IIJ、DoT/DoHとDNSSECをDNSキャッシュサーバーに導入、セキュリティを強化

　株式会社インターネットイニシアティブ（IIJ）は、同社のインターネット接続サービスで提供するDNSキャッシュサーバーに、「DoT（DNS over TLS）」「DoH（DNS over HTTPS）」「DNSSEC（DNS Security Extensions）」を実装し、16日に提供を開始した。DoT/DoHおよびDNSSEC利用についての追加費用は発生しない。

　DoT/DoHは、TLS（Transport Layer Security）およびHTTPSの上にDNS通信をのせることでクライアントとDNSサーバー間の通信経路を暗号化する技術。第三者による通信の盗聴や改ざんの危険性を低減する。

　IIJでは2019年5月から、DoT/DoHに対応した「IIJ Public DNSサービス」のベータ版を提供している（2019年5月8日付関連記事『「IIJ Public DNSサービス（ベータ版）」無償公開、DNS over TLSとDNS over HTTPSに対応』参照）。この試験サービスによって、DoT/DoHの実装に関する実用性の確認および技術検証、DoT/DoHに対応したDNSサーバーの運用ノウハウを蓄積してきたという。

　DNSSECは、電子署名を応用し、DNSの情報が改ざんされていないかを検証する仕組みで、IIJではこれまでドメイン情報を管理するDNS権威サーバーにおいてDNSSEC対応を進めてきた。インターネット上のDNS権威サーバーにおいてDNSSECの普及が進んだことを受けて、DNSキャッシュサーバー側もDNSSECに対応した。これにより、DNS権威サーバーからの応答に含まれる電子署名をDNSキャッシュサーバー側で検証し、サーバーの正当性を確認できるようになった。

　DNSはドメイン名とIPアドレスを紐づける仕組みで、ユーザーがウェブサイトにアクセスする際、DNSキャッシュサーバーに問い合わせを行い、DNSの応答情報をもとにウェブサーバーとの通信を行う。しかし、この仕組みを悪用したサイバー攻撃によってDNSの応答情報が偽造されるリスクがあり、利用者が気付かないうちに不正サイトに誘導される危険性などがある。

　これまでのDNSプロトコルでは、通信経路が暗号化されていないことや、DNSキャッシュサーバーが正当なサーバーであることを確認する方法がないなどの課題があった。こうした状況に対して、インターネット技術の標準仕様を策定する「IETF（Internet Engineering Task Force）」では、DoT/DoHとDNSSECの開発が進められてきた。