インターネットを利用するうえで欠かせない仕組みのひとつが、DNS(Domain Name System)です。
Webサイトにアクセスするたびに、ドメイン名をIPアドレスへ変換するDNSクエリが発生していますが、従来の方法では通信内容が暗号化されておらず、第三者に盗み見られるリスクがありました。
そのようなセキュリティ上の課題を解決するために登場したのが、DNS over TLS(DoT)とDNS over HTTPS(DoH)です。
この記事では「DNS over TLSとは?意味とDNS over HTTPSとの違いを解説!(暗号化・セキュリティ・通信など)」というテーマのもと、DoTの概要から仕組み、DoHとの違い、そして実際の活用シーンまでをわかりやすくご説明します。
プライバシー保護やネットワークセキュリティに関心がある方は、ぜひ最後までご覧ください。
DNS over TLSとは?結論として「DNSクエリを暗号化する通信プロトコル」
それではまず、DNS over TLSの意味と基本的な概念について解説していきます。
DNS over TLS(DoT)とは、DNS通信をTLS(Transport Layer Security)によって暗号化するプロトコルのことです。
通常のDNSクエリは平文(暗号化されていない状態)でやりとりされるため、通信経路上にいる第三者がその内容を傍受・改ざんできてしまうという脆弱性がありました。
DoTはこの問題を解決するために設計されており、クライアントとDNSサーバー間の通信を暗号化することで、プライバシーの保護とセキュリティの向上を実現しています。
DNS over TLSの最大の目的は、「DNSクエリの内容を第三者から隠すこと」です。
アクセス先のドメイン情報が外部に漏れないようにすることで、プライバシーリスクや中間者攻撃(MITM攻撃)を防ぐ役割を担っています。
TLSとはどのような技術か
TLS(Transport Layer Security)とは、インターネット上でデータを安全に送受信するための暗号化プロトコルです。
以前はSSL(Secure Sockets Layer)と呼ばれていた技術の後継にあたり、現在ではHTTPS通信やメールの暗号化など、幅広い場面で利用されています。
TLSによって通信を暗号化することで、第三者が通信内容を読み取ることができなくなり、データの機密性・完全性が保たれます。
従来のDNS通信が抱えていた課題
従来のDNSは、UDP(User Datagram Protocol)ポート53番を使った平文通信が基本でした。
この仕組みでは、通信経路上での盗聴・改ざん・DNSスプーフィングといった攻撃に対して無防備な状態となっていました。
たとえば、カフェや空港などの公共Wi-Fiに接続した際、悪意のある第三者が通信を監視し、どのWebサイトにアクセスしているかを把握できてしまうリスクがありました。
これはプライバシー侵害につながる重大な問題であり、DoTはこの課題を解消するために標準化されたプロトコルです。
DNS over TLSの通信の仕組み
DoTは、TCPポート853番を使用してDNSクエリをTLSで暗号化した状態でやりとりします。
クライアントはまずTLSハンドシェイクを行い、サーバーとの間に安全な暗号化チャネルを確立してから、DNSクエリを送信します。
DoTの通信フロー(例)
① クライアントがDNSサーバーのポート853に接続要求
② TLSハンドシェイクにより暗号化チャネルを確立
③ 暗号化されたDNSクエリ(例:「example.com のIPアドレスは?」)を送信
④ DNSサーバーが暗号化された応答を返す
⑤ クライアントが復号してIPアドレスを取得しWebサイトへ接続
DNS over TLSとDNS over HTTPSの違いを徹底比較
続いては、DNS over TLS(DoT)とDNS over HTTPS(DoH)の違いを確認していきます。
両者はどちらもDNS通信を暗号化するという目的は共通していますが、使用するポートや通信方式、そして適した利用場面に違いがあります。
使用するポートとプロトコルの違い
DoTとDoHの最も大きな違いのひとつが、使用するポート番号とベースとなるプロトコルです。
DoTはTCPポート853番を使用し、TLSで直接DNSを暗号化します。
一方DoHは、HTTPSのポート443番を使用し、HTTP/2またはHTTP/3上でDNSクエリをやりとりします。
ポート443はWebブラウジングでも使われる一般的なポートであるため、DoHのDNS通信は通常のHTTPS通信と見分けがつかないという特徴があります。
| 項目 | DNS over TLS(DoT) | DNS over HTTPS(DoH) |
|---|---|---|
| 使用ポート | TCP 853番 | TCP 443番 |
| ベースプロトコル | TLS | HTTPS(HTTP/2・HTTP/3) |
| RFC標準 | RFC 7858 | RFC 8484 |
| ネットワーク管理のしやすさ | しやすい(専用ポート) | しにくい(通常通信と混在) |
| ファイアウォール透過性 | 低い(専用ポートのため遮断されやすい) | 高い(443番は基本的に開放されている) |
| 主な用途 | 企業・ISPなどのネットワーク管理 | ブラウザ・個人ユーザーのプライバシー保護 |
管理者視点での制御のしやすさ
ネットワーク管理者の視点から見ると、DoTとDoHでは制御・監視のしやすさに大きな差があります。
DoTはポート853番という専用ポートを使うため、ファイアウォールやネットワーク機器でDoT通信のみを許可・拒否するといった制御が比較的容易です。
一方DoHは、通常のHTTPS通信と同じポート443番を使うため、DoH通信だけを選択的にフィルタリングするのが困難になります。
このことから、企業や学校などのネットワーク環境では、ポリシー管理の観点からDoTが採用されやすい傾向にあります。
プライバシー保護の観点からの比較
個人ユーザーのプライバシー保護という観点では、DoHが注目されることが多い状況です。
DoHはHTTPS通信に紛れ込む形でDNSクエリを送受信するため、ISP(インターネットサービスプロバイダー)によるDNS監視を回避しやすいという特徴があります。
ただし、DoTも暗号化によってクエリ内容を保護する点では同等のプライバシー強度を持っており、どちらが優れているというわけではありません。
利用目的やネットワーク環境に応じて使い分けることが重要と言えるでしょう。
DNS over TLSのセキュリティ上のメリットと注意点
続いては、DNS over TLSを導入することで得られるセキュリティ上のメリットと、あわせて知っておきたい注意点を確認していきます。
DoT導入によるセキュリティ向上の効果
DoTを導入することで期待できる主なセキュリティ効果は以下の通りです。
DNS over TLSの主なセキュリティメリット
・DNSクエリの盗聴を防止し、アクセス先ドメインの情報漏洩リスクを低減できる
・中間者攻撃(MITM攻撃)による応答の改ざんを防ぐことができる
・DNSスプーフィング(偽のDNS応答による誘導)への耐性が向上する
・ユーザーのプライバシーを保護し、行動追跡のリスクを減らすことができる
特に、公共Wi-Fiや信頼性の低いネットワークにおいてDoTを使用することで、DNS通信の安全性を大幅に高めることが可能です。
企業のリモートワーク環境やモバイル端末のセキュリティ強化にも有効な手段のひとつと言えるでしょう。
DNSSECとの関係性
DNS通信のセキュリティを語るうえで、DNSSEC(DNS Security Extensions)との違いも理解しておくことが大切です。
DNSSECはDNS応答の正当性をデジタル署名によって検証する仕組みであり、データの完全性(改ざん検知)を担保します。
一方DoTは、通信経路そのものを暗号化することでプライバシーと機密性を保護します。
両者は目的が異なるため、DoTとDNSSECを組み合わせて使用することで、より強固なDNSセキュリティを実現できると考えられています。
DoT導入時の注意点
DoTはセキュリティ面で優れた仕組みですが、導入にあたっていくつかの注意点があります。
まず、DoTに対応したDNSリゾルバー(例:Google Public DNSの8.8.8.8、Cloudflareの1.1.1.1など)を使用する必要があります。
また、専用ポート853番がファイアウォールや一部の企業ネットワークでブロックされている場合、DoT通信が機能しないことがあります。
さらに、TLSハンドシェイクによって従来のDNSよりもわずかに遅延が生じる場合があるため、パフォーマンスへの影響も考慮することが求められます。
DNS over TLSの実装方法と対応サービス・環境
続いては、実際にDNS over TLSをどのように設定・活用できるかを確認していきます。
DoTは特別なソフトウェアや対応サービスを利用することで、比較的手軽に導入できます。
対応しているDNSリゾルバーと主なサービス
現在、主要なパブリックDNSサービスの多くがDoTに対応しています。
| サービス名 | 運営会社 | DoT対応 | ホスト名(TLS) |
|---|---|---|---|
| Google Public DNS | 対応 | dns.google | |
| Cloudflare DNS | Cloudflare | 対応 | cloudflare-dns.com |
| Quad9 | Quad9 | 対応 | dns.quad9.net |
| AdGuard DNS | AdGuard | 対応 | dns.adguard.com |
これらのサービスはDoTをサポートしており、設定を変更するだけでDNS通信の暗号化を実現できます。
特にCloudflare(1.1.1.1)やGoogle(8.8.8.8)は応答速度も速く、個人・法人問わず広く利用されています。
OSやルーターでのDoT設定方法
DoTは、対応しているOSやルーターの設定から有効化することができます。
Androidでは「プライベートDNS」という設定項目から、ホスト名を入力するだけでDoTを利用できるようになっています。
AndroidでのDoT設定手順(例)
① 「設定」アプリを開く
② 「ネットワークとインターネット」→「プライベートDNS」を選択
③「プライベートDNSプロバイダのホスト名」を選択
④ 例として「dns.google」または「one.one.one.one」と入力
⑤ 保存して設定完了
LinuxやWindowsでも、systemd-resolvedやAdGuard Homeなどのツールを使うことでDoTを設定できます。
ルーターレベルでDoTを設定すれば、ネットワーク全体のDNS通信をまとめて暗号化することも可能です。
企業ネットワークにおけるDoTの活用
企業のセキュリティポリシーの強化において、DoTは有力な選択肢のひとつです。
社内ネットワークからのDNSクエリを暗号化することで、情報漏洩リスクの低減や不正なDNS応答によるフィッシング被害の防止につながります。
また、ゼロトラストセキュリティの考え方が広まるなか、DNS通信の可視化・制御はネットワークセキュリティの基盤として注目されています。
DNSフィルタリングと組み合わせることで、マルウェアの通信先となるドメインへのアクセスをブロックするといった運用も可能です。
まとめ
今回は「DNS over TLSとは?意味とDNS over HTTPSとの違いを解説!(暗号化・セキュリティ・通信など)」というテーマで、DoTの仕組みから特徴、DoHとの違い、セキュリティ上のメリット、そして実際の導入方法まで詳しくご紹介しました。
DNS over TLSは、従来の平文DNSが抱えるプライバシーリスクとセキュリティの脆弱性を解消するために設計された、現代のインターネット環境に欠かせないプロトコルです。
DoHと比較すると、ポートや通信方式の違いによりネットワーク管理者にとって制御しやすい一方、DoHはファイアウォールを透過しやすいという特性があります。
どちらが優れているかではなく、利用環境や目的に応じて使い分けることが重要と言えるでしょう。
個人のプライバシー保護から企業のセキュリティ強化まで、DNS over TLSは幅広い場面で活躍できる技術です。
この記事を参考に、ご自身のネットワーク環境でもDoTの導入を検討してみてはいかがでしょうか。
