PDNS（プロテクティブDNS）とは？

PDNS（プロテクティブDNS）とは？　

DNSを活用して悪性通信を未然に防ぐセキュリティ技術

PDNS（Protective DNS：プロテクティブDNS）とは、脅威インテリジェンス※1を活用して悪性通信を未然にブロックするセキュリティ技術です。

その名の通りDNS(Domain Name System)を利用する仕組みですが、「DNSそのものを守る技術」ではなく「DNSを利用して利用者や組織を守る技術」と言えます。

近年では、DNSを単なる名前解決の仕組みとしてではなく、セキュリティ対策を実施するための重要な観測・防御ポイントとして活用する考え方が広がっており、英国のNCSC（National Cyber Security Centre）をはじめ、米国・オーストラリアなど複数の政府機関でもPDNSが導入され、軽量で広範囲に展開しやすい防御技術として注目を集めています。

※1：サイバー攻撃の動向、攻撃者の手口、悪用される脆弱性などの情報を集約し、分析・整理したもの

DNSとは？

まずDNSについて説明します。DNSはインターネット上の「電話帳」のような仕組みです。例えば、私たちがWebブラウザで「www.example.com」のようなドメイン名を入力すると、コンピュータはそのままでは通信先を特定できません。そこでDNSに問い合わせを行い、そのドメイン名に対応するインターネット上の住所にあたるIPアドレスを調べます。

このように、人間が利用するドメイン名と、コンピュータが通信に利用するIPアドレスを結び付けるのがDNSの役割です。

Webサイトの閲覧、メールの送受信、クラウドサービスの利用、SaaSへのアクセスなど、私たちが日常的に行う多くの通信は、このDNSによる名前解決を起点としています。

PDNSとは？

PDNSは、利用者がDNSを利用してWebサイトへアクセスしようとした際に、その通信先が安全かどうかを脅威インテリジェンスに基づいて自動的に判断します。

例えば、利用者がWebサイトへアクセスしようとした場合、PDNSは問い合わせ先のドメインがフィッシングサイトやマルウェア配布サイト、あるいは攻撃者のC2（Command & Control）サーバ※2として利用されていないかを確認します。

危険と判断された場合は、IPアドレスの返答をブロックするか、安全な応答に差し替えることで通信を遮断し、利用者を保護します。

※2：C2（Command & Control）サーバとは：攻撃者が感染端末を遠隔操作するための指令サーバです。

PDNSのメリット

PDNSは、上記のように通信が開始される前の段階で悪性サイトへの接続を防ぐことができます。具体的には、以下のような場面で高い効果を発揮します。

• フィッシングメール内のURLをクリックした場合

• 不審な広告をクリックした場合

• マルウェアが外部の攻撃サーバへ接続しようとした場合

• ランサムウェアが攻撃者のC2サーバと通信しようとした場合

攻撃者は、フィッシングメールのリンクのクリックなどをきっかけに、最終的には利用者をフィッシングサイトへ誘導したり、マルウェアに攻撃者のサーバと通信させたりすることで攻撃を成立させようとします。

その際、多くの場合は通信先を特定するためにDNSによる名前解決が行われます。

PDNSはこの名前解決の段階で危険な通信先を検知・遮断できるため、実際の通信が行われる前にリスクを低減することができます。

まとめ

PDNS（プロテクティブDNS）は、DNSを利用して悪性通信を検知・遮断するセキュリティ技術です。インターネット上の多くの通信がDNSによる名前解決から始まるという特性を利用し、フィッシングサイトへのアクセスやマルウェア通信、C2通信などを通信前の段階でブロックできます。

一方で、完璧なセキュリティ製品が存在しないように、PDNSもすべての攻撃を防げる万能な仕組みではありません。例えば、IPアドレスを直接指定した通信や、DNSを利用しない一部の通信に対しては十分な効果を発揮できない場合もあります。

そのため、PDNSはアンチウイルスやUTMなどのレイヤーの異なる他のセキュリティ対策と組み合わせ、多層防御の一層として活用することで、組織全体のセキュリティ強化に大きく役立ちます。

フィッシングやランサムウェアなどの脅威が続く中、通信の入口であるDNSを活用した防御の重要性は、今後さらに高まっていくと考えられます。

PDNS製品紹介ページはこちらから