ユニバーサルDNSSEC

DNSSECはDNSの信頼性と完全性を高めます。インターネットの電話帳とよくいわれるDNSは、ドメイン名を数値で表されるインターネットアドレスへ変換します。しかし、DNSは本質的に安全でないプロトコルです。DNSレコードの送信元の正当性を保証するわけではなく、与えられたアドレスをすべて無条件で受け入れてしまうからです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • DNSSECとは何かを知る
  • DNSSECの重要性を理解する
  • CloudflareでのDNSSECの導入がいかに簡単か、その様子をご覧ください

記事のリンクをコピーする

Cloudflareが提供するDNSSECは使いやすく、設定にかかる時間はわずか数分です。

今すぐ登録

DNSSECとは?

DNSSECは、暗号署名を使用してDNSレコードを検証することで、他の安全でないプロトコルにセキュリティ層を追加します。レコードに関連付けられた署名をチェックすることで、DNSリゾルバーは、リクエストされた情報が信頼できるネームサーバーから送信されたものであって、中間者攻撃によるものではないことを確認できます。DNSSECを使用すると、お客様のドメインを訪問したユーザーは、他の誰かのWebサーバーではなく、確実にお客様のWebサイトのコンテンツを閲覧することが保証されます。

詳しくはDNSSECの仕組みをご覧ください。

なぜDNSSECが重要なのか?

DNSキャッシュポイズニングと応答偽造は、DNSが始まった当初から、グローバルなDNSインフラストラクチャにおける既知の脆弱性であり、例えば、有名なものにカミンスキー攻撃があります。キャッシュポイズニングは、攻撃者がDNSネームサーバーを侵害して不正なレコードを保存することで発生します。キャッシュエントリの期限が切れるまで、そのネームサーバーは、要求してきたすべてのユーザーに、偽のDNSレコードを返します。

これにより、攻撃者はあなたのWebサイトへのトラフィックを乗っ取ることができます。ユーザーがWebブラウザにお客様のドメインを入力すると、お客様のWebサイトに誘導する代わりに、違いに気付くことなく他の何者かのサーバーにルーティングされます。攻撃者は、乗っ取ったDNSを利用して、フィッシング詐欺、迷惑広告の配信、Webトラフィックの監視、特定ドメインへのアクセスの遮断などを行うことができます。

お客様のWebサイトの整合性と評判を気にされるのであれば、DNSSECを気にする必要があります。

ユニバーサルDNSSECの導入

DNSSECは、暗号署名を使用してDNSレコードを検証することで、他の安全でないプロトコルにセキュリティ層を追加します。レコードに関連付けられた署名をチェックすることで、DNSリゾルバーは、リクエストされた情報が信頼できるネームサーバーから送信されたものであって、中間者攻撃によるものではないことを確認できます。DNSSECを使用すると、お客様のドメインを訪問したユーザーは、他の誰かのWebサーバーではなく、確実にお客様のWebサイトのコンテンツを閲覧することが保証されます。

ユニバーサルDNSSECを利用することで、お客様のWebプロパティは以下のような恩恵を受けることができます:

  • DNSの中間者攻撃からの保護
  • DNSゾーン列挙からの保護
  • .bank、.trust、.govのTLDの要件を満たすための、使いやすいソリューション

DNSSECは、ルートDNSネームサーバーまでの信頼チェーンを確立することで、中間者攻撃を防止しています。この信頼チェーンによって、訪問者が要求したDNSレコードが途中で改ざんされていないことが保証されます。

Cloudflare独自のDNSSEC実装は、elliptic curve cryptography(楕円曲線暗号)を利用して、攻撃者がゾーンウォーキングを通してプライベートDNSレコードを発見することを防止します。

.bankや.trustなどのトップレベルドメイン(TLD)は、 訪問者に信頼を伝搬するために設計されています。これは、ドメインの所有者が、DNSSECを含む様々なセキュリティプロトコルに従うことを要求することによって実現されています。DNSSECをお客様自身で実装するのは難しく、エラーが起こりやすいプロセスです。Cloudflareを使用すると、わずか数回のクリックでDNSSECの要件を満たすことができます。

DNSSECの大規模化

Cloudflareは、DNSSECによって1日に数十億のリクエストを保護しています。これは、毎週、何億人もの人々をDNSキャッシュポイズニングや中間者攻撃から守っていることになります。

ユニバーサルDNSSECは、世界最大規模のDDoS攻撃にも耐えてきたCloudflareネットワークの上に構築されています。私たちは、DNSSECの実装がDDoS増幅攻撃に悪用されないよう、特別な予防措置も講じています。Webサイトが被攻撃下にあっても、訪問者はDNSレコードを迅速かつ効率的に受け取ることができるため、ご安心いただけます。

CloudflareでDNSSECを簡単に

ユニバーサルDNSSECが、Cloudflare上のすべてのWebサイトで無料で利用できるようになりました。お客様のゾーンの署名や鍵の管理などの面倒な作業はすべて当社が行います。たった数回クリックするだけで、お客様のドメインをDNSの偽造から保護できます。お客様が行う作業は、CloudflareダッシュボードでDNSSECを有効にし、レジストラにDNSレコードを1つ追加するだけです。

  1. Cloudflareダッシュボードへログインし、アカウントとドメインを選択します。
  2. [DNS] > [設定]に進みます。
  3. DNSSECで、[DNSSECを有効にする(Enable DNSSEC)]をクリックします。
  4. このダイアログでは、レジストラーでDSレコードを作成するために必要な値にアクセスできます。ダイアログを閉じた後でも、DNSSECカードの[DSレコード(DS record)]をクリックするとこの情報に再度アクセスできます。
DNSSECの有効化

レジストラがDSレコードを公開すると、お客様のドメインはDNSSECに対応することになります。DNSSECの設定は、サードパーティ製のDNSVizツールで確認することができます。 ユニバーサルDNSSECは、ユニバーサルSSL、グローバルCDN、Webコンテンツの自動最適化など、他のすべてのCloudflareセキュリティおよびパフォーマンス機能とシームレスに動作するように設計されています。