無料のコンテンツフィルタとしての実力は？　Cisco傘下となった「OpenDNS」を試す

　2015年8月、CiscoがOpenDNSの買収を完了した。同社のセキュリティ製品への応用も検討されているが、以前から提供されてきた個人向けのコンテンツフィルタリンスサービスなども継続して利用できるうえ、速度面でも一部改善が施された。子供向けのコンテンツフィルタリンスサービスとして、どこまで使えるかを試してみた。

Akamaiの問題は解決済みも

　かつてGoogleのPublic DNSともに注目を集めたOpenDNS。そのサービスに再び注目が集まりそうだ。

　と言っても、Ciscoによる買収というニュースからも想像できる通り、その主戦場はビジネスシーン。これまでに収集された豊富なDNSの情報を、同社のセキュリティソリューションで活用していこうというのが、今回の狙いとなる。

　ということで、個人ユーザーの観点からすると、さほど面白みがなさそうにも思えるのだが、あらためてサービスを見直してみると、シーンによっては利用する価値もどうやらあるのではないかと考えられる。

Cisco傘下となったOpenDNS

　もちろん、かつてまことしやかに広められた速度向上のような話ではない。

　確かにOpenDNSも速度という面での改善はなされている。かつては、Open DNSのような海外のDNSサーバーを設定することで、そこからクライアントのロケーションが判断され、Akamaiのサーバーが海外に設定されてしまうことなども話題になったが、現在ではその問題は解決されている。

　しかしながら、わざわざ海外のDNSに問い合わせれば、それだけで余計に時間がかかることは事実で、速度という点で言えば、接続先のプロバイダーで管理されているDNSサーバーを使う方がよほどレスポンスは良い。

　実際、DNS Benchmarkを使って、プロバイダーのDNS（IIJ）、Google Public DNS、OpenDNSの問い合わせの速度を比べてみたのが以下の画面だ。

　グラフの赤いバーは当該DNSサーバーにキャッシュ済みの情報に対しての応答、緑色がほかのDNSサーバーに問い合わせが必要な情報（キャッシュなし）の応答、青もキャッシュなしの問い合わせの時間だがDotComサーバーへの問い合わせの応答時間となる。

　キャッシュ済みの問い合わせに関しては、ほとんど差がなく3～4ms前後となるが、やはりキャッシュなしの問い合わせに関しては、OpenDNSやGoogle Public DNSは100～150msほどで、OpenDNSのDotCom問い合わせは200msを超えてしまった。

　国内DNSサーバーへの問い合わせはキャッシュなしでも50ms前後なので、やはり速度という面ではかなわないことになる。

メリットはセキュリティ

　では、わざわざ遅くなるOpenDNSを使うメリットはどこにあるのだろうか？　理由は1つ、セキュリティだ。

　OpenDNSは問い合わせられたDNSから特定のコンテンツを含むサイトを判断し、そのアクセスを遮断する機能が提供されている。

　ブラウザーなどでサイトにアクセスしようとすると、入力されたURLに割り当てられたIPアドレスをDNSサーバーに問い合わせるが、この際、アクセス先がアダルトサイトやフィッシングサイトなどであると判断されれば、そのアクセスが禁止されるわけだ。

　いわゆるコンテンツフィルタリングの機能だが、これを導入しようとすると、有料のセキュリティ対策ソフトをPCやスマートフォンに個別に導入したり、ルーターに搭載されいてるコンテンツフィルタリング機能を利用（一部有料）したりする必要がある（NETGEARのルーターのコンテンツフィルタリングサービスは、OpenDNSを利用）。

　しかし、OpenDNSを利用すれば、PCやスマートフォンのDNSサーバーを変更したり、ルーターのWAN側のDNSサーバーを変更したり、DHCPで配布するDNSサーバーのアドレスをOpenDNSのアドレス（208.67.220.123/208.67.222.123）に変更したりするだけでいい。かつては、簡単なユーザー登録が必要だったが、現在は何の登録も必要なく、ただ公開されているDNSサーバーのアドレスを登録するだけでいい。かなり手軽になった。

個人向けに無料で提供されているFamily Shield。登録なども不要になり、単にDNSのアドレスを設定するだけで利用できる

　ただし、個人向けの無料サービスのうち、エントリー向けのFamily Shield（アドレスを設定するだけのサービス）は、フィルタリングできるコンテンツがアダルトサイトとフィッシングサイトのみとなり、カテゴリなどを個別に設定することはできない。

　また、フィルタリングされるサイトも、著名なアダルトサイトであれば海外だけでなく国内のサービスもフィルタリングされるものの、違法にアップロードされた画像や動画などを掲載しているサイト、ブログ形式の小規模なサイトなどは、フィルタリングされずに表示されてしまう。

　以前に比べれば遮断されるサイトは確実に増えているが、まだ少し甘い印象はある。レスポンスが悪くなることも考えると、考えどころではあるが、何も対策をしないよりはマシといったところだろう。

アダルトサイトにアクセスしようとするとアクセスが遮断される

ルーターのDHCPサーバーで配布するDNSサーバーアドレスとして設定すればPCやスマートフォン、タブレットなどすべてに適用可能

より高機能な「Open DNS home」

　Family Shieldのサービスが物足りないようであれば、同じく個人向けに無料で提供されているOpen DNS homeの利用を検討するといいだろう。

　メールアドレスや名前など簡単な情報の登録によって、50のカテゴリからフィルタリングできるコンテンツを選べるようになるうえ、クエリの数や遮断したクエリなど、トラフィックの状況も表示できるようになる。

　なお、利用時は、自宅のルーターに割り当てられたグローバルIPアドレスの登録が必要（このアドレスからの問い合わせをトラッキングするため）となるため、接続の度にIPアドレスが変更される一般的な回線の場合は、PCなどにIPアドレスを定期的に通知するツールをインストールしておく必要がある。

　設定できるフィルタリングの強度は、Custom、None、Low、Moderate、Highの5パターンが用意されており、例えば中間のModerateでは、Adware、Alcohol、Dating、Drugs、Gambling、Hate/Discrimination、Lingerie/Bikini、Nudity、Pornography、Proxy/Anonymizer、Sexuality、Tasteless、Weaponsなどが禁止される。

　このほかBlogsやGamesなど、一般的なカテゴリも用意されるため、年齢や使い方によって細かく指定可能だ。

OpenDNS homeでは、カテゴリごとの設定が可能

　ただ、こちらも国内のサービスにどこまで対応できるかと言われると、なかなか難しく、例えばChatやInstant Messagingを禁止しても、LINEが禁止されるわけではない。せっかくカテゴリで指定しても、思い通りに動作しないケースもあるのは少々残念だ。

　では、まったく意味がないか？　と言われるとそんなこともない。カテゴリで指定できなくても個別にドメインを指定してフィルタリングすることができるので、特定のサービスを禁止したいのであれば、ドメインで指定してしまえばいい。

　OpenDNS homeでは、DNSのクエリの履歴を記録し、ユーザーが参照できるようになっている。これを見ると、どのドメインへのアクセスが多いのかといったことを判断できるので、リストアップされたドメインのうち、特定のドメインをクリックしてアクセスを禁止してしまえばいいのだ。

　例えば、LINEを禁止したいなら、リストの中に「xx.line.naver.jp」が見つかるはずなので、これをクリックすることでアクセスを遮断できる。

トラッキングされたクエリから禁止したいドメインを選択してアクセスを遮断可能。LINEなども明示的に禁止できる

　なお、LINEのようなアプリが内部的に利用するドメインを禁止した場合、当然のことながら、ブラウザのようにOpenDNSによって遮断されたというメッセージはどこにも表示されない。例えば、LINEであれば、「ネットワークが不安定です」と表示されて通信できなくなったり、メッセージを送信しても届かなかったり、という見え方になる。このため、設定すると、実際に遮断されたユーザーから「トラブルではないか？」と問われる可能性が高い。

　こうした理由により、若干、運用に注意は必要だが、家族もしくは社員がどのようなサイトにアクセスしているのかをチェックするためにも活用できるので、そのあたりを把握したい人にとってはかなり有用だ。

「OpenDNS home」利用時の注意点

　このように、機能的には「OpenDNS home」が有利だが、1つ注意点がある。Family Shield以上に、DNS問い合わせのレスポンスが低くなることだ。

　以下の画面は、OpenDNS homeを設定したPCで、前掲と同じDNS Benchmarkを実行した際の結果だ。

　Family Shieldのときは、キャッシュ済みの問い合わせは、ほかのDNSと大差なかったが、OpenDNS homeではキャッシュ済みでも100msを超える値となっているうえ、キャッシュなしの情報は200ms以上もかかっている。

　前述した機能を考えれば致し方ないところではあるが、実際にブラウザーでいくつかのWebページを巡回してみても、やはりどこかもたつく印象がある。この点は覚悟が必要と言えそうだ。

　以上、今後が期待できるOpenDNSをあらためて使ってみたが、確かに以前より、速度面が改善され、機能的にも充実しているのは事実だ。Ciscoの後ろ盾を得て、サービスとしての信頼性が高くなったのもメリットと言えるだろう。

　ただ、それでも速度に関しては注意が必要だ。少しでも遅くなるのがイヤだと考えるのであれば、利用は慎重に検討する必要がある。パフォーマンスを犠牲に得られるフィルタリングやアクセス記録といったメリットをどこまで重視するかがポイントになるだろう。