ホーム Topics DNSSEC DNSSEC(DNSセキュリティー拡張機能)とは
DNSソリューションはこちら AI関連の最新情報を購読する
ギア、ロボット・アーム、携帯電話の絵文字のコラージュの図

公開日:2024年3月8日
寄稿者:Tasmiha Khan、Michael Goodwin
DNSSEC(DNSセキュリティー拡張機能)とは

DNSSECは、暗号化認証を使用して、DNSクエリで返されたDNSレコードが権威ネームサーバーからのものであり、途中で変更されていないことを検証するドメイン・ネーム・システム(DNS)の機能です。

つまり、DNSSECはユーザーを偽のWebサイトではなく、検索している実際のWebサイトに誘導するようサポートします。検索を非公開にするわけではありませんが(トランスポート層セキュリティー(TLS)は、インターネット上のプライバシーを確保するために設計されたセキュリティープロトコルです)、悪意のあるエンティティが操作されたDNS応答をDNSリクエストに挿入するのを防ぐのに役立ちます。

DNSSEC(ドメイン・ネーム・システム・セキュリティー・エクステンションズの略)は、DNSプロトコルを拡張し、DNSスプーフィング、DNSキャッシュ・ポイズニング、中間者攻撃、DNSデータへのその他の不正な変更など、さまざまなサイバー攻撃の影響を受けやすいDNSの脆弱性に対処するために使用されます。DNSSECのデプロイメントにより、これらの潜在的なリスクに対してDNSを強化し、より安全で信頼性の高いインターネットインフラストラクチャーを提供します。DNSリゾルバーが情報を照会すると、DNSルックアップ応答はデジタル署名の検証によって検証され、受信したデータの信頼性と整合性が確認されます。

サイバーセキュリティーの脅威が進化し続けるにつれて、DNSSECなどの強力なセキュリティー対策の需要が高まる可能性があります。Internet Corporation for Assigned Names and Numbers(ICANN)のような組織は、DNSセキュリティーにおけるその重要な役割に対する認識の高まりを反映して、その世界的な導入を積極的に推進しています。

  
AIとITオートメーションのためのガイド

AIとITオートメーションのためのエンタープライズ・ガイドでは、使用する理由と方法、取り組みを妨げている問題、開始方法など、AIを活用したITオートメーションについて詳しくご説明します。
関連コンテンツ

IBMニュースレターの購読
関連するDNSレコードタイプと用語

DNSのセキュリティーを確保するために、DNSセキュリティー拡張機能は既存のDNSレコードに暗号署名を追加します。これらの署名は、Aレコード(IPv4アドレスとドメイン名の間に直接接続を作成する)、AAAA レコード(ドメイン名をIPv6アドレスに接続する)、MXレコード(電子メールをドメインメールサーバーに転送する)、CNAMEレコード(エイリアスをtrueまたは「正規の」ドメイン名にマッピングする)など、他のDNSレコードタイプとともにDNSネームサーバーに保存されます。

DNSSECの機能の理解に役立つその他の関連レコードおよび用語には、次のものがあります。
DSレコード(委任署名者レコード)

DSレコードは、親ゾーンと子ゾーンの間に安全な信頼の鎖を確立するために使用されます。 これらには、DNSKEYレコードの暗号化ハッシュが含まれています。
DNSKEYレコード

DNSKEYレコード(DNSSEC鍵ともいいます)には、特定のDNSゾーンに関連付けられた公開鍵が格納されます。これらの鍵はデジタル署名を検証し、そのゾーン内のDNSデータの信頼性と整合性を確保するために使用されます。
RRSIGレコード(リソースレコード署名レコード)

RRSIGレコードには、一連のDNSリソースレコードに関連付けられた暗号署名が含まれています。
RRset(リソースレコードセット)

これは、DNS 内の特定の名前に関連付けられた特定のタイプのすべてのリソース コードのコレクションです。たとえば、「example.com」に関連付けられている2つのIPアドレスがある場合、これらのアドレスのAレコードがバンドルされてRRsetが形成されます。
NSECレコード(ネクスト・セキュア・レコード)

これは、ドメインに存在するレコードタイプをリストするレコードであり、特定のドメイン名の存在の認証された拒否を示すために使用されます。これは、「ネクスト・セキュア」レコードを返すことで機能します。たとえば、再帰リゾルバーがネームサーバーに存在しないレコードを問い合わせると、ネームサーバーは、要求されたレコードが存在しないことを示す別のレコード(サーバー上で定義された「ネクスト・セキュア・レコード」)を返します。
NSEC3(ネクスト・セキュア・バージョン3)

これはNSECに対する機能強化です。攻撃者がゾーン内の既存のドメインの名前を予測したり推測したりするのがより困難になるため、セキュリティーが向上します。NSECと同様に機能しますが、特定のゾーンの名前を一覧表示しないよう、暗号的にハッシュされたレコード名を使用します。
ゾーン署名鍵(ZSK)

ゾーン署名鍵のペア(公開鍵と秘密鍵)は、RRsetの署名と検証に使用される認証鍵です。DNSSECでは、各ゾーンにZSKペアがあります。秘密鍵は、RRsetのデジタル署名を作成するために使用されます。これらの署名は、RRSIGレコードとしてネームサーバーに保存されます。DNSKEYレコードに保存されている関連する公開鍵は署名を検証し、RRsetの信頼性を確認します。ただし、公開ZSKを検証するには、追加の対策が必要です。このために、鍵署名鍵が使用されます。
鍵署名鍵(KSK)

鍵署名鍵は公開鍵と秘密鍵のペアであり、公開ゾーンの署名鍵が漏洩していないことを検証するために使用されます。
DNSSECの仕組み

DNSセキュリティー拡張機能は、DNSのセキュリティーと信頼性を強化するように設計された、暗号的に保護されたフレームワークを提供します。DNSSECの中核では、公開鍵と秘密鍵のペアのシステムが採用されています。DNSSEC検証を有効にするために、ゾーン管理者は、プライベートゾーン署名鍵と、DNSKEYレコードとして配布される対応する公開鍵を使用して、デジタル署名(RRSIGレコードとして保存)を生成します。ZSKの署名と認証には鍵署名鍵が使用され、追加のセキュリティー・レイヤーを提供します。

DNSリゾルバーがクエリを受けると、要求されたRRsetと、プライベートゾーン署名鍵を含む関連するRRSIGレコードを取得します。次に、リゾルバーは、公開ZSK鍵を保持するDNSKEYレコードを要求します。これら3つのアセットを組み合わせて、リゾルバーが受信する応答を検証します。ただし、公開ZSKの信頼性は依然として検証する必要があります。ここで、鍵署名鍵が登場します。

鍵署名鍵は、パブリックZSKに署名し、DNSKEYのRRSIGを作成するために使用されます。ネームサーバーは、パブリックZSKの場合と同様に、DNSKEYレコードでパブリックKSKを公開します。これにより、両方のDNSKEYレコードを含むRRsetが作成されます。これらはプライベートKSKによって署名され、パブリックKSKによって検証されます。この認証は、KSKの目的であるパブリックZSKを検証し、要求されたRRsetの信頼性を検証します。
DNSの信頼の鎖

DNSSECは、DNS階層全体で「信頼の鎖」を確立し、各レベルでDNSデータに署名して、データの整合性と信頼性を保証する検証可能なパスを作成するという原則に基づいて運営されています。チェーン内の各リンクはデジタル署名で保護され、ルートゾーンサーバーから始まり、最上位ドメイン(TLD)サーバーを経由して個々のドメインの権限のあるDNSサーバーまで続くトラストアンカーが作成されます。

委任署名者(DS)レコードは、親ゾーンから子ゾーンへの信頼の転送を可能にするために使用されます。リゾルバーが子ゾーンを参照すると、親ゾーンは、親ゾーンのDNSKEYレコードのハッシュを含むDSレコードを提供します。これは、子ゾーンからのハッシュされたパブリックKSKと比較されます。一致はパブリックKSKの信頼性を示し、サブドメイン(子ゾーン)内のレコードが信頼できることをリゾルバーに知らせます。このプロセスはゾーンからゾーンへと機能し、信頼の鎖を確立します。
DNSSECとDNSセキュリティーの比較

DNSSECとDNSセキュリティーは、インターネットセキュリティーの領域内で関連する概念であり、それぞれに明確な焦点と範囲があります。DNSSECは、特にドメイン・ネーム・システムのセキュリティーを強化するために設計された一連のDNS拡張機能を指します。その主な目的は、秘密鍵と公開鍵の暗号化を通じてDNSレコードの整合性と信頼性を確保することです。

DNSセキュリティーは、DNS環境全体を保護するための包括的なアプローチを含む広義の用語です。DNSSECはDNSセキュリティーの重要な要素ですが、DNSセキュリティーの範囲はDNSSECの特定のプロトコルにとどまりません。DNSセキュリティーは、分散型サービス妨害(DDoS)攻撃やドメイン盗難などのさまざまな脅威に対処し、DNSインフラストラクチャーを侵害する可能性のある悪意のある活動から保護するための総合的な戦略を提供します。
関連ソリューション
IBM NS1 ConnectマネージドDNS

IBM NS1 ConnectマネージドDNSサービスは、レジリエントで高速な権威DNS接続を提供することで、ネットワークの停止を防ぐと同時に、ビジネスを常にオンライン状態に保ちます。

 IBM NS1 ConnectマネージドDNSはこちら ライブ・デモの予約
IBM Cloud DNS Services

IBM® Cloud DNS Servicesは、IBM Cloud WebインターフェースまたはAPIによって管理される、高速応答時間、比類のない冗長性、および高度なセキュリティーを備えたパブリックおよびプライベートの権威DNS Servicesを提供します。

 IBM Cloud DNS Servicesの詳細はこちら
IBM DNS network resilience and uptime

グローバル・ネットワークと高度なDNSトラフィック・ステアリング機能により、アプリケーションのレジリエンスとアップタイムを向上させます。

 IBM DNS network resilience and uptimeはこちら
参考情報 ドメイン・ネーム・システム(DNS)とは何か?

DNSを使用すると、ユーザーは数値的なインターネット・プロトコル・アドレスではなく、URLを使用してWebサイトに接続できるようになります。

 DNSサーバーとは

DNSサーバーは、ユーザーがWebブラウザで検索したWebサイトのドメイン名を、対応する数値のIPアドレスに変換します。このプロセスはDNS解決と呼ばれます。

DNSレコードとは

ドメイン・ネーム・システム(DNS)レコードは、DNSサーバー内のドメイン名をインターネット・プロトコル(IP)アドレスに接続するために使用される一連の命令です。

ネットワーキングとは

コンピューター・ネットワークの仕組み、ネットワークの設計に使われるアーキテクチャー、ネットワークの安全性を保つ方法を紹介します。

 ネットワーク・セキュリティーとは

ネットワークセキュリティーは、内部および外部のサイバー脅威やサイバー攻撃からコンピューターネットワークとシステムを保護することに重点を置いたサイバーセキュリティーの分野です。

 データベース・セキュリティーとは

データベース・セキュリティーとは、データベースの機密性、整合性、可用性を確立および維持するために設計された一連のツール、制御、および対策を指します。
次のステップ

IBM NS1 Connectは、プレミアムDNSとカスタマイズ可能な高度なトラフィック・ステアリングにより、世界中のユーザーに高速で安全な接続を提供します。 NS1 ConnectはAPIファーストのアーキテクチャーを備えており、ITチームがより効率的にネットワークを監視し、変更を展開し、定期的なメンテナンスを実施できるようになります。

 NS1 Connectの詳細はこちら デモを予約