Defaults.Exposed

Defaults.Exposed › レポート

DNSSECとは何か、そして本当に必要なのか?(2026年)

公開日 2026-07-01

数値は2026-06-29時点・方法論v7。 採点対象の261百万ドメインを横断した集計センサスデータです。DNSSECはDNSに暗号署名を付与し、応答が確かにあなたから来たものであり改ざんされていないことをリゾルバが証明できるようにします。採点方法はこちらをご覧ください。

DNSSECは、あなたのドメインに対するすべてのDNS応答に署名を付与します。これにより攻撃者は、こっそり偽の応答にすり替えて訪問者を別の場所へ誘導することができなくなります。 これはウェブ上で最も導入率が低い対策の一つです。261百万ドメインのうち、有効な署名済みチェーンを持つのはわずか**1.99%にすぎません。また、誤った設定が何もしないより悪くなる数少ない対策の一つでもあります。3.02%**のドメインは署名されているものの壊れており、その結果ドメインへ到達できなくなる可能性があります。ここでは、DNSSECが何をするのか、そしてあなたに必要かどうかを解説します。

DNSSECが実際に防ぐもの

素のDNSには、応答が正当であることを証明する手段がありません。そのためキャッシュポイズニング経路上のDNSスプーフィングの余地が生まれます。攻撃者はリゾルバに偽造レコードを送り込み、訪問者やメールを自分のサーバーへ誘導しますが、それを見破らせる証明書の警告は一切出ません。DNSSECはレコードに署名することでこの隙を塞ぎ、検証を行うリゾルバが検証に通らないものを拒否できるようにします。

DNSSECが行わないこと、それはDNSを暗号化しないこと、ウェブサイト自体を保護しないこと、そしてHTTPSDMARCCAAの代わりにはならないことです。あくまで一つの層、すなわちDNS応答の完全性を担う層です。

導入状況の全体像

ドメインの末尾別に見ると、有効なDNSSECの割合は大きく異なります。.seでは18.38%、.nlでは11.86%、.czでは14.62%であるのに対し、.comではわずか1.62%です。

あなたに必要か?

安全に有効化する方法

  1. DNSSECを自動化するDNSホストを使う — 署名と鍵のロールオーバーを代行してもらいます(主要プロバイダーの多くは今やワンクリックで対応します)。DNSSECを修正するをご覧ください。
  2. 署名を有効化し、次にレジストラでDSレコードを公開して信頼チェーンを完成させます。
  3. 作業を終える前に、チェーンが正しく解決されることを検証します。署名済みだが壊れているドメインは、署名なしのドメインより悪い状態です。
  4. 鍵を確実にローテーションできるツールがない限り、決して鍵を手動管理しないこと

よくある質問

DNSSECを簡単に言うと何ですか? DNSレコードに付与される一連のデジタル署名であり、リゾルバが応答が正当で通信途中で偽造されていないことを証明できるようにするものです。

本当にDNSSECは必要ですか? 標的にされやすいドメインや、コンプライアンスで求められる場合に最も価値があります。それ以外の人にとっては、DNSホストが自動化してくれるのであれば良いハードニング施策です。主なリスクは設定ミスであり、現在3.02%のドメインがこの状態にあります。

DNSSECはDNSを暗号化しますか? いいえ。完全性(応答が本物であること)は証明しますが、クエリを隠すことはしません。それは別の技術(DoH/DoT)です。

DNSSECでウェブサイトが壊れることはありますか? 壊れた署名や期限切れの署名は、検証を行うリゾルバを使うすべての利用者に対してドメインを解決不能にする可能性があります。だからこそ、署名と鍵ロールオーバーの自動化が重要なのです。

DNSSECは無料ですか? 最新のDNSホストのほとんどでは無料です。購入するものではなく、設定項目の一つです。

あなたのドメインのDNSSECを無料でチェック

あなたのドメインが署名され、有効で、正しくチェーンされているかどうかを確認できます。非公開で、所有者だけが利用できます。

ドメインをチェックする → · DNSSECを修正する → · DNSSECの義務化は機能するか? → · 採点方法 → · 集計データのみ。データはEU域内で保存・処理されます。