Defaults.Exposed

Defaults.Exposed › レポート

DNSSECの義務化は機能するのか? レジストリ主導の普及から見えること(2026年)

公開日 2026-06-29

2026-06-29 時点の数値 · 方法論 v7。 国別ドメイン語尾ごとに集計した、261 百万件の採点済みドメインにわたる国勢調査データ(これはレジストリのポリシーの代理指標であり、企業の所在地ではありません)。「レジストリ主導」=その語尾のレジストリがインセンティブや要件を通じて DNSSEC を積極的に推進している状態——多くはレジストラへのインセンティブであり、法的な義務ではありません。「有効」=検証を通る DNSSEC チェーン。「壊れている」=署名されているが検証に失敗する状態。どのように採点しているかを参照。

レジストラに DNSSEC を推進させることは、本当に普及を動かすのか? はい——決定的に——ただし落とし穴があります。 レジストリが DNSSEC を主導する語尾では、ドメインの 9.1% が有効な署名を持つのに対し、所有者任せにする語尾ではわずか 1.3% にとどまります——おおよそ 7 倍高い。自発的な普及が頭打ちになるところで、ポリシーは機能します。落とし穴はこうです。先進的なところでさえ、DNSSEC を正しく設定できているドメインよりも壊しているドメインのほうが多い——つまりレジストリの圧力はオンにすることは解決しても、正しく行うことは解決しません。

DNSSEC を推進すると普及は上がるのか?

明確に上がります。レジストリ主導の国別語尾は有効な DNSSEC 約 10〜18% に集中しています。放任主義の語尾は 1.99% という世界的な底値付近にとどまっています。有効率は高いほど良く、壊れている率は誤った場合のコストです。2026-06-29 時点:

語尾レジストリの姿勢DNSSEC 有効壊れている
.se(スウェーデン)主導(レジストラへのインセンティブ)18.38%30.35%
.no(ノルウェー)主導16.59%25.24%
.sk(スロバキア)主導16.61%25.59%
.cz(チェコ)主導(レジストラへのインセンティブ)14.62%26.28%
.nl(オランダ)主導(レジストラへのインセンティブ)11.86%22.98%
.fr(フランス)主導5.13%9.54%
.com放任主義1.62%2.44%
.de(ドイツ)放任主義0.92%1.60%
.uk(イギリス)放任主義1.06%1.72%

スウェーデンの 18.38% は、.com1.62% の十倍以上です。この差はテクノロジーに関するものではなく——どこでも同じプロトコルです——チェーンの中の誰かがそれを導入する理由を持っていたかどうかに関するものです。

落とし穴:機能しているものより壊れているものが多い

ここからが居心地の悪い半面です。上記のすべてのレジストリ主導の語尾で、壊れている率が有効率より高くなっています——スウェーデンは 18.38% の有効に対し 30.35% が壊れており、オランダは 11.86% に対し 22.98% です。主導されたすべての語尾を通じて、15.7% が壊れているのに対し有効は 9.1% です。

これが重要なのは、壊れた DNSSEC が無害ではないからです。検証を行うリゾルバは署名が整合しないドメインの解決を拒否するため、設定ミスはインターネットの一部に対してそのドメインを——ウェブサイトもメールも——オフラインにしてしまうことがあります。正しさを推進せずに普及だけを推進すると、保護とともに障害も拡大します。これはウェブ全体がDNSSEC のパラドックスで示すのと同じ実行上の問題が、より多くのドメインが挑戦するところで増幅されたものにすぎません。

なぜレジストリのポリシーは所有者任せに勝るのか

DNSSEC には個々の所有者にとっての強制的な契機がありません。省略しても何も壊れず警告も出ないため、.com のような放任主義の語尾では普及は 1.62% 付近で無期限に横ばいのままです。そこから抜け出したレジストリは、法令ではなく経済によってそれを成し遂げました——通常はレジストラへのインセンティブ(ゾーン署名に対する割引や払い戻し)に加えてプロバイダーの自動化であり、これによって北欧、チェコ、オランダのレジストリは全体の母集団を引き上げました。これは清潔な自然実験です。同じプロトコル、同じ難易度、まったく異なる結果——そしてその違いはレジストリのポリシーです。

義務かインセンティブか——実際に針を動かすのはどちらか?

主にインセンティブです。この問いが通常立てられる「義務的」という枠組みにもかかわらず、ここで高い普及率を示す語尾は概して DNSSEC を法的に要求するのではなく奨励しています。厳格な義務はより稀です(一部の政府は公共部門のドメインに対して要求しています)。あらゆるレジストリへの教訓はこうです。レジストラの経済性と自動化を署名へ向けて整合させることは機能します——ただし、それは管理された署名と鍵のロールオーバーと組み合わせるべきであり、さもなければ単に壊れたゾーンを増産するだけです。

よくある質問

DNSSEC を要求またはインセンティブ付けすると、本当に普及は増えるのか? はい——私たちのデータでは約 7 倍です。レジストリ主導の語尾では 9.1% が有効、放任主義のものでは 1.3%、2026-06-29 時点。

どの国または TLD が最も DNSSEC を採用しているか? 大規模な語尾の中ではスウェーデン(.se)が 18.38% の有効でトップ——.com の 1.62% の十倍以上です。

普及率が高ければ、DNSSEC は正しく行われているのか? 多くの場合そうではありません。高普及率のあらゆる語尾で、壊れた DNSSEC は有効なものを上回ります(主導された語尾全体で 15.7% 対 9.1%)——そして壊れた DNSSEC はドメインをオフラインにしかねません。

小規模事業者は DNSSEC をオンにすべきか? 正しく管理される場合に限ります——壊れた署名は無いよりも悪いです。署名と鍵のロールオーバーを処理してくれるプロバイダーを使い、検証を通ることを確認してください。DNSSEC の直し方を参照。

あなたのドメインの DNS を確認する

あなたの DNSSEC が有効か、壊れているか、存在しないか——そして残りのセキュリティ姿勢——を、プライベートかつ無料で確認できます。

あなたのドメインを確認 → · DNSSEC のパラドックス → · インターネットの DNS を運営しているのは誰か? → · DNSSEC を直す → · 集計データのみ。データは EU 内で保存・処理されます。