sg sg-security-measures network_security dns
まず結論
権威DNSサーバとキャッシュDNSサーバの違いは、正式なDNS情報を持っているサーバか、利用者の問い合わせを代理して調べるサーバかです。
SG試験では、次のように整理すると判断しやすくなります。
| 種類 | 役割 | たとえるなら |
|---|---|---|
| 権威DNSサーバ | ドメインの正式なDNS情報を管理する | 公式の住所台帳 |
| キャッシュDNSサーバ | 利用者の代わりにDNSを問い合わせ、結果を一時保存する | 住所を調べてくれる案内係 |
たとえば、example.com の正式なIPアドレス情報を管理しているのが権威DNSサーバです。
一方、利用者のPCやスマートフォンからの問い合わせを受け取り、必要に応じて他のDNSサーバへ問い合わせ、結果を一時的に保存するのがキャッシュDNSサーバです。
直感的な説明
DNSは、ドメイン名からIPアドレスを調べる仕組みです。
たとえば、利用者がブラウザでWebサイトを開くとき、コンピュータは次のような確認をします。
このドメイン名は、どのIPアドレスに対応しているのか?
このとき、利用者が直接すべてのDNSサーバに問い合わせるわけではありません。
通常は、まずキャッシュDNSサーバに問い合わせます。
キャッシュDNSサーバは、利用者の代わりに必要な情報を探しに行きます。そして、すでに同じ問い合わせ結果を覚えていれば、その情報をすぐ返します。
一方、権威DNSサーバは、そのドメインについての正式な情報を持っているサーバです。
イメージとしては、次のようになります。
利用者
↓ 問い合わせ
キャッシュDNSサーバ
↓ 必要に応じて問い合わせ
権威DNSサーバ
↓ 正式なDNS情報を返す
キャッシュDNSサーバ
↓ 結果を利用者へ返す
利用者
つまり、キャッシュDNSサーバは「調べる役」、権威DNSサーバは「正式な答えを持っている役」です。
定義・仕組み
権威DNSサーバとは
権威DNSサーバとは、特定のドメインについて、正式なDNS情報を管理しているDNSサーバです。
たとえば、ある企業が example.co.jp というドメインを持っている場合、そのドメインに関する情報を管理するDNSサーバが権威DNSサーバです。
権威DNSサーバには、次のような情報が登録されます。
| レコード | 内容 |
|---|---|
| Aレコード | ドメイン名に対応するIPv4アドレス |
| AAAAレコード | ドメイン名に対応するIPv6アドレス |
| MXレコード | メール配送先のメールサーバ |
| NSレコード | そのドメインを管理するDNSサーバ |
| TXTレコード | SPFなどの文字列情報 |
権威DNSサーバは、ドメインの「公式な情報源」と考えるとわかりやすいです。
キャッシュDNSサーバとは
キャッシュDNSサーバとは、利用者からの名前解決の問い合わせを受け取り、必要に応じて他のDNSサーバへ問い合わせ、結果を一時的に保存するDNSサーバです。
キャッシュDNSサーバは、リゾルバ、フルリゾルバ、DNSキャッシュサーバと呼ばれることもあります。
キャッシュDNSサーバの主な役割は、次の2つです。
- 利用者の代わりにDNS問い合わせを行う
- 一度調べた結果を一時保存し、次回以降の問い合わせを速くする
この一時保存の仕組みを、キャッシュといいます。
キャッシュの有効期限
DNSのキャッシュには、有効期限があります。この有効期限をTTL(Time To Live)といいます。
TTLが残っている間は、キャッシュDNSサーバは保存済みの結果を返すことができます。
TTLが切れると、キャッシュDNSサーバは改めて問い合わせを行います。
| 用語 | 内容 |
|---|---|
| キャッシュ | 過去の問い合わせ結果を一時的に保存すること |
| TTL | キャッシュを保持してよい時間 |
キャッシュによって名前解決は速くなりますが、古い情報が一時的に残ることもあります。
どんな場面で使う?
Webサイトにアクセスするとき
利用者がWebサイトにアクセスするとき、まずドメイン名からIPアドレスを調べます。
このとき、利用者の端末は通常、契約しているISPや社内ネットワークで指定されたキャッシュDNSサーバに問い合わせます。
キャッシュDNSサーバは、必要に応じて権威DNSサーバなどへ問い合わせ、最終的な結果を利用者へ返します。
企業が自社ドメインを運用するとき
企業が自社のWebサイトやメールを運用する場合、自社ドメインに関するDNS情報を正しく管理する必要があります。
このDNS情報を管理するのが権威DNSサーバです。
たとえば、WebサイトのIPアドレスを変更した場合は、権威DNSサーバ上のAレコードなどを更新します。
社内ネットワークで名前解決を管理するとき
社内ネットワークでは、社内向けの名前解決を行うためにDNSサーバを運用することがあります。
この場合も、正式な情報を持つサーバと、利用者からの問い合わせを受けるサーバの役割を分けて考えることが重要です。
よくある誤解・混同
誤解1:DNSサーバは全部同じ役割である
これは誤りです。
DNSサーバには、正式な情報を持つ権威DNSサーバと、利用者の問い合わせを代理するキャッシュDNSサーバがあります。
SG試験では、単に「DNSサーバ」と書かれていても、文脈からどちらの役割を指しているかを判断することが大切です。
誤解2:キャッシュDNSサーバが正式な情報を管理している
これも誤りです。
キャッシュDNSサーバは、問い合わせ結果を一時的に保存しますが、ドメインの正式な管理者ではありません。
正式なDNS情報を管理するのは、権威DNSサーバです。
誤解3:権威DNSサーバは利用者からのすべての問い合わせを直接受ける
通常、利用者の端末はまずキャッシュDNSサーバに問い合わせます。
キャッシュDNSサーバが必要に応じて権威DNSサーバへ問い合わせる流れになります。
そのため、権威DNSサーバは「正式な答えを持つサーバ」、キャッシュDNSサーバは「利用者の代わりに調べるサーバ」と分けて理解しましょう。
誤解4:DNSSECはキャッシュDNSサーバと権威DNSサーバの二重化である
これも誤りです。
DNSSECは、DNS応答の正当性と完全性を確認するための仕組みです。
一方、権威DNSサーバとキャッシュDNSサーバの違いは、DNSにおける役割の違いです。
DNSSECは「署名検証」、キャッシュDNSサーバは「問い合わせ代理と一時保存」、権威DNSサーバは「正式情報の管理」と切り分けましょう。
SG試験での判断ポイント
SG試験では、DNS関連の選択肢で次のような言葉が出ることがあります。
| キーワード | 関連する内容 |
|---|---|
| 権威DNSサーバ | ドメインの正式なDNS情報を管理する |
| コンテンツDNSサーバ | 権威DNSサーバとほぼ同じ意味で使われることがある |
| キャッシュDNSサーバ | 利用者の問い合わせを代理し、結果を一時保存する |
| リゾルバ | 名前解決を行う仕組み。文脈により端末側やキャッシュDNSサーバ側を指す |
| 再帰問い合わせ | キャッシュDNSサーバが利用者の代わりに最終結果まで調べる問い合わせ |
| オープンリゾルバ | 不特定多数からの再帰問い合わせを受け付ける危険な状態 |
| TTL | DNSキャッシュの有効期限 |
特に、次の切り分けが重要です。
| 問われている内容 | 関連する用語 |
|---|---|
| 正式なDNS情報を持つ | 権威DNSサーバ |
| 利用者の代わりに名前解決する | キャッシュDNSサーバ |
| 結果を一時保存する | キャッシュDNSサーバ |
| DNS応答の正当性と完全性を検証する | DNSSEC |
| DNSの可用性を高めるために複数台構成にする | セカンダリDNSサーバなど |
| 不特定多数からの再帰問い合わせを受ける | オープンリゾルバ |
ミニ問題
DNSにおける権威DNSサーバとキャッシュDNSサーバの説明として、最も適切なものはどれか。
ア 権威DNSサーバは利用者の問い合わせ結果を一時保存し、キャッシュDNSサーバはドメインの正式なDNS情報を管理する。
イ 権威DNSサーバはドメインの正式なDNS情報を管理し、キャッシュDNSサーバは利用者の代わりに名前解決を行って結果を一時保存する。
ウ 権威DNSサーバはDNS通信を暗号化し、キャッシュDNSサーバはWeb通信を暗号化する。
エ 権威DNSサーバとキャッシュDNSサーバはどちらも同じ役割であり、名称だけが異なる。
回答と解説
正解は、イです。 権威DNSサーバは、そのドメインに関する正式なDNS情報を管理するサーバです。 キャッシュDNSサーバは、利用者からの問い合わせを受け取り、必要に応じて他のDNSサーバへ問い合わせ、結果を一時的に保存するサーバです。 - ア:役割が逆です。 - ウ:DNS通信やWeb通信の暗号化の説明ではありません。 - エ:同じDNSサーバでも役割が異なります。 SG試験では、権威DNSサーバを「正式情報の管理」、キャッシュDNSサーバを「問い合わせ代理と一時保存」と覚えると判断しやすくなります。まとめ(試験直前用)
権威DNSサーバとキャッシュDNSサーバは、DNSの名前解決で役割が異なります。
試験直前には、次の3点を押さえておきましょう。
- 権威DNSサーバは、ドメインの正式なDNS情報を管理する
- キャッシュDNSサーバは、利用者の代わりに名前解決し、結果を一時保存する
- DNSSEC、セカンダリDNS、オープンリゾルバとは別の観点で切り分ける
SG試験では、「DNSサーバ」という言葉だけで判断せず、正式な情報を持つ話なのか、利用者の問い合わせを代理する話なのかを確認することが大切です。
権威DNSサーバ=公式情報、キャッシュDNSサーバ=代理問い合わせと一時保存と覚えておきましょう。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- 入退室管理とは?物理アクセス制御の基本【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】