DNSは、人間が理解しやすいドメイン名を、コンピューターが理解しやすいIPアドレスに変換します。プライベートDNSは、お客様のデバイスからDNSサーバーに対して行われるDNSクエリを暗号化します。プライバシーを尊重するサードパーティのDNSサービスと併用する場合、プライベートDNSはお客様のオンラインプライバシーを向上させることができます。しかし、VPNを使用している場合、プライベートDNSは必要ありません。実際には、VPN接続の安全性を低下させる可能性があります。
この記事では、プライベートDNSとは何か、それがお客様のプライバシー保護にどのように役立つか、デバイスでそれを有効にする方法について説明します。さらに、お客様がそれをVPNと併用すべきではない理由についても解説します。
- DNSとは何ですか?
- DNSがプライバシーの問題を引き起こす理由
- プライベートDNSモードとは何ですか?
- プライベートDNSプロトコル
- プライベートDNSはVPNほどプライベートではありません
- プライベートDNSとVPNを併用しないでください
- プライベートDNSの使用方法
DNSとは何ですか?
Domain Name System(DNS)は、人間が理解しやすいドメイン名を、対応するコンピューターが理解しやすい数値のIPアドレスに対応付けます。
たとえば、Proton VPNのウェブサイトはドメイン名 protonvpn.com を使用しており、これはIPアドレス 185.159.159.140 に対応しています。お客様がブラウザのURLバーにwww.protonvpn.comと入力すると、コンピューターが理解できるように、ドメイン名が対応するIPアドレスに変換される必要があります。
この変換プロセスは、通常、お客様のインターネットサービスプロバイダ(ISP)が運営する特別なDNSサーバーによって実行されます。
DNSがプライバシーと検閲の問題を引き起こす理由
お客様のDNSクエリを解決する人(組織)は、お客様がどのウェブサイトを訪問しているかを確認できます(ただし、そこで何をしているかまではわかりません)。お客様がVPNを使用するか、DNS設定を自ら進んで変更しない限り、DNSクエリを解決するのはお客様のISPになります。
デフォルトでは、たとえお客様のDNSクエリを解決していない場合でも、お客様のISPはお客様がオンラインで行っていることを監視できるという点を理解することが重要です。しかし、これがISPにとってお客様の閲覧履歴をログに記録する最も簡単(かつ最も安価)な方法です。
そのため、顧客の閲覧履歴をログに記録するほとんどのISP(ほぼすべてのISPが該当します)は、最も手のかからない方法を採用し、顧客のDNSレコードをログに記録するだけにとどめています。ほとんどの国や地域において、この最小限のログ記録により、ISPはユーザーの閲覧履歴を記録するという法的義務を果たすことができます。
同様に、政府が社会的、宗教的、政治的、または「道徳的」な理由でインターネットコンテンツを検閲しようとする場合、国内のISPにこれらのブロックを強制するよう求めます。そして、これを行う最も簡単な方法は、特定のウェブサイトやアプリへのDNSクエリをブロックすることです。海外のサードパーティDNSリゾルバーを使用することで、これらのシンプル(かつ効果的)な検閲ブロックを回避できます。

イスタンブールで、2014年の政府による検閲の取り締まり(新しいウィンドウ)を回避するために、GoogleのDNSサーバーを使用するよう人々に呼びかける落書き
プライベートDNSモードとは何ですか?
HTTPSによって保護されている(新しいウィンドウ)大半のウェブサイトへの接続とは異なり、DNSクエリは通常、暗号化なしのプレーンテキストで送信されます。これは、たとえサードパーティによって解決されたとしても、お客様のISPなど、DNSクエリにアクセスできる人なら誰でもそれらを既読(読み取る)にできることを意味します。
もしISPが(より制限の厳しい政府から要求される可能性があるように)顧客を監視するためにより多くの労力を費やすとしたら、サードパーティのリゾルバーへのDNSクエリを単に監視し、ログに記録することができます。より高度な技術を使用すれば、これらのクエリをフィルタリングすることで検閲を実施することも可能です。
プライベートDNSは、お客様のデバイスとサードパーティのDNSサーバーとの間を行き来するDNSクエリを暗号化することで、これを防ぎます。これにより、お客様のISP(またはインターネット接続を監視している他の誰か)が、お客様のDNSクエリを見ることはできなくなります。
したがって、プライベートDNSは、従来の暗号化なしのDNSクエリと比較して、DNSのプライバシーとセキュリティにおいて大幅な向上をもたらします。 しかし、これにはいくつかの制限事項もあり、それについては後述します。
プライベートDNSプロトコル
プライベートDNSは、DNS-over-TLS(DoT)、DNS-over-HTTPS(DoH)、およびDNSCryptという3つのセキュリティプロトコルのいずれかを使用して実現されます。
DNS-over-TLS
DoTは、Transport Layer Security(新しいウィンドウ)(TLS)プロトコルを使用してDNSクエリを暗号化し、データが簡単に傍受されたり改ざんされたりしないようにします。DoTはポート853経由で実行されるため、他のトラフィックと混ざり合うことがなく、ネットワークがDoTトラフィックのみをブロックまたは監視することが容易になります。
これにより、通過するトラフィックをある程度制御したいネットワークにおいて、DoTが好ましい選択肢となります。また、DoTはDoHよりもサーバーレベルでの導入が複雑ではありません。
DNS-over-HTTPS
DoHは、インターネット上のすべての機密情報を保護するプロトコルであるHTTPSを使用して、DNSクエリを暗号化します。DoTと同様に、DoHはTLSを使用してDNSクエリを暗号化しますが、DoH接続はポート443経由で実行されるため、通常のHTTPSウェブトラフィックに混ざり合います。これにより、第三者がDNSトラフィックを他の種類のウェブトラフィックと区別することが困難になり、DoHはDoTよりもプライベートで、検閲に強い仕様となっています。
DNSCrypt
最も古いプライベートDNSプロトコルであるDNSCryptはDoHと非常によく似ていますが、DoHを向上させるいくつかの追加機能を備えています。しかし、DNSCryptはオペレーティングシステムやブラウザで広くサポートされていないため、サードパーティソフトウェア(新しいウィンドウ)を実行する必要があります。
では、どちらが最適でしょうか?これらすべてのプライベートDNSプロトコルは、プライベートDNSをまったく使用しない場合と比較して、プライバシーとセキュリティを大幅に向上させ、お客様のブラウジング速度への影響も無視できるレベルです。一部のネットワークがDoTを好む正当な理由はありますが、ほとんどのエンドユーザーにとって、DoHが提供する高いプライバシーは、2つのうちでより優れた選択肢となります。
多くの点で、最も古い選択肢であるにもかかわらず、DNSCryptはプライバシーの観点から今でも最適な選択肢です。しかし、DNSエコシステム全体でのサポート不足がその魅力を制限しています。この記事の残りの部分では、追加のソフトウェアをお客様がダウンロードする必要のないプロトコルである、DoTとDoHに焦点を当てていきます。
プライベートDNSはVPNほどプライベートではありません
プライベートDNSは特定のプライバシー上の利点を提供しますが、これらはISPが(多くの場合、政府の要請を受けて)簡単に実行できる対策のみを行い、コンテンツの検閲やお客様を監視することに本格的な労力を費やさない場合にのみ有効です。追加の労力は必要となりますが、ISPはお客様の接続を追跡してお客様の閲覧履歴を特定したり、特定のIPアドレスへのトラフィックを直接ブロックしたりすることができます。
ISPがお客様がオンラインで行うことを見るのを防ぐ(ひいては、検閲の可能性を防ぐ)には、お客様はVPNを使用すべきです。これにより、お客様のデバイスとVPNサーバーの間の接続が暗号化されるため、ISPはお客様のデータのコンテンツを見ることができなくなります。DNSクエリは、暗号化された接続(VPNトンネルとも呼ばれます)を経由してルーティングされ、お客様のVPNプロバイダによって解決されるため、お客様のISPはお客様がインターネット上でどのウェブサイトや他のリソースを訪問しているかを知ることはできません。

同様に、お客様が訪問するウェブサイトもお客様の実際のIPアドレスを見ることはできません。見えるのはVPNサーバーのIPアドレスだけです。

したがって、VPNはプライベートDNSサービスよりもはるかに強固なプライバシーを提供します。
プライベートDNSとVPNを併用しないでください
優れたVPNプロバイダはすべて、独自のDNSサーバーを運用しています。VPNを使用している場合、DNSリクエストはVPNトンネルを経由してルーティングされ、VPNサービスによって解決されます。VPNトンネルは暗号化されているため、プライベートDNSプロトコルを必要とせずにDNSリクエストが暗号化されます。
さらに、お客様のシステム上でサードパーティのDNSサービスを設定すると、DNSリクエストがVPNトンネルの外にルーティングされる可能性が高くなります。プライベートDNSは、DNSクエリが暗号化されることで、VPNソフトウェアが使用するDNS保護手段が、クエリを確実にVPNトンネル経由で適切にルーティングするように管理することが困難になるため、この現象が発生する可能性を高めます。
そのため、VPNの使用時にプライベートDNSは不要であるだけでなく、それどころか、DNS漏洩を引き起こす原因にもなり得ます。
プライベートDNSの使用方法
プライベートDNSを使用するには、まずDoTまたはDoHのいずれかをサポートするDNSリゾルバーを選択する必要があります(DNSサーバーをセルフホストすることも可能ですが、これには高度な技術的知識が必要です)。プライベートDNSをサポートし、少なくともプライバシーへの配慮を謳っている人気のDNSサービスには、以下のようなものがあります。
- Cloudflare 1.1.1.1 — この大規模な商用DNSサービスは、「Cloudflareリゾルバーに送信された匿名化されたDNSクエリデータ」のみを収集します。CloudflareはDoTとDoHをサポートしています。
- Quad9 — ユーザーの個人を特定できる情報を収集しない非営利のDNSサービスです。重要なことに、クエリの実行時にユーザーのIPアドレスは保管されません。Quad9はDoHをサポートしています。
- OpenNIC — 分散型、オープン、無検閲、かつ民主的なDNSプロバイダーを自称するOpenNICは、世界中のボランティアによって運営されているDNSサーバーの集まりです。単一のDNSアドレス(1.1.1.1など)でお客様をDNSサーバーのネットワークに接続する多くのDNSサービスとは異なり、OpenNICでは接続先となる個別のDNSサーバーをお客様が選択します。ログポリシーやプライベートDNSがサポートされているかどうか(多くは古いDNSCryptプロトコルの形式)は、選択したDNSサーバーを運営している人物に完全に依存します。
DNSプロバイダーを選択すると、2つの選択肢があります。すべてのDNSクエリが選択したプロバイダーにルーティングされるようオペレーティングシステム(OS)を設定するか、ブラウザのみを設定してプライベートDNSサービスを使用するかです。
最新のオペレーティングシステムはすべて、最新のブラウザと同様に、DoTまたはDoH(あるいはその両方)をサポートしています。デフォルトでは、FirefoxはDoHを使用してCloudflareの1.1.1.1サーバーに自動的に接続します。

プライベートDNSに関する最終的な見解
プライベートDNSは、通常の暗号化されていないDNSよりもはるかにプライバシーが保護され、安全で、検閲にも耐性があります。また、少なくとも一部のDNSプロバイダーは、お客様のISPよりもお客様のプライバシーを重視しています。そのため、VPNを使用していない場合は、プライベートDNSをサポートしている信頼できるDNSサービスを使用するように、システムまたはブラウザを設定することをお勧めします。
しかし、VPNはプライベートDNSを使用するよりもはるかに優れたプライバシーを提供し、検閲を回避するうえでもはるかに効果的です。ただし、VPNを使用しているときは、プライベートDNSを使用すべきではなく、また使用する必要もない点にご留意ください。






