【セキュリティ文明開化シリーズ】
情報セキュリティ専門家として30年以上の経験を持つ山崎文明が、セキュリティ分野における世界での出来事を新たな視点や切り口でお届けします。
前回は「なりすまし広告詐欺」に関連して、ともすれば「プライバシーポリシー」に目が行きがちなWebサイトの運用管理者ですが、「利用規約」の定期的な見直しも大事だというお話をしました。
今回は、5月15日の読売新聞朝刊に掲載された「インフラ事業者や大学を国が守る、悪性サイトへの接続防ぐサービスを政府が無償提供」という記事を参考に、DNSセキュリティ対策の動向についてお伝えします。
- ライター:山崎 文明
- 情報セキュリティ専門家として30年以上の経験を活かし、安全保障危機管理室はじめ、政府専門員を数多く勤めている。講演や寄稿などの啓発活動を通じて、政府への提言や我が国の情報セキュリティ水準の向上に寄与している
目次
毎日3万件以上登録される新規ドメイン
ドメインネームシステム(DNS)は、人間が判読できるドメイン名をコンピュータが理解できるIPアドレスに変換するインターネットの中核システムです。DNSがあるおかげで、Webサイトへのアクセスや電子メールの送受信が簡単に行えるため、インターネットの普及に大きく貢献しています。
今、世界中で約6億2850万のドメインが登録されています(2024年3月現在)。そして、毎日約3万3000の新しいドメインが登録されているのですが、新規登録ドメインの大半がマルウェア、ランサムウェア、ウイルス、フィッシングキャンペーン、その他のサイバー攻撃に利用されているといわれています。
これらの不正利用を目的としたサイトへのアクセスを防ぐのが「プロテクティブDNSサービス(PDNS)」です。
政府がプロテクティブDNSサービスを無償提供
読売新聞が伝えたところによると、政府は今年の夏にも重要インフラ事業者や大学・研究機関に対してPDNSを無償で提供するそうです。NISC(内閣サイバーセキュリティセンター)が計上しているサイバーセキュリティ強化関連費49億3000万円の一部を使ってサービスを提供することを、複数の政府関係者が明らかにしたと報じています。
このニュースは読売新聞しか伝えておらず(5月現在)、NISCのホームページにも関連した情報は掲載されていないため詳細は不明ですが、政府が無償でサービスを提供するというのは、異例ともいえるものです。
プロテクティブDNSサービス(PDNS)は民間でもサービス提供を行っている企業は沢山あります。民業圧迫との声も聞かれるかもしれません。もう一つの懸念は、一つ間違えばスプリンターネット(Splinternet)に繋がりかねないということです。
スプリンターネットへの配慮
スプリンターネットとは、自由なはずのサイバー空間を国の方針で分断してしまう事をいいます。2022年2月にロシアがウクライナへの侵攻を開始した4日後、ウクライナ政府は、ロシアのドメインである.ru等の失効やロシア国内のDNSルートサーバーの停止等をICANN(The Internet Corporation for Assigned Names and Numbers:ドメイン管理を行う民間団体)に対して要請しました。
インターネットは「世界中の人がアクセスできるという不文律の下で利用されているグローバル・プラットフォームである」とのICANNの認識のもと、このウクライナ政府からの要請に対し、ICANNは「一方的にドメインの接続を解除することはICANNのポリシーに規定されていない」として、ウクライナ政府の要請を受け入れませんでした。
プロテクティブDNSサービスの運用方法如何では、スプリンターネットの実現も不可能ではありませんので、政府の動向にも注視していく必要があります。
ちなみにウクライナ侵攻では、2022年3月に米国の大手通信事業者2社がロシアのネットワークとの接続遮断に踏み切っています。
米国政府のPDNSに対する姿勢
米国では政府がPDNSサービスを提供するということは行わず、サイバーセキュリティにおけるDNSの重要性から、PDNSサービスを利用するメリットとリスクについて概説した上で、PDNSをサイバーセキュリティ成熟度モデル認証(CMMC)の要件に加えるとともに、国家安全保障局(NSA)とサイバーセキュリティアンドインフラストラクチャ・セキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、いくつかのPDNSサービスプロバイダーの評価を行っています。
この評価はサービスプロバイダーを推奨するものではなく、あくまでも情報提供だとのスタンスをとっています。スプリンターネットなど政府の規制強化に繋がりかねないPDNSを、政府としては提供しないが、いくつかの主要PDNSサービスプロバイダーを政府の公式文書で実名で挙げるというのが如何にも米国らしいといえませんか。下記の表を見て誰しもが推奨リストだと思うのではないでしょうか。皆さんはどう捉えますか。
【出典】Selecting a Protective DNS Service
PDNSとDNSSECの違い
DNSのセキュリティを高める方法にはPDNSの他にDNSSEC(DNS: Domain Name System Security Extensions )というのがあります。DNSSECは公開鍵暗号方式を使って、DNSの応答を不正なIPアドレスで返す「キャッシュポイズニング」という攻撃手法に対抗する手段として推奨されていますが、運用が難しい、ネットワーク負荷がかかるなどの理由であまり普及していません。APNIC LABS によると、DNSSECの全世界普及率は2024年6月現時点で32.5%だそうです。DNSSECに比べ、PDNSは効率的に設計されているといわれています。
NISCの正式な発表を待ちましょう
災いは忘れたことにやってくるといいます。セキュリティに関わる人がともすれば忘れがちになるインターネットの基礎であるDNSのセキュリティについてもう一度点検しては、どうでしょうか。
PDNSの導入が未だの方はNISCの正式な発表を待ちましょう。無償で提供してくれるカテゴリーに選ばれていれば、こんなラッキーなことはありません。
PDNSはDMARCやBIMIと同じく費用対効果の高いセキュリティ対策の一つです。無償でなくとも導入すべきだと私は考えますが、いかがでしょうか。
(了)
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
