Akamai dots background

DNS セキュリティ

DNSSEC(Domain Name System Security Extensions)は、IP ネットワークで使用されるドメイン・ネーム・システム(DNS)の情報を保護するためのテクノロジーです。DNS データのオリジン認証を提供することで、攻撃に対する防御とデータの整合性を強化します。

DNSSEC の仕組み

DNS はドメインネーム(つまり Web サイトの名前)をインターネットプロトコル(IP)アドレスに変換します。IP アドレスは固有の識別子であり、これによって世界中のコンピューターが情報に即座にアクセスできます。DNS セキュリティでは、防御を強化する拡張機能セットが DNS に追加されます。

DNS セキュリティ拡張機能:

  • DNS データのオリジン認証:データ受信者がデータ元を確認できるようにします。
  • 非存在認証:ドメインネームを IP アドレスに変換するリゾルバーに、特定のドメイン名が存在しないことを伝えます。
  • データ整合性:データ受信者に対し、そのデータが伝送中に変更されていないことを保証します。

DNS にセキュリティが必要な理由

DNS はウェブトラフィックを正しい宛先へと導きます。DNS はどこでも誰にでも使用されます。インターネットを通過するすべてのトラフィックフローに DNS が使用されています。そのため、DNS は乗っ取りや感染、データ抽出を目論むサイバー攻撃者からのさまざまな脅威にさらされ、非常に影響を受けやすいシステムなのです。

先進的なエンタープライズでも、DNS サーバーのセキュリティリスクに脆弱であるケースが少なくありません。わずか数台の DNS サーバーに依存しているためです。このような状態では大規模な攻撃を防御することはできません。Web サイトへの膨大なトラフィックによってサーバーが利用不能となり、ユーザーがその Web サイトを見つけられなくなることもあります。

また、悪性の攻撃を受ければ、DNS の仕組みが損なわれるだけでなく、DNS サービスを提供しているサーバーのセキュリティ脆弱性が悪用され、パスワード、ユーザー名、その他の個人情報などの重要なデータが引き出される可能性もあります。

これは企業にとって深刻な問題です。つまり、DNS セキュリティはオンラインセキュリティに不可欠な要素なのです。

DNS セキュリティの一般的な脅威

DNSSEC を適切に利用しないと、次のような脅威にさらされる可能性があります。

  • 分散サービス妨害攻撃(DDoS)攻撃DDoS 攻撃では、マルウェアに感染したシステムなど、複数のシステムのセキュリティ脆弱性を悪用することで、特定の Web サイトやウェブベースアプリケーションに大量のトラフィックを送信します。これによりサーバーがクラッシュし、Web サイトやアプリケーションが利用不能になる可能性があります。顧客に影響が及び、収益が減少することもあります。現在の DDoS 攻撃はより巧妙化し、これまでは外部ネットワークやトランスポートレイヤーにとどまっていた影響範囲がアプリケーションへと深化しつつあります。
  • 増幅攻撃:これは、DNS サーバーの脆弱性を悪用して、クエリーのサイズを大幅に拡大することで、サーバーを利用不能にする攻撃です。増幅攻撃はリフレクション攻撃の一種であり、複数の UDP(ユーザー・データグラム・プロトコル)パケットによるパブリック DNS へのフラッディングを伴います。この攻撃では、サーバーのクラッシュを目的としてパケットを増大させます。「リフレクション」とは、DNS リゾルバーで偽りの IP アドレスへの応答が生じることを意味しています。偽りの IP アドレスは、攻撃の一部である DNS クエリーとして送信されます。

Akamai による高速かつ安全な DNS

Akamai のクラウドベースソリューションである Fast DNS は、週 7 日 24 時間の DNS 可用性を実現し、大規模な DDoS 攻撃の回避に役立ちます。プライマリとセカンダリのいずれの DNS サービスとしても利用できるように設計され、グローバル分散ネットワーク上に構築されており、最大限の防御力と優れたスケーラビリティを備えたプラットフォームを提供します。

Fast DNS は、パフォーマンスの高い DNS ネットワークへとユーザーを導くことによって DNS 解決を高速化し、応答性を高めます。Akamai Intelligent Platform™ は世界に分散する数千台のサーバーを利用して大規模な DDoS 攻撃を防御し、次のようなメリットを提供します。

  • DNS の偽装や改ざんを防止できます。
  • 攻撃を吸収することで DDoS 防御を達成できます。
  • DDoS 攻撃の最中でも、正当なユーザーによるアクセスは維持されます。
  • 100% アップタイムのサービス契約を提供します。
  • 2~3 台のサーバーだけに依存するのではなく、世界中の数千台のサーバーを使用することで DNS 解決の速度と信頼性を向上できます。
  • スケーラビリティに優れた Akamai グローバル分散プラットフォームを利用することで、週 7 日 24 時間の DNS 可用性が保証されます。
  • Akamai Control Center とオープン API により、DNS のインフラ管理がシンプルになります。
  • リクエスト数ではなくゾーン数に基づく価格設定でコストを制御できます。

Akamai の DNS セキュリティ向けソリューション、アプリケーションホスティングやメディアコンテンツデリバリーなどに適したソリューションについての詳細をご覧ください