\r\n\r\n
ほとんどの方は、パソコンのオンライン・セキュリティを向上させる一般的な方法について熟知していることでしょう。ハイグレードなアンチウィルスソフトのインストール、パスワードマネージャーの使用、OSのプライバシー設定の変更など、さまざまな方法があります。
しかし、セキュリティを向上させるためのあまり知られていない方法があります。その一つが、DNSプロバイダーを変更することです。
DNSを変更することはなぜ良いアイデアなのか、またセキュリティ上どのようなメリットがあるのか。
DNSを変更する理由を説明する前に、DNSとは何かを明確にしておきましょう。すでに専門用語に慣れている方は、このセクションを読み飛ばしていただいて結構です。
DNSとは、Domain Name Systemの略で、日本語では「ドメイン名システム」と訳されます。インターネット上の電話帳のようなものと考えていただければと思います。この技術は、覚えやすいウェブサイトのURL(www.[名前].com)を数字のIPアドレスに変換します。 IPアドレスは、ネットワーク上の機器、コンピューター、サービスの位置を示すものです。
ISPは自動的に自社のDNSサーバーを経由してトラフィックをルーティングしますが、多くのサードパーティ製品が利用可能です。セキュリティの観点から、サードパーティのオプションは、通常、ISPのDNSサーバーよりもはるかに優れています。
DNS技術は、スプーフィング攻撃とサービス拒否(DoS)攻撃の2つの主要な攻撃ベクトルに対して脆弱性があります。
なりすまし攻撃は、正規のWebサイトから悪意のあるWebサイトへ誘導するように設計されています。キャッシュポイズニングの原因となり、DNSリゾルバのキャッシュに不正なデータが入り込み、不正なIPアドレスに何度もリダイレクトされることになるのです。
DoS攻撃はメディアで頻繁に報道され、一般の人々も理解を深めています。ハッカーは、送信元IPアドレスを偽装して、大量のトラフィックをウェブサイトに誘導するために使用します。障害のあるウェブサイトは通常アクセスできません。
DNSSECは、これらの脅威に対する事実上の解決策ですが、プロバイダーが普遍的に実装しているわけではありません。本稿執筆時点では、ほとんどのISPは自社のDNSサーバーでDNSSECを提供していません。GoogleやOpenDNSなど、多くのサードパーティーサイトはDNSSECを提供しています。
秘密鍵にアクセスできなければ、署名は偽造できないし、パーサーは不正な鍵を含む応答を拒否する。
サードパーティのDNSサーバーもDNS over HTTPSの技術を導入し始めています。
ほとんどのDNSクエリーは、UDPまたはTCP接続を使用して送信され、暗号化されていません。もちろん、セキュリティ上のリスクはあります。盗聴、なりすまし、改ざんなどの攻撃を受けやすくなります。特に、再帰的DNSリゾルバから定期的に応答を得ている場合は、危険性があります。
DNS over HTTPSは、暗号化されたHTTPS接続を使用してDNSクエリを解決することができます。DNSSECと連動し、ユーザーに認証されたエンドツーエンドのDNSルックアップを提供します。その結果、クライアントと再帰リゾルバ間のセキュリティが大幅に強化される。
GoogleのDNSサーバーは、2016年4月からこの技術を採用しています。
フィッシング詐欺について知っておく必要があります。要するに、機密性の高い情報を引き出そうとするサイバー犯罪者なのです。通常、電子メールやウェブサイトは、正規のビジネスを装い、銀行口座や住所などの個人情報の入力を求めます。
サードパーティーのDNSサーバー(OpenDNSを含む)の中には、フィッシング対策を施しているものがあります。現在、ほとんどの最新ブラウザにはフィッシング対策が組み込まれていますが、オフィスのネットワークで古いブラウザを使わざるを得ない場合や、Windows XPを使用していてInternet Explorer 6以外のブラウザを使用できない場合などは、OpenDNSの機能が有効です。
フィッシング対策などの機能はトレードオフの関係にあります。DNSに追加サービスが含まれるほど、動作が遅くなることに注意してください。
Windowsのネイティブペアレントコントロールは、Windows 10のリリース以来、長い道のりを歩んできましたが、Macでは常にかなり強力でした。
しかし、どちらのOSのツールも、ユーザーごとに制御を管理することに依存しています。もし、お子さまがあなたの**アカウント**でマシンを使い始めたら、誤ってポルノコンテンツを発見してしまうかもしれません。
DNSサーバーの中には、この矛盾を解決する方法を提供しているものもあります。例えば、OpenDNSでは、ブラックリストとホワイトリストのサイトをウェブサイトから設定することができます。すべてのカテゴリのサイトをブロックすることもできるので、子供が宿題をすべきときにソーシャルメディアにアクセスしないようにするのにも有効です。
OpenDNSの最大の特徴は、ネットワークレベルでペアレンタル・コントロールを設定できることです。
DNSサーバーの変更方法は、お使いのオペレーティングシステムによって異なります。ここでは、WindowsとMacの手順だけを詳しく説明します(Linuxはバリエーションが多すぎてカバーしきれません)。また、ルーターのDNS設定を変更することもできますが、ここでも多くの順列があるため、ここでは取り上げません。
Windowsをお使いの場合は、ネットワークと共有センターで変更する必要があります。ツールバーのWi-Fiアイコンを右クリックし、「ネットワークと共有センターを開く」を選択します。次に、Wi-Fiネットワークの名称をクリックします。
新しいウィンドウで、「プロパティ」をクリックします。
インターネットプロトコルバージョン4(TCP/IPv4)をハイライト表示し、プロパティをクリックします。
最後に、「次のDNSサーバーのアドレスを使用する」の横にあるチェックボックスにチェックを入れ、任意のプロバイダーを入力します。2つ以上追加する場合は、「詳細設定」をクリックします。
Macをご使用の場合は、手順が異なります。
まず、アップルメニューを開き、「システム環境設定」をクリックします。
次に、「ネットワーク >詳細設定 >DNS」に進みます。
最後に、左の欄の下にある「+」アイコンをクリックし、新しいDNSサーバーのアドレスを入力します。
この記事を読んで、DNSサーバーについて、変更することでどんなメリットがあるのか、どのように変更すればいいのか、ご理解いただけたと思います。
今度はあなたが意見を言う番です。どの○○プロバイダーを使っているのか知りたいです。競合他社ではなく、なぜこの製品を選んだのでしょうか?どのような機能があるのでしょうか?
いつものように、以下のコメント欄でお話やご意見をお聞かせください。
写真提供:MOHD BAHIRI BIN IBRAHIM via Shutterstock.com