DNSフィルタリングの魅力とは?
こんにちは。ゼタントCEOの久保です。
前回、「WEBフィルタリング」には情報の遮断方法によって分類されることをご紹介しました。今回は、その中で特に動作が軽量で、制限が少ない「DNSフィルタリング方式」について詳しくご説明したいと思います。
DNSフィルタリング方式のメリット
DNSフィルタリングとは、DNS(Domain Name Service)という仕組みを利用して、ブラックリスト(またはホワイトリスト)に基づきドメインへの全ての通信を遮断する仕組みです。
DNSフィルタリングのメリットは、つぎの通りです。
他のフィルタリング方式と比べて、発生する通信量が少なく、処理負荷も小さい特徴があります。そのため、アプリやWebが重くなりにくいので、ストレスなくデバイスを操作できます。
HTTPSのような暗号化された通信が必要なWebサイトにも適応でき、暗号化の有無に関係なくフィルタリングすることができます。
コンテンツの中身(情報自体)をフィルタリングサーバが確認するわけではないので、(例えば、フィルタリングサービスの事業者などへの)情報漏洩の恐れがありません。
DNSフィルタリングの仕組み
なぜこのようなメリットがあるのかを、図を使って少しだけ詳しくご説明します。
パソコンやスマホでネットにアクセスしようとすると、上図のような通信が発生します。一般的には③と④の通信、すなわちコンテンツを要求して、コンテンツを受け取るところが注目されます。コンテンツというのは、Webページやアプリ、写真、動画、そして、ウィルス(!?)などです。じつは、この③と④の通信に先立ち、①と②の通信が発生します。この①と②がDNSと呼ばれる仕組みです。Webページにアクセスするときに入力するURLの中に含まれるドメイン名の部分(例えばnote.com)から、アクセスしたいコンテンツを持っているWebサーバのインターネット上の住所であるIPアドレスを入手するための手続きです。目に見えない処理なのでDNSが意識されることはほとんどありません。
DNSフィルタリングとは、このDNSの仕組みの中で、本来なら上図 ①の通信に対して受け取れるはずの返答(②の通信)を失敗させます。そうすると、IPアドレスがわからないため、それ以降の③や④の通信自体が発生しないというわけです。
つまり、コンテンツの中身を見る以前に、そもそもリスクのありそうなドメインへの通信自体を発生させないようにできることが、DNSフィルタリングの強みです。
他のWEBフィルタリング方式
コンテンツフィルタリングやURLフィルタリングについてご説明します。
他のWEBフィルタリング方式でも、通信①と②のDNSは発生します。URLフィルタリングは、通信③のところでアクセス先のURLを確認して遮断するかどうかを判断します。またコンテンツフィルタリングでは、通信④のところでコンテンツの中身をチェックして遮断するかを判断します。従って、全ての通信は暗号化されていない状態でフィルタサーバを経由させなければなりません。中身に踏み込んで遮断するかしないかをコントロールするため、これらの方式は細やかな制御が可能という特徴があります。
一方、DNSフィルタリングではドメイン名の単位でしか遮断するかしないかをコントロールできないことが弱点となります。セキュリティ対策だけでなく、例えば、「SNSの閲覧はできるけど、投稿はできないようにしたい」というような細やかな遮断ルールで運用したいという要望は、DNSフィルタリングでは満たせません(投稿するサーバが別ドメインなら満たせますが、そういうケースが必ずしもあるとは限りません)。
ただ、セキュリティ対策の観点であれば、この弱点が問題になることは稀だと思います。なぜなら、サイバー攻撃を仕掛けようとする攻撃者は、最終的に自分が建てたサーバに何らかのドメイン名をつけて、そこに通信を引き込もうとするからです。例えば、note.comのサイトの下に怪しい攻撃サイトを配置することは、攻撃者側にとっても実現困難なことだからです。
DNSフィルタリング方式は、「仕組みがシンプル」で、「動作が軽い・速い」ということが、他の方式と比べて特徴的だといえます。ISMSの新規格である「ISO/IEC 27001:2022」に追加されたWEBフィルタリング(8.23)に、DNSフィルタリング方式を選択肢として加えてみてはいかがでしょうか。
[次回のテーマ]
前回と今回にかけて「WEBフィルタリング」について詳しくご説明させていただきました。次回はISMS新規格「WEBフィルタリング」「監視活動」の2つに同時に対策できるサービスについてご紹介します。
ゼタントについて
https://qfilter.net/#about