にはいくつかの利点がありますが、最終的には、自社のウェブ・プロパティの一貫性と管理性が向上するということに尽きます。 自らがサーバーの管理者であるため、ルックアップ処理、セキュリティー・プロトコル、パフォーマンス機能など、マシンのすべてのパラメータを設定することができます。
どのタイプのDNSサーバーを使用するかを決定する際、最も重要な検討事項は、サーバーが提供するスケーラビリティとパフォーマンスの2つです。 DNSサーバーがクエリーに応答する速度は、サーバーに対するユーザーの地理的位置、 ロード・バランシング 設定、クエリーのフィルタリングなど、多くの変数に依存します。
また、DNS、DHCP、IPAMの各サービスを統合して管理する集中型プラットフォームであるDDIソリューションに頼るという選択肢もあります。 DDIは、増え続けるIPアドレスの管理を企業のために簡素化・自動化する一方で、他のクラウド・オーケストレーション・システムを適切にプロビジョニング・統合する能力を提供します。
最新のDNSサーバーのほとんどは非常に安全ですが、何年も前に設計された古いシステムには、ビジネス上のセキュリティ上の課題がある場合があります。 ここでは、 これらのDNSサーバーの使用に関連する一般的なリスクのいくつかを紹介します。
DNS ハイジャック
リダイレクト攻撃とも呼ばれるDNSハイジャックは、DNSクエリーが正しく解決されず、ユーザーを偽の悪意のあるWebサイトにリダイレクトすることです。 これは、ユーザーのパソコンにマルウェアをインストールし、ルーターを乗っ取ったり、DNSの通信をそのまま乗っ取ったりすることで行われます。
キャッシュ・ポイズニング
DNSキャッシュ・ポイズニングは、ハッカーが実際にDNSサーバー自体をコントロールし、IPアドレスのエントリーを危険にさらすことで発生します。 これらの偽のエントリは、インターネット・サービス・プロバイダにグローバルに広がり、そこでキャッシュされ、パブリックDNSルックアップに使用されます。
これらのリスクに効果的に対抗する1つの方法は、DNSSecを使用することです。 DNSSecは、安全なドメインネームシステムを使用し、DNSレコードに暗号署名を付与し、レコードが元の状態から変更されないようにします。 HTTPSと同様に、DNSSecは、クエリプロセスを遅くする重い暗号化の必要なしに、DNSレコードにアクセスするためのセキュリティの追加レイヤーを追加します。
使用するDNSサービスの種類にかかわらず、攻撃の対象となることを避け、潜在的なセキュリティ問題を最小限に抑えるための、いくつかのベストプラクティスがあります。
- DNSフラッシング: DNSキャッシュを定期的にクリアすることで、ローカルシステム上のすべてのエントリーが削除されます。 このプロセスは、悪意のあるサイトに誘導している可能性がある無効なDNSレコードや改ざんされたDNSレコードを削除するのに便利です。
- nslookup: nslookup は、指定したホスト名のIPアドレスを調べるためにサーバー管理者が使用できるプログラムおよびコマンド・コードです。 ユーザーはフィッシング攻撃への自衛としてこれを使用し、訪問先サイトの正当性をオンデマンドで確認することができます。
- DNSリーク・テスト: DNSリーク・テスト (ibm.comの外部へのリンクです)を実行できる無料のサービスがいくつかあります。 セキュアVPNやプライバシーサービスを利用する場合、時折、設定が不十分で、デフォルトのDNSサーバーが使用されたままになっていることがあります。 これは、ネットワークトラフィックを監視している人が、悪意のある目的のためにあなたの行動を記録できるということを意味します。 DNSリークテストを実行することで、閉じたVPNトンネルを確保し、ネットワーク・トラフィックの安全性を維持することができます。