DNSセキュリティとは

ドメインネームシステム（DNS）セキュリティ拡張（DNSSEC）は、インターネット上の重要なネームサービスを無効にしたり、アクセスを妨げる可能性のある攻撃からインターネットとそのユーザーを保護する手段です。 セキュリティ拡張機能は、DNSサーバーがインターネットプロトコル（IP）アドレス変換機能を引き続き提供する方法を作成しますが、DNSサーバーが一連の信頼関係を作成することによって相互に認証するという追加の規定を備えています。 拡張により、DNSサーバー間で共有されるデータは、データの転送に使用される既存のプロトコルよりも通常困難なレベルの整合性も実現します。

もともと、DNSは、名前とそれに関連するIPアドレスのセキュリティで保護されていない公開配布物として作成されました。 ただし、インターネットが成長するにつれて、DNSセキュリティ、プライバシー、およびDNSデータの整合性に関連する多くの問題が発生しました。 プライバシーの問題に関しては、DNSサーバーを適切に構成することで問題を早期に処理しました。 それでも、DNSサーバーは、あらゆる種類のサーバーに影響を与える可能性のある分散型サービス拒否（DDoS）やバッファーオーバーフロー攻撃など、さまざまな種類の攻撃を受ける可能性があります。 ただし、DNSに固有の問題は、一部の外部ソースが誤った情報を導入してデータを汚染する問題です。

DNSSECはインターネットエンジニアリングタスクフォース（IETF）によって開発され、コメントのリクエスト（RFC）ドキュメント、4033〜4035で詳細に説明されています。これらのドキュメントは、公開キー認証技術を使用して達成できるDNSセキュリティについて説明しています。 DNSサーバーでの処理を軽減するために、認証手法のみが使用され、暗号化は使用されません。

DNSSECが機能する方法は、DNS階層の異なる層の間で信頼関係を作成することです。 最上位レベルでは、DNSのルートドメインが、.com、.orgなどの下位ドメイン間の主要な仲介者として確立されます。 次に、サブドメインはルートドメインを参照し、信頼できるサードパーティと呼ばれるものとして機能し、他のドメインの信頼性を検証して、互いに正確なDNSデータを共有できるようにします。

RFCに記載されているメソッドの結果として発生する問題の1つは、ゾーン列挙と呼ばれます。 外部ソースがネットワーク上のすべての名前付きコンピューターのIDを学習することが可能になります。 DNSはもともとプライバシーのために設計されたものではないが、さまざまな法的義務および政府の義務によりデータを非公開にする必要があるという事実により、DNSセキュリティとゾーン列挙の問題に関して議論が展開されました。 RFC 5155で説明されている追加のプロトコルでは、DNSに追加のリソースレコードを実装する方法が説明されています。

DNSセキュリティの実装に関するその他の問題は、古いシステムとの互換性に関連しています。 実装されるプロトコルは汎用である必要があり、したがって、インターネットを使用しているすべてのコンピューター、サーバー、およびクライアントが理解する必要があります。 ただし、DNSSECはDNSのソフトウェア拡張機能によって実装されているため、新しい方法をサポートするために古いシステムを適切に更新するのは困難です。 それでも、DNSSECメソッドの展開は2009年後半から2010年初めにルートレベルで開始され、多くの最新のコンピューターオペレーティングシステムにはDNSセキュリティ拡張機能が搭載されています。