DNSフィルタリングとは?| セキュアなDNSサーバー

DNSフィルタリングは、悪意のある、または禁止されているWebサイトやアプリケーションがユーザーデバイスに読み込まれないように、それらをDNSレベルにてブロックします。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • DNSの仕組みを理解する
  • DNSプロセスにおけるDNSフィルタリングの位置付けを理解する
  • DNSフィルタリングサービスをブロックできる攻撃のタイプを知る

関連コンテンツ

アクセス制御

データ損失防止(DLP)

セキュアWebゲートウェイ

IAMとは?

ブラウザ分離

さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

DNSフィルタリングとは?

DNSフィルタリング

DNSフィルタリングは、悪意のあるWebサイトをブロックして、有害または不適切なコンテンツをフィルター処理するために、Domain Name Systemを使用するプロセスです。これにより、企業は、企業のデータの安全性を確保して、従業員が会社の管理下にあるネットワーク上でアクセスできるものを制御できるようになります。DNSフィルタリングはより大きなアクセス制御戦略の一部であることが多いです。

Domain Name System(DNS)とは?

Domain Name System(DNS)は、ドメイン名(cloudflare.comなど)をIPアドレス(192.0.2.24など)と照合します。DNSは、ユーザーがややこしい数字の羅列を記憶することなくWebサイトにアクセスできるようにするのに必要です。ちょうど人が友人の個々の電話番号を記憶しないでスマートフォンに保存するのと同じです。

ユーザーがWebサイトを開いたりWebアプリケーションにアクセスしたりするたびに、コンテンツを読み込むプロセスは、ユーザーのデバイスが正しいIPアドレスを検索した後に始まります。次のようにIPアドレスを検出する手順を踏むことで、Webサイトを読み込むことができます:

  1. ユーザーがドメイン名をブラウザーに入力すると、ユーザーのデバイスはDNSクエリを作成してDNSリゾルバーと呼ばれる特殊なWebサーバーに送信します。
  2. DNSリゾルバーは、別のDNSサーバーにクエリを実行するか、またはそのキャッシュをチェックすることで、照会されたドメイン名をIPアドレスと照合します。
  3. DNSリゾルバーは、ユーザーのデバイスへの応答で正しいIPアドレスを返します。このことを、ドメインの「名前解決」と呼びます。
  4. ユーザーのデバイスは、接続を確立してコンテンツの読み込みを開始するために、そのIPアドレスのサーバーと交信します。

DNSは、Webコンテンツへのアクセスに不可欠な要素です。DNSプロセスが行われないとコンテンツを読み込むことはできません。こうした理由から、DNSフィルタリングは、ユーザーがアクセスできるコンテンツを制御する効果的な方法とされています。

DNSフィルタリングサービスの仕組み

すべてのDNSクエリはDNSリゾルバーに送信されます。特別に設定されたDNSリゾルバーは、ブロックリストで追跡された特定のドメインに対するクエリの解決を拒否して、ユーザーがそうしたドメインにアクセスするのを阻止することで、フィルターとしての役割も果たします。DNSフィルタリングサービスは、ブロックリストの代わりに許可リストを使用することもできます(以下を参照)。

フィッシングメールを受け取った従業員が、だまされてmalicious-website.comに移動するリンクをクリックしてしまったとしましょう。従業員のコンピューターは、Webサイトを読み込む前に、DNSフィルタリングを使用して会社のDNS解決サービスにクエリを送信します。その悪意のあるサイトが会社のブロックリストに掲載されている場合、DNSリゾルバーはリクエストをブロックして、malicious-website.comが読み込まれるのを防止することでフィッシング攻撃を阻止します。

DNSフィルタリングは、ドメイン名またはIPアドレスのいずれかでWebプロパティをブロックリストに追加できます:

ドメインごと:DNSリゾルバーは、特定のドメインを含むIPアドレスの解決または検索はすべて行いません。

IPアドレスごと:DNSリゾルバーはすべてのドメインを解決することを試みますが、IPアドレスがブロックリストにある場合、リゾルバーは要求元のデバイスに送り返すことはありません。

ブロックリストとは?

DNSフィルタリングにおけるブロックリストとは、既知の有害なドメインまたはIPアドレスのリストのことです。DNSフィルタリングベンダーは、サイバーセキュリティコミュニティ内で共有されているブロックリストに依存する、独自のブラックリストを生成する、あるいはその両方を行う場合があります。一部のDNSフィルターは、Webページも評価して、ブロックリストに自動的に追加します。たとえば、悪意のあるJavaScriptコードがexample.com上で実行されているのが確認されると、example.comはブロックリストに追加されます。

DNSは、マルウェアやフィッシング攻撃に使用されているわけではなくても、禁止されているコンテンツや不適切なコンテンツをホストするドメインもブロックリストに追加する場合があります。たとえば、企業は成人向けコンテンツをホストするWebサイトをDNSフィルタリングブロックリストに追加することができます。

ブロックリストと逆の概念にあたるのが、許可されたドメインやIPアドレスのリストである許可リストです。許可リストに掲載されていないすべてのドメインまたはIPアドレスがブロックされます。

DNSフィルタリングはマルウェアやフィッシング攻撃をブロックするのにどのように役立つか?

DNSフィルタリングは、悪意のあるソフトウェアであるマルウェアが会社のネットワークやユーザーデバイスに侵入するのを防止するのに役立ちます。また、いくつかの種類のフィッシング攻撃をブロックするのにも役立ちます。

1. 悪意のあるWebサイトをブロックする

マルウェアをホストするWebサイトは、ユーザーをだまして悪意のあるプログラムをダウンロードさせるようにするか、またはドライブバイダウンロードという攻撃(Webページの読み込み時に悪意のあるソフトウェアを自動的にダウンロードさせる行為)を仕掛けます。ほかの多くの攻撃も可能です。たとえば、WebページはJavaScriptコードを実行しますが、完全なプログラミング言語であるJavaScriptは、さまざまな方法でユーザーデバイスを侵害するのに使用できます。

DNSフィルタリングは、ユーザーが悪意のあるWebページをまったく読み込まないようにすることで、この種の攻撃を防止することができます。

2. フィッシングサイトをブロックする

フィッシングサイトとは、フィッシング攻撃にてログイン認証情報を盗むために作成された偽サイトのことです。使用されるドメインは、模倣したドメインであったり、ほとんどのユーザーが疑いもしない本物そっくりなドメインであったりします。どのような方法であっても、攻撃者の目的はユーザーをだまして、認証情報を不正に入手することです。こうしたWebサイトは、DNSフィルタリングを使用してブロックすることができます。

こうした機能は、DNSフィルタリングシステムが悪意のあるIPアドレスやドメインを不良なものとして認識することを前提としています。DNSフィルタリングシステムは、こうした悪意のある行為を阻止できますが、攻撃者が新しいドメインを非常に素早く生成したら、すべてをブロックリストに追加することはできません。

DNSフィルタリングは禁止されているコンテンツをどのようにブロックするのか?

特定のコンテンツへのアクセスを制限するプロセスは、前述のプロセスと似ています。禁止されているコンテンツをホストしていることがわかっているIPアドレスやドメイン名はブロックリストに追加されているので、ユーザーはそれらにはアクセスできません。あるいは、会社が承認しているWebサイトを許可リストに追加して、DNSフィルタリングを使用してそれ以外のWebサイトすべてをブロックすることができます。

セキュアなDNSサーバーとは?

セキュアなDNSサーバーとは、DNSフィルタリングサービスの一環として、悪意のあるWebサイトや禁止されているWebサイトをブロックするDNSリゾルバーのことです。一部のセキュアなDNSサーバーはプライバシーを強化してユーザーデータを保護します。たとえば、Cloudflareは、24時間後にすべてのDNSクエリログを消去する1.1.1.1と呼ばれるDNS解決サービスを提供します。

DNSはセキュリティを考慮して設計されていないため、DNSフィルタリングに加えて、ほかにもDNSプロセスの安全性を高める方法があります。DNSSECプロトコルは、DNSリゾルバーが正確な情報を提供し、攻撃者によって侵害されていないことを確認するのに役立ちます。DNS over TLS(DoT)プロトコルとDNS over HTTPS(DoH)プロトコルは、攻撃者がユーザーのDNSクエリを尾行したり訪問するWebサイトを追跡したりできないようにDNSクエリやレスポンスを暗号化します。

DNSフィルタリングとWebフィルタリングの違い

Webフィルタリングは、Webトラフィックを管理する多くの方法を指す広義の用語です。DNSフィルタリングは、Webフィルタリングの一種です。ほかの種類のWebフィルタリングには、URLフィルタリング、キーワードフィルタリング、コンテンツフィルタリングなどがあります。

CloudflareはほかのDNSサービスに加えてDNSフィルタリングを提供するか?

Cloudflareは、パブリックDNSリゾルバーである権威DNSサービス、およびインターネット上で従業員がアクセスするものを制限したい企業向けであるDNSフィルタリング機能を提供します。Cloudflare GatewayはDNSフィルタリングを含むセキュアWebゲートウェイであり、ブラウザの分離やほかの技術と一緒に、社内のユーザーを保護します。Cloudflare Gatewayの詳細またはセキュアWebゲートウェイの仕組みについては、こちらをご覧ください。

利用開始

アクセス管理について

ゼロトラストについて

VPNリソース

用語集

ラーニングセンターナビゲーション

© 2025 Cloudflare, Inc.プライバシーポリシー利用規約セキュリティの問題を報告信頼性と安全性商標