DNSSEC(でぃーえぬえすせっく)
最終更新:2026/4/28
DNSSECは、DNS(ドメインネームシステム)の応答にデジタル署名を追加することで、データの改ざんを検出し、DNSキャッシュポイズニング攻撃を軽減するセキュリティ拡張機能である。
別名・同義語 ドメインネームシステムセキュリティエクステンション
ポイント
DNSSECは、DNSの完全性を保証するものであり、なりすましや改ざんによる情報漏洩を防ぐために重要である。従来のDNSでは認証機能がなかったため、信頼性の確保が課題であった。
DNSSECとは
DNSSEC(Domain Name System Security Extensions)は、DNSのセキュリティを強化するための技術です。従来のDNSは、名前解決の過程で改ざんや傍受を受ける脆弱性を持っていました。DNSSECは、これらの脆弱性を解消し、DNSデータの信頼性を高めることを目的としています。
DNSSECの仕組み
DNSSECは、公開鍵暗号方式を利用して、DNSデータの真正性を保証します。具体的には、以下の仕組みで動作します。
- デジタル署名: DNSゾーンファイルにデジタル署名を追加します。この署名は、ゾーンの所有者のみが生成できます。
- 公開鍵: 署名を検証するための公開鍵をDNSレコードとして公開します。
- チェーン・オブ・トラスト: 信頼されたルートゾーンから始まり、各ゾーンの署名を検証することで、名前解決の過程でデータが改ざんされていないことを確認します。
DNSSECのメリット
- DNSキャッシュポイズニング攻撃の軽減: 攻撃者がDNSキャッシュを改ざんし、偽のIPアドレスを返す攻撃を防ぎます。
- データの完全性の保証: DNSデータが改ざんされていないことを保証します。
- 信頼性の向上: DNSの信頼性を高め、安全なインターネット利用を促進します。
DNSSECのデメリット
- 複雑性: DNSSECの設定と運用は複雑であり、専門知識が必要です。
- パフォーマンスへの影響: デジタル署名の検証処理により、名前解決の時間がわずかに長くなる可能性があります。
- 導入コスト: DNSSECを導入するための費用がかかります。
DNSSECの現状
DNSSECは、徐々に普及が進んでいます。主要なDNSプロバイダーやISP(インターネットサービスプロバイダー)がDNSSECをサポートしており、多くのウェブサイトがDNSSECを導入しています。しかし、DNSSECの導入率はまだ十分とは言えず、さらなる普及が期待されています。