DNS ファイアウォールは DNS トラフィックを監視し、フィルタリングするように設計されていますが、Web アプリケーションファイアウォール(WAF)は、インバウンドおよびアウトバウンドの HTTP トラフィックを検査し、Web 経由の脅威を防ぐことを目的としています。ネットワーク環境の WAF は、マルウェア、ゼロデイ攻撃、クロスサイトスクリプティング、SQL インジェクション、その他多くの危険な Web 関連の攻撃などの脅威を防ぐのに役立ちます。
DNS ファイアウォールは、あらかじめ定義されているセキュリティルールやポリシーに違反するリクエストをブロックし、 ドメイン・ネーム・システム(DNS)のトラフィックを監視およびフィルタリングすることで、IT 環境とユーザーをさまざまな脅威から保護するように設計されたセキュリティソリューションです。企業の DNS インフラがダウンした場合、そのオンラインプレゼンス全体がダウンしてしまいます。
DNS は、人間が読めるドメイン名(example.com など)を IP アドレスに変換し、コンピューターが正しいインターネットサイトに接続できるようにするシステムです。悪性で不審な DNS エンドポイントに関する最新の脅威インテリジェンスを使用して、 DNS ファイアウォール は、マルウェアの実行、ランサムウェアのダウンロード、データ窃取、またはフィッシングやスピアフィッシング攻撃でユーザーを騙すように設計されたサイトへのアクセスを防止することができます。
DNS ファイアウォールが必要な理由
多くのサイバー犯罪者は、DNS サービスを使用して、従来のネットワーク・セキュリティ・ソリューションをたやすく迂回できる攻撃を行います。そのため、DNS ファイアウォールは、オンラインプレゼンスを途切れさせることなく維持するために、サイバーセキュリティを強化し、サイバー回復力を構築する包括的で多層的なアプローチの重要な一部です。
DNS ファイアウォールの仕組み
ユーザーがリンクをクリックしたり、Web サイトやドメインの URL を入力したりすると、対象となるサイトの正しい IP アドレスを検索するために、DNS リクエストが作成されます。通常、DNS リクエストは、正しい IP アドレスを検索して返す DNS リゾルバーまたは DNS プロキシサーバーによって処理されます。DNS ファイアウォールが展開されている場合、すべての DNS リクエストはまずファイアウォールを通過し、そこでリクエストが許容される IP アドレスと許容されない IP アドレスのリストと比較されます。ファイアウォールは、許容できないサイトや不審なサイトへのアクセスを自動的にブロックします。許容されないドメインや悪性のドメインのリストは脅威インテリジェンスによって決定されるため、DNS ファイアウォールは、悪性のサイトや不審なサイトに関する最新の情報で常に更新されている必要があります。DNS ファイアウォールの中には、悪性のサイトをリアルタイムで分析し、特定できる人工知能機能を備えたものもあります。
Akamai の Secure Internet Access ソリューション は、クラウドベースの DNS ファイアウォールを利用することで、ユーザーとデバイスをインターネットに安全に接続します。
DNS ファイアウォールで防止される脅威の種類
DNS ファイアウォールは、さまざまなサイバー攻撃に関与している URL(Uniform Resource Locators)や接続先へのアクセスを防止します。これには以下のようなサイトがあります。
フィッシング。正当な Web サイトのように偽装した フィッシング サイトは、ユーザーを騙してセキュリティ情報、口座番号、クレジットカード情報などの機密情報を入力させます。
ランサムウェア。ユーザーが ランサムウェア専用サイトのリンクをクリックすると、デバイスにダウンロードされた悪性のソフトウェアが、ユーザーのコンピューターや他のシステム上のファイルを暗号化し、復号化キーと引き換えの身代金が支払われるまで、これらのアセットを利用できなくします。
マルウェア。一部の Web サイトでは、ユーザーが Web ページ上のリンクをクリックすると、コンピューターにファイルがダウンロードされ、 マルウェア が拡散されます。ハッカーは、さまざまな脅威にマルウェアを利用し、ウイルスを拡散したり、スパイウェアをインストールしたり、ネットワークやシステムにアクセスしてデータを盗んだり、障害を引き起こしたりするなどします。
ハイジャックされた IP。Web サイトまたは Web ページのハイジャックは、攻撃者が DNS クエリーの解決方法を操作することで、ユーザーが求めている安全なサイトではなく、知らないうちに悪性の Web サイトに誘導されることで発生します。
データ窃取。データ窃取サイトは、ユーザーを騙して機密アカウント情報を入力させ、その情報を利用して攻撃者が IT 環境にアクセスし、企業や顧客の機微な情報を盗んだりダウンロードしたりできるようにします。
DNS ファイアウォールのメリット
従来のファイアウォールは、複雑で独自の設定がなされており、運用コストも高いうえに、DNS ベースの脅威を検出できない場合もあります。
対照的に、DNS ファイアウォールは、ターゲットを絞った、非常に効果的で、非常にシンプルかつ手頃な価格のソリューションであり、DNS プロトコル自体を通じてデータが窃取されてしまう DNS トンネリングキャンペーンなど、DNS 関連の幅広い脅威に対する防御を提供し、大きなメリットをもたらします。さらに、DNS セキュリティの強化や、ユーザーが悪性のサイトにアクセスすることを防止するだけでなく、DNS ファイアウォールは、DDoS 攻撃を緩和し、高可用性を促進し、DNS パフォーマンスを向上させ、帯域幅のコストを削減することができます。DNS ファイアウォールは、多くの場合、DNS、DHCP(Dynamic Host Configuration Protocol)、および IP アドレス管理を管理する DDI 管理プラットフォームと連携して動作します。
DNS ファイアウォールで重要な機能
高度なセキュリティを提供するために、DNS ファイアウォールは以下の機能を提供する必要があります。
DNS キャッシング。キャッシング機能により、DNS 応答をファイアウォール内に保存して、帯域幅を節約し、応答を高速化し、ネットワークをより効率的にします。
レート制限。応答レート制限を提供する DNS ファイアウォールは、分散型サービス妨害(DDoS)攻撃からの防御に役立ちます。DDoS 攻撃がリクエストを殺到させて DNS サービスを利用不能にしようと試みた場合、DNS ファイアウォールのレート制限機能により、特定の時点でサーバーにクエリーが集中するのを防ぐことができます。
脅威インテリジェンス。DNS ファイアウォールは、自動的かつ継続的に更新される最新の脅威インテリジェンスを受信するためのフィードを必要とします。
よくあるご質問(FAQ)
DNS ファイアウォールは、オンプレミス機器、ソフトウェアベースのソリューション、またはクラウドベースのサービスとして展開することができます。
DNS ファイアウォールは、DNS トラフィックのみを監視し、DNS 攻撃から IT 環境を保護するよう特別に設計されています。ネットワークファイアウォールは、ネットワークトラフィックを監視し、不審なトラフィックや悪性のトラフィックのインバウンドトラフィック、およびデータ窃取やデータ漏えいに関与する可能性のあるアウトバウンドトラフィックをブロックします。
Why customers choose Akamai
Akamai is the cybersecurity and cloud computing company that powers and protects business online. Our market-leading security solutions, superior threat intelligence, and global operations team provide defense in depth to safeguard enterprise data and applications everywhere. Akamai’s full-stack cloud computing solutions deliver performance and affordability on the world’s most distributed platform. Global enterprises trust Akamai to provide the industry-leading reliability, scale, and expertise they need to grow their business with confidence.