まだまだほとんど普及していないと言っても過言ではないDNSSEC(Domain Name System Security Extensions)とは、簡単に言えば、ドメインの名前解決においてDNS応答が正しいものであるかを鍵と署名をつけてチェックしてくれるものです。

DNSSEC シールド

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

以前に一度DNSSECに関して触れたことがあります。

DNSSECを使えるなら使うべきという記事にて触れさせていただきました。

これをおさらいしておくと下記のようなことを行っています。

DNS応答の完全性検証

ドメインは、DNSというものにて名前の解決を行っています。

簡単には、住所のようなIPアドレスとドメインの紐づけを行っているようなものなのですが、そのDNSの応答は答えが正しいものかどうかのチェックを行っていません。

それにより、偽装された応答を紛れ込ませておいて偽サイトのサーバーへ誘導させてしまうことも起きています。

それを防ぐためにDNSSECというものを使い、ユーザーがWEBサイトを訪れようとした際に行われるDNS応答が正しいものであるかを鍵と署名をつけて返し、それらから守ったりします。

DNSSECの署名キー作成と設定

しかし、DNSSECというものでDNSを保護できることを知ったとしても、その作成から設定に至るまでの手順があまり知られていないように感じます。

そこでDNSSECの作成・設定手順を記載しておきます。

1.ウェブサイトを置いているホスティング会社にDNSSECの署名キー作成・発行依頼をします。

  (例:お名前.comのサーバーを使っているのであればお名前.comへ依頼)

2.example.jp. 86400 IN DS 60485 5 1 (2BB183AF5F225…)といった感じのものが発行されます。 

3.2の内容をドメインを管理している指定事業者(お名前.comのようなところ)へ登録します。

基本的にはこの手順でDNSSECの設定は完了します。

ただし、1と3のそれぞれにおいてDNSSECの対応をしていることが前提になりますので、対応の可否は契約先に確認してみてください。

追伸:アルゴリズム番号は”8″か”10″(海外のように”13″の対応がまだなので)、ハッシュは”SHA-256″をお勧めします。

Ads

この記事を書いた人

  • 業務コンサルタント高橋晋吾
  • 1968年生 愛知県名古屋市出身 会計・給与・販売購買在庫・税金系などの業務システムを製造・販売する某上場企業の出身で、会計・IT・WEBを中心とした業務改善などを行う業務コンサルタント
  • 中小企業庁『ミラサポ』登録専門家/あいち産業振興機構登録専門家/名古屋産業振興公社登録専門家
  • (Publisher:TRILOGYFORCE.COM)

この記事をシェアする

  • Facebookにシェア
  • はてなブックマークにシェア
  • LINEにシェア

関連記事

お問い合わせ

お悩み・問題・課題を今すぐご相談ください。お問い合わせはこちら

ページのトップへ戻る