1.1.2. DNSにおけるセキュリティ対策の重要性

1.1.2.1. 権威DNSに対するサイバー攻撃の影響

悪意のある第3者によるサイバー攻撃は、標的となるシステムへの直接的な攻撃や、権威DNS※への間接的な攻撃によりお客さまシステムを機能不全に追い込もうとします。そのため、Webサーバなどシステムそのものだけでなく、システムが使用するドメインの名前解決を行う権威DNSについてもセキュリティ対策が重要となります。

注釈

※特定ドメインの名前解決を行うDNSを指します。コンテンツDNSともよばれますが本記事では権威DNSと表記します。

権威DNSに対するサイバー攻撃の影響について、エンドユーザがコーポレートサイトにアクセスする際の通信を例に紹介します。
平常時は、以下の流れで名前解決とコンテンツの取得が行われます。

①エンドユーザはPCのブラウザにてコーポレートサイトへのアクセスを要求
②エンドユーザPC(ブラウザ)は権威DNSにコーポレートサイトのドメインの名前解決を要求
③権威DNSはエンドユーザPCに対象ドメインのWebサーバのIPアドレスを返却
④エンドユーザPCはIPアドレスをもとにWebサーバと通信しコンテンツを取得

権威DNSがサイバー攻撃を受けると、③名前解決が正常に機能しなくなり、お客さまのWebサーバが正常であったとしても、④エンドユーザPCがコンテンツを取得できなくなります。
importance

1.1.2.2. 権威DNSに対する攻撃手法および対策の例

攻撃手法 概要 対策
DNSハイジャック 権威DNSの脆弱性情報や窃取したアカウント情報を利用して、権威DNSのゾーンファイルを不正に書き換え、エンドユーザの通信を別の攻撃サイトに誘導する
脆弱性管理
  • 随時パッチ適用
  • Windows Update等
NXDomain攻撃 権威DNSに「存在しないホスト名」の名前解決クエリを大量に送信することで権威DNSに負荷をかけ、正常に機能できない状態にする
キャパシティ管理
  • リソース拡張
  • 通信流入制限
ランダムサブドメイン攻撃
(通称:水責め攻撃)
 権威DNSに「存在しないサブドメイン」の名前解決クエリを大量に送信することで権威DNSに負荷をかけ、正常に機能できない状態にする
キャパシティ管理
  • リソース拡張
  • 通信流入制限

注釈

攻撃手法の一例となります。上表以外の攻撃手法および対策もあります。

警告

サイバー攻撃への対策として、脆弱性管理やキャパシティ管理を徹底することでリスクを緩和できますが、脆弱性管理による稼働増加やキャパシティ増強によるコスト増など、多大なリソースがかかります。

1.1.2.3. 権威DNSのクラウドサービスへの移行メリット

権威DNSをクラウドサービスに移行することにより、お客さま自身による管理と比較して必要となるリソースが削減できます。

観点 概要
セキュリティ クラウドサービス(権威DNS)を提供する事業者が権威DNSに対する適切なセキュリティ対策を講じるため、サービス利用者が脆弱性管理を行う必要がなくなります。
キャパシティ 事業者が集約的に権威DNSを運営するためのコンポーネント(仮想マシン、ネットワーク)を調達するため、共用プラットフォームによる安価なDNSサービスを利用することができます。

注釈

提供条件およびサービスレベルを確認し適切なクラウドサービス選定が必要となります。

1.1.1. Smart Data Platformで提供するDNSサービス
1.1.3. DNSサービス利用開始までの流れ