DNS over HTTPSとは?意味と仕組みをわかりやすく解説!(暗号化・プライバシー・通信など)
インターネットを利用するとき、私たちは毎日無数のDNSクエリを発生させています。
しかし、従来のDNS通信は暗号化されていないため、第三者に通信内容を傍受・改ざんされるリスクがありました。
そこで登場したのが「DNS over HTTPS(DoH)」という技術です。
DNS over HTTPSとは何か、その意味や仕組み、プライバシー保護との関係、そして実際の設定方法まで、本記事ではわかりやすく解説していきます。
セキュリティやプライバシーに関心がある方はもちろん、ネットワーク初心者の方にも理解しやすいよう丁寧に説明していますので、ぜひ最後までご覧ください。
DNS over HTTPSとは?結論として「暗号化されたDNS通信」のこと
それではまず、DNS over HTTPSの基本的な意味と結論から解説していきます。
DNS over HTTPS(略称:DoH)とは、DNS(ドメインネームシステム)の通信をHTTPS(HyperText Transfer Protocol Secure)を使って暗号化する技術のことです。
通常のDNS通信はUDPポート53番を使った平文通信であり、プロバイダや悪意のある第三者に内容を盗み見られる可能性があります。
DoHはこの問題を解決するために設計されており、HTTPSのポート443番を通じてDNSクエリを送受信します。
DNS over HTTPSの最大のポイントは、「どのWebサイトにアクセスしようとしているか」という情報そのものを暗号化して守れることです。
これにより、通信の傍受や改ざん、そしてプライバシーの侵害を大幅に防ぐことができます。
DNSはいわばインターネットの「電話帳」のような役割を担っており、ドメイン名(例:example.com)をIPアドレスに変換する仕組みです。
この変換リクエスト(DNSクエリ)が暗号化されていないと、通信経路上の誰でもアクセス先のドメインを把握できてしまうという深刻なプライバシー問題があります。
DNS over HTTPSはこの課題に正面から応えた、現代のインターネットセキュリティにとって非常に重要な技術といえるでしょう。
従来のDNS通信の仕組みと問題点
続いては、従来のDNS通信の仕組みと、その問題点を確認していきます。
従来のDNS通信の流れ
通常のDNS通信は、以下のような流れで行われています。
① ユーザーがブラウザにURLを入力する
② デバイスがDNSリゾルバ(通常はプロバイダが提供)へクエリを送信する
③ DNSリゾルバがIPアドレスを返答する
④ ブラウザが該当のIPアドレスにアクセスする
このプロセス自体はシンプルですが、②と③のやり取りが暗号化されていない点が大きな問題です。
平文でやり取りされるため、ネットワーク上のどのポイントでも盗聴が可能な状態になっています。
従来のDNSが抱えるセキュリティリスク
従来のDNS通信には、主に以下のようなリスクが存在します。
| リスクの種類 | 内容 | 影響 |
|---|---|---|
| DNSスヌーピング | 第三者がDNSクエリを傍受する | アクセス先のドメインが丸見えになる |
| DNSスプーフィング | 偽のDNS応答を注入する | フィッシングサイトへ誘導される |
| DNSハイジャック | DNS応答を書き換えて偽のIPを返す | 意図しないサイトへリダイレクトされる |
| ISPによる監視 | プロバイダがアクセス履歴を収集する | プライバシーの侵害につながる |
これらのリスクはいずれも、DNSクエリが暗号化されていないことに起因しています。
特にDNSスプーフィングやDNSハイジャックは、フィッシング詐欺やマルウェア感染の入口になることもあるため、見過ごせない問題です。
ISP(インターネットサービスプロバイダ)による監視の問題
ISPは従来のDNS通信を通じて、ユーザーがどのようなサイトにアクセスしているかを把握できる立場にあります。
これは広告ターゲティングや、場合によっては行政機関への情報提供に利用されることもあり、プライバシーの観点から大きな懸念となっています。
DNS over HTTPSを使えば、こうした監視の目からDNSクエリを守ることができます。
DNS over HTTPSの仕組みと特徴
続いては、DNS over HTTPSの具体的な仕組みと特徴を確認していきます。
DoHの通信の仕組み
DNS over HTTPSは、DNSクエリをHTTPSプロトコルでラップして送信します。
具体的には、ポート443を使ってDNSリゾルバにHTTPSリクエストとして送信され、レスポンスも同じくHTTPSで返ってきます。
通常のDNS通信:ドメイン名 → UDP/53 → DNSリゾルバ → IPアドレス(平文)
DNS over HTTPS:ドメイン名 → HTTPS/443 → DoHリゾルバ → IPアドレス(暗号化)
通信はTLS(Transport Layer Security)によって暗号化されており、第三者が内容を読み取ることは非常に困難になっています。
また、HTTPS通信はWebサイトへのアクセスと見た目が区別しにくいため、DNSクエリだけをブロックしたりフィルタリングしたりすることも難しくなるという特徴があります。
DNS over TLS(DoT)との違い
DoHと似た技術に「DNS over TLS(DoT)」というものがあります。
両者の違いを以下の表で整理しましょう。
| 項目 | DNS over HTTPS(DoH) | DNS over TLS(DoT) |
|---|---|---|
| 使用ポート | 443(HTTPS) | 853(専用ポート) |
| 暗号化方式 | TLS(HTTPS経由) | TLS(直接) |
| 識別のしやすさ | 通常のHTTPS通信と区別しにくい | 専用ポートで識別しやすい |
| 主な利用場面 | ブラウザ・アプリ単位の設定 | OSやルーター単位の設定 |
| 標準化状況 | RFC 8484 | RFC 7858 |
DoHはブラウザ単位で動作させやすい点が特徴で、ChromeやFirefoxなど主要ブラウザに標準搭載されています。
一方DoTはネットワーク全体に適用しやすい反面、専用ポートを使うため管理者に検知・制御されやすい側面もあります。
主要なDoHリゾルバの例
現在、いくつかの主要サービスがDNS over HTTPSリゾルバを提供しています。
| サービス名 | 提供元 | DoHエンドポイントの例 |
|---|---|---|
| Google Public DNS | https://dns.google/dns-query | |
| Cloudflare 1.1.1.1 | Cloudflare | https://cloudflare-dns.com/dns-query |
| Quad9 | Quad9財団 | https://dns.quad9.net/dns-query |
| NextDNS | NextDNS Inc. | https://dns.nextdns.io/ |
Cloudflareの「1.1.1.1」はプライバシー重視のリゾルバとして有名で、ログを24時間以内に削除するポリシーを掲げています。
用途やプライバシーポリシーの内容を比較しながら、自分に合ったリゾルバを選ぶとよいでしょう。
DNS over HTTPSの設定方法と対応状況
続いては、DNS over HTTPSの実際の設定方法と、各環境での対応状況を確認していきます。
主要ブラウザでのDoH設定方法
多くの主要ブラウザは、すでにDoHに対応しています。
以下に代表的なブラウザでの設定方法をご紹介します。
Google Chromeの場合:
設定 → プライバシーとセキュリティ → セキュリティ → 「セキュアなDNSを使用する」をオンにする
Mozilla Firefoxの場合:
設定 → 一般 → ネットワーク設定 → 「DNS over HTTPSを有効にする」にチェックを入れる
Microsoft Edgeの場合:
設定 → プライバシー、検索、サービス → セキュリティ → 「セキュアなDNSを使用して Web サイトのネットワーク アドレスを確認する方法を指定する」をオンにする
いずれのブラウザも、設定画面からGUIで簡単にDoHを有効化できるようになっています。
特別な知識がなくても数クリックで設定できるため、積極的に活用したいところです。
OSレベルでのDoH対応状況
ブラウザ単位ではなく、OS全体にDoHを適用することも可能になっています。
Windows 11では「Encrypted DNS」としてDoHが設定できるようになっており、Androidでは「プライベートDNS」という形でDoTおよびDoHに対応しています。
macOSおよびiOSでは、構成プロファイルを使ったDoH設定が可能で、企業・法人向け環境でも展開しやすくなっています。
DoH導入時の注意点
DNS over HTTPSは非常に便利な技術ですが、導入にあたっていくつかの注意点もあります。
DoHを有効にすると、企業や学校のネットワーク管理者が設定したDNSフィルタリング(有害サイトのブロックなど)が機能しなくなる場合があります。
ネットワーク管理が必要な環境では、DoHの使用ポリシーをあらかじめ確認してから設定することを強くおすすめします。
また、DoHのリゾルバ事業者がDNSクエリのログを保持するかどうかは事業者によって異なります。
プライバシーポリシーをしっかり確認した上で、信頼できるリゾルバを選ぶことが大切です。
さらに、すべての通信を暗号化できるわけではなく、TLSのSNI(Server Name Indication)部分は引き続き平文で送信されることがある点も理解しておくとよいでしょう。
まとめ
本記事では、DNS over HTTPSとは何か、その意味・仕組み・設定方法について詳しく解説しました。
DNS over HTTPSは、従来のDNS通信が抱えていたプライバシーリスクやセキュリティの脆弱性を解消するための重要な技術です。
暗号化されたDNSクエリにより、第三者による傍受・改ざん・監視を大幅に防ぐことができます。
主要ブラウザや最新のOSではすでにDoHへの対応が進んでおり、設定も比較的簡単に行えます。
ただし、企業・学校ネットワークでの利用時はポリシーを確認すること、リゾルバ選びにはプライバシーポリシーの確認が必要なことも忘れてはなりません。
インターネットの安全性とプライバシーを高めるために、ぜひDNS over HTTPSの導入を検討してみてください。
