sg sg-security-measures network_security dns tls cryptography
まず結論
DNSSECとHTTPS/TLSの違いは、DNSの応答を守るのか、Web通信を守るのかです。
SG試験では、次のように整理すると判断しやすくなります。
| 技術 | 守る対象 | 主な役割 |
|---|---|---|
| DNSSEC | DNS応答 | DNS情報の正当性・完全性を検証する |
| HTTPS/TLS | Web通信 | 通信内容を暗号化し、通信相手を確認する |
DNSSECは、ドメイン名からIPアドレスを調べる段階で、そのDNS応答が本物か、改ざんされていないかを確認する仕組みです。
HTTPS/TLSは、Webサイトに接続した後の通信で、通信内容を盗み見されにくくし、接続先が正しい相手かを確認する仕組みです。
直感的な説明
Webサイトを見るまでの流れは、大きく分けると次の2段階です。
1. DNSで住所を調べる
ドメイン名 → IPアドレス
2. Webサイトと通信する
ブラウザ ↔ Webサーバ
DNSSECは、1つ目の「住所を調べる段階」を安全にする技術です。
たとえるなら、住所案内で返ってきた住所が、本当に公式の住所かを確認する仕組みです。
一方、HTTPS/TLSは、2つ目の「Webサイトと通信する段階」を安全にする技術です。
たとえるなら、相手と会話するときに、盗み聞きされにくい通話路を作り、相手が本人か確認する仕組みです。
つまり、DNSSECとHTTPS/TLSは、どちらも安全性に関係しますが、守っている場所が違います。
定義・仕組み
DNSSECとは
DNSSEC(DNS Security Extensions)は、DNS応答にデジタル署名を付けることで、DNS情報の正当性と完全性を検証する仕組みです。
DNSSECで確認する主な内容は、次の2つです。
| 確認すること | 内容 |
|---|---|
| 正当性 | 正しい管理者が作成したDNS情報か |
| 完全性 | DNS応答が途中で改ざんされていないか |
たとえば、攻撃者が偽のDNS応答を返して、利用者を偽サイトへ誘導しようとした場合、DNSSECによって不正な応答を検出しやすくなります。
ただし、DNSSECはDNS通信の内容を暗号化する仕組みではありません。
HTTPS/TLSとは
HTTPSは、HTTP通信をTLSで保護する仕組みです。
TLSは、インターネット上の通信を安全に行うためのプロトコルです。
HTTPS/TLSで実現する主な内容は、次の3つです。
| 確認・保護すること | 内容 |
|---|---|
| 機密性 | 通信内容を暗号化し、盗み見されにくくする |
| 完全性 | 通信内容が途中で改ざんされていないか確認する |
| 認証 | 接続先サーバが正しい相手か確認する |
WebサイトでURLが https:// から始まる場合、ブラウザとWebサーバの間の通信はTLSによって保護されます。
どんな場面で使う?
DNSSECが関係する場面
DNSSECは、DNSの名前解決結果を信頼したい場面で関係します。
たとえば、次のような場面です。
- DNSキャッシュポイズニング対策
- 偽のDNS応答による偽サイト誘導の防止
- DNSリソースレコードの改ざん検知
- ドメインのDNS情報の正当性確認
DNSSECは、Webサイトへ接続する前の「名前解決」の信頼性を高めます。
HTTPS/TLSが関係する場面
HTTPS/TLSは、Webサイトとの通信を安全に行いたい場面で使われます。
たとえば、次のような場面です。
- ログインIDやパスワードを送信する
- クレジットカード情報を入力する
- 問い合わせフォームから個人情報を送る
- Webサイトの内容が途中で改ざんされないようにする
HTTPS/TLSは、Webサーバとブラウザの間の通信を保護します。
DNSSECとHTTPS/TLSの切り分け
DNSSECとHTTPS/TLSは、どちらも「正しい相手か」「改ざんされていないか」に関係します。
そのため、試験では混同しやすいです。
切り分けるときは、どの段階の話かを見ると判断しやすくなります。
| 問われている内容 | 関連する技術 |
|---|---|
| ドメイン名からIPアドレスを調べる結果が正しいか | DNSSEC |
| DNSリソースレコードが改ざんされていないか | DNSSEC |
| Webサイトとの通信内容を暗号化する | HTTPS/TLS |
| ブラウザとWebサーバ間の通信を保護する | HTTPS/TLS |
| サーバ証明書を使って接続先を確認する | HTTPS/TLS |
特に、DNS応答・リソースレコード・名前解決という言葉が出たらDNSSECを考えます。
一方、Web通信・HTTPS・TLS・サーバ証明書・暗号化通信という言葉が出たらHTTPS/TLSを考えます。
よくある誤解・混同
誤解1:DNSSECはWeb通信を暗号化する仕組みである
これは誤りです。
DNSSECは、DNS応答の正当性と完全性を確認する仕組みです。
WebブラウザとWebサーバの通信を暗号化するのは、主にHTTPS/TLSの役割です。
誤解2:HTTPS/TLSがあればDNSSECは不要である
HTTPS/TLSはWeb通信を保護しますが、DNSの名前解決そのものを保護する仕組みではありません。
たとえば、DNSの応答が偽装されると、利用者が意図しないIPアドレスに誘導される可能性があります。
HTTPS/TLSとDNSSECは守る場所が違うため、単純にどちらか一方だけで全てを守るという関係ではありません。
誤解3:DNSSECは通信内容を秘密にする仕組みである
これも誤りです。
DNSSECは、DNS応答にデジタル署名を付けて検証します。
主な目的は、盗聴防止ではなく、なりすましや改ざんの検出です。
誤解4:HTTPS/TLSはDNSキャッシュポイズニング対策そのものである
HTTPS/TLSは、Web通信の保護には有効ですが、DNSキャッシュに偽の情報を覚え込ませる攻撃そのものを防ぐ仕組みではありません。
DNSキャッシュポイズニングへの対策としては、DNSSECのようにDNS応答の正当性を検証する仕組みが関係します。
SG試験での判断ポイント
DNSSECとHTTPS/TLSを切り分けるときは、問題文のキーワードに注目します。
DNSSECを選びやすいキーワード
- DNS応答
- 名前解決
- リソースレコード
- 権威DNSサーバ
- デジタル署名
- 正当性
- 完全性
- DNSキャッシュポイズニング
HTTPS/TLSを選びやすいキーワード
- HTTPS
- TLS
- Web通信
- 通信内容の暗号化
- サーバ証明書
- ブラウザとWebサーバ
- 盗聴防止
- 改ざん検知
ひっかけを切る基準
| 選択肢の表現 | 判断 |
|---|---|
| DNS応答にデジタル署名を付ける | DNSSEC |
| DNSリソースレコードの正当性を検証する | DNSSEC |
| Web通信を暗号化する | HTTPS/TLS |
| サーバ証明書で接続先を確認する | HTTPS/TLS |
| DNS通信の内容を暗号化する | DNSSECの主目的ではない |
| DNSサーバを二重化する | セカンダリDNSなど可用性の話 |
SG試験では、単に「安全にする」と書かれているだけでは判断できません。
何を安全にするのかを確認することが大切です。
ミニ問題
DNSSECとHTTPS/TLSの違いとして、最も適切なものはどれか。
ア DNSSECはWeb通信を暗号化し、HTTPS/TLSはDNSサーバを二重化する仕組みである。
イ DNSSECはDNS応答の正当性と完全性を検証し、HTTPS/TLSはWeb通信の暗号化や接続先の確認を行う仕組みである。
ウ DNSSECは不特定多数からの再帰問い合わせを受け付ける仕組みであり、HTTPS/TLSはDNSキャッシュを一時保存する仕組みである。
エ DNSSECとHTTPS/TLSはどちらも同じ役割であり、名称だけが異なる。
回答と解説
正解は、イです。 DNSSECは、DNS応答にデジタル署名を付け、DNS情報の正当性と完全性を検証する仕組みです。 HTTPS/TLSは、ブラウザとWebサーバ間の通信を暗号化し、サーバ証明書などを使って接続先を確認する仕組みです。 - ア:DNSSECとHTTPS/TLSの役割が誤っています。DNSサーバの二重化は可用性向上の話です。 - ウ:不特定多数からの再帰問い合わせはオープンリゾルバに関する話です。 - エ:DNSSECとHTTPS/TLSは守る対象が異なります。 SG試験では、DNSSECを「名前解決の結果を検証する」、HTTPS/TLSを「Web通信を保護する」と切り分けましょう。まとめ(試験直前用)
DNSSECとHTTPS/TLSは、どちらも安全性に関係しますが、守る対象が異なります。
試験直前には、次の3点を押さえておきましょう。
- DNSSECは、DNS応答の正当性と完全性を検証する
- HTTPS/TLSは、Web通信を暗号化し、接続先を確認する
- DNSSECは名前解決、HTTPS/TLSはWeb通信と切り分ける
SG試験では、「安全にする技術」という大きなくくりで覚えると混同しやすくなります。
DNSSEC=DNS応答の検証、HTTPS/TLS=Web通信の保護と覚えておきましょう。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- 入退室管理とは?物理アクセス制御の基本【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】