最初のポイント、DNSでセキュリティ対策を――米ノミナムDNSクエリを解析してDoSや不正な通信を阻止

米ノミナムのプロダクトマーケティング担当バイスプレジデント、ダグ・ミラー氏は、2013年12月に開催された同社事業戦略説明会で、DNSサーバー開発者の立場からインターネットセキュリティの向上に寄与できると説明した。

» 2014年01月10日 17時27分 公開
[高橋睦美,@IT]

 「普通のユーザーにとっても、また悪意ある活動にとっても、DNSはネットワークの中核であり、全ての活動が始まる最初のポイントだ」――DNSサーバーの開発、提供を行う米ノミナム(Nominum)のプロダクトマーケティング担当バイスプレジデント、ダグ・ミラー氏は、2013年12月に開催された同社事業戦略説明会でこのように語り、DNSサーバー開発者の立場からインターネットセキュリティの向上に寄与できると説明した。

 Nominumは、DNSキャッシュサーバー「Vantio Base System」をはじめとするDNS/DHCP製品を開発しているソフトウェアベンダーだ。DNSの生みの親であるポール・モカぺトリス氏が同社の会長兼チーフアーキテクトを務める。同社製品群は、安定性や堅牢性、可視化機能といった点で、オープンソースのDNSサーバー「BIND」の弱点を補うものだという(機能詳細は後述する)。

 同社はパートナーであるSCSKと協力し、2014年中に、DNSクエリの内容を解析して不正アクセスを防ぐ「Vantio ThreatAvert」を国内で提供する計画だ。米国では2013年10月に既にリリースしたもので、DNSクエリの内容を解析し、それに基づいてポリシーを適用することによって、安全で信頼性の高いインターネットアクセスの実現を支援する仕組みだという。

 Vantio ThreatAvertでは、「Global Intelligence Xchange」というクラウドベースの基盤を活用する。ここでは、生のDNSクエリに含まれるドメイン名と、セキュリティ上の脅威に関する情報を集約して悪質なドメインを特定。DNSサーバーがその情報を参照しながらアクセスを制御することにより、悪意あるサイトへのアクセスを遮断したり、接続レートを制限したりする仕組みだ。

 例えば、DNSクエリを異常に多く投げてくるDNSサーバーは、DoS攻撃に悪用されているオープンリゾルバーである可能性がある。そうしたIPアドレスを特定して接続を制限すれば、DNS増幅攻撃を防ぐ役に立つ。

 同様に、不正に情報を収集しているとおぼしきドメインを特定し、そこへのアクセスを遮断できれば、企業ネットワーク内部のボットなどに感染した端末から、外部への接続や攻撃を未然にブロックできることになる。

 「DNSだからこそ実現できる対策だ」(ミラー氏)。

 同社はさらに、DNSクエリ解析の仕組みを活用して、マーケティングに応用する「DNS Analytics」の提供も予定している。ユーザー同意の下でDNSのデータを活用することで、ユーザーがいまどんな関心を抱いているかを把握し、それに合致した広告やナビゲーションなどを提供できるようにするという。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。