DNS Security(DNSSEC)

DNSSEC は、ドメインネーム ルックアップに対するレスポンスを認証するドメイン ネーム システムの機能です。これらのルックアップに対するプライバシー保護は行いませんが、攻撃者が DNS リクエストに対するレスポンスを改ざんまたは汚染できないようにします。

ドメインをなりすまし攻撃や汚染攻撃から保護するために、次の 3 か所で DNSSEC を有効にして構成する必要があります。

  1. ドメインの DNS ゾーンは、ゾーンの内容を認証するため、公開鍵(DNSKEY)、署名(RRSIG)、不在(NSEC または NSEC3 と NSEC3PARAM)に関する特別な DNSSEC レコードを提供する必要があります。Cloud DNS では、ゾーンの DNSSEC を有効にすると、これが自動的に管理されます。

  2. トップレベル ドメイン レジストリ(example.com の場合は .COM)には、ゾーン内の DNSKEY レコードを認証する DS レコードが必要です。このためには、ドメイン登録事業者で DNSSEC を有効にします

  3. DNSSEC による完全な保護のために、クライアントは DNSSEC 署名ドメインの署名を検証する DNS リゾルバを使用する必要があります。個々のシステムまたはローカル DNS リゾルバの検証を有効にできます(この PDF ガイドの付録を参照)。DNSSEC、特に Google Public DNSVerisign Public DNS を検証するパブリック リゾルバを使用するようにシステムを構成することもできます。

2 番目のポイントは、DNSSEC が動作できるドメイン名を制限します。登録事業者とレジストリの両方が、ご使用のトップレベル ドメインの DNSSEC をサポートしている必要があります。DNSSEC を有効にするためにドメイン登録事業者から DS レコードを追加できない場合は、Cloud DNS で DNSSEC を有効にしても効果はありません。

DNSSEC を有効にする前に、DNSSEC ドキュメントでドメイン登録事業者とトップレベル ドメイン レジストリの両方について確認して、Google Cloud コミュニティ チュートリアルのドメイン登録事業者固有の手順、およびドメイン登録事業者 DNSSEC サポートの ICANN リストを参照し、ご使用のドメインでの DNSSEC サポートを確認してください。トップレベル ドメイン レジストリで DNSSEC がサポートされていても、登録事業者ではサポートされていない場合(またはトップレベル ドメインでサポートされていない場合)は、DNSSEC をサポートしている別の登録事業者にドメインを転送できます。このプロセスが完了したら、ドメインに対して DNSSEC を有効にできます。

管理作業

各タスクの手順については、「関連情報」にある「DNSSEC の管理」をご覧ください。あるいは、以下のリンクをクリックしてください。

DNSSEC、ドメイン転送、ゾーン移行

DNSSEC 署名ゾーンの Google Cloud DNS への移行

DNSSEC 転送状態の終了

Google Cloud DNS からの DNSSEC 署名ゾーンの移行

DNSSEC で署名されたサブドメインの委任

DNSSEC により拡張されるレコードセット タイプ

これらのレコードタイプの詳細については、高度な DNSSEC をご覧になるか、以下のリンクをクリックしてください。

CAA レコード

IPSECKEY レコード

DNSSEC で保護されたゾーンでの新しい DNS レコードタイプの使用

これらのレコードタイプの詳細については、高度な DNSSEC をご覧になるか、以下のリンクをクリックしてください。

SSHFP レコード

次のステップ