Defaults.Exposed

Defaults.Exposed › レポート

DNSSECのパラドックス:正しく設定するより壊すドメインのほうが多い(2026年)

公開日 2026-06-29

数値は 2026-06-29 時点 · 方法論 v7。 261 百万件の採点済みドメインにわたる集計センサスデータ。採点方法を参照。

DNSSEC はあなたのドメインを乗っ取りにくくするはずのものですが、あまりに扱いが難しく、正しく機能しているドメインよりも壊れているドメインのほうが多いのです。 261 百万件のドメインのうち、3.02% は署名済みだが壊れた DNSSEC を持ち、有効なのはわずか 1.99% にとどまります。残りの 94.99% はそもそも試みていません。DNS はセキュリティの議論が忘れがちな層であり、数字がそれを物語っています。

データが示すこと

DNSSEC の状態ドメインの割合
有効(署名済み、正常動作)1.99%
壊れている(署名済み、設定ミス)3.02%
まったく署名なし94.99%

壊れている行のドメインは有効行よりも多くあります。これがパラドックスです。DNSSEC を有効にした少数派のうち、大半が設定を誤っているのです。

なぜ壊れた DNSSEC は DNSSEC なしより悪いのか?

署名されていない DNSSEC は単に保護されていないだけです。壊れた DNSSEC は積極的に危険です。検証を行うリゾルバは、署名が合致しないドメインの名前解決を拒否するため、設定ミスはインターネットの一部に対してあなたのドメインを完全にオフラインにし得ます。ウェブサイトもメールも、修正されるまで使えません。あなたを守るはずの機能そのものが、自ら招いた障害になるのです。このリスクに加え、鍵のロールオーバーやレジストラ間の引き継ぎが本当に厄介であることが、普及率が最低水準近くにとどまる理由です。

より広範な DNS セキュリティの欠落

DNSSEC だけが放置されている DNS 制御ではありません。CAA レコードは、あなたのドメインに対して誰が TLS 証明書を発行できるかを制限し、ある種の誤発行攻撃を静かに防ぎますが、設定されているのはわずか 1.56% のドメインだけです。DNS は基盤です。乗っ取られれば、下流のほかのあらゆる制御は回避され得ます。それでも、所有者が最も触れない層なのです。

DNSSEC を有効にすべきか?

ほとんどの小規模事業者にとって、優先順位はまずメール認証と HTTPS です。これらは日々実際に直面する攻撃を止めてくれます。DNSSEC は重要ですが、正しく行われた場合に限ります。壊れた署名はないよりも悪いのです。有効にするなら、署名と鍵のロールオーバーを代行してくれるプロバイダを使い、その後にエンドツーエンドで検証されることを確認してください。DNSSEC を修正CAA を修正を参照。

よくある質問

壊れた DNSSEC は本当に DNSSEC なしより悪いのですか? はい。DNSSEC がないということは、単に追加の保護がないだけです。壊れた DNSSEC は、検証を行うネットワークであなたのドメインの名前解決に失敗させ、修正されるまでサイトとメールをオフラインにし得ます。

DNSSEC を正しく使っているドメインの割合は? 2026-06-29 時点でわずか 1.99% で、署名済みだが壊れている 3.02% よりも少ないのです。

CAA レコードとは何ですか、必要ですか? CAA はどの認証局があなたのドメインの証明書を発行できるかを制限し、ある種の誤発行を防ぎます。設定しているドメインはわずか 1.56% です。安価で低リスクの追加策です。

小規模事業者は DNSSEC を優先すべきですか? 通常はメール認証と HTTPS の後です。まずそれらを行い、正しく管理できる場合にのみ DNSSEC を追加してください。

あなたのドメインの DNS セキュリティを無料でチェック

DNSSEC と CAA の状態、そしてより重要な制御を、非公開かつ所有者限定で確認できます。

あなたのドメインをチェック → · DNSSEC を修正 → · CAA を修正 → · 採点方法 → · 集計データのみ。データは EU 内で保存・処理されます。